Il temibile gruppo ransomware sta cercando di ripristinare la propria piattaforma principale e i propri server, promettendo nuovi cyberattacchi soprattutto contro le agenzie governative.
Non è trascorsa neppure una settimana da quando l’operazione Cronos – frutto del lavoro congiunto delle forze di polizia di 11 Paesi (Stati Uniti, Regno Unito, Francia, Germania, Svezia, Svizzera, Finlandia, Olanda, Canada, Giappone, Australia), tra cui il l’Fbi e l’Nca (National Crime Agency) – ha permesso il sequestro e l’offline dei server della cybergang Lockbit.
I criminali informatici non si sono però persi d’animo e – come riporta Reuters –, seppur l’infrastruttura del famigerato ransomware risulti compromessa, stanno cercando di ripristinare i propri server mediante attraverso domini Tor. Nonché minacciando di focalizzare maggiormente i propri attacchi sul settore governativo.
Vulnerabilità critica
Nel lungo post di un portavoce pubblicato sul dark web, il collettivo tra i più grandi al mondo (le cui azioni criminali hanno fruttato circa un miliardo di dollari prendendo di mira 12.125 aziende), spiega come è stato colpito, precisando che la confisca dei suoi siti da parte delle forze dell’ordine è avvenuta mediante la falla critica “CVE-2023-3824” (un bug di stack buffer overflow presente in talune versioni di PHP), sfruttata stavolta proprio contro il gruppo.
Inoltre, spiegano ancora i cybercriminali, l’infrastruttura è stata colpita dopo un loro attacco ransomware di fine gennaio, quando diversi sistemi governativi della contea di Fulton (Georgia) vennero bloccati. In quel caso sarebbero stati sottratti documenti rilevanti in ottica politica che, sempre secondo il portavoce di Lockbit, potrebbero condizionare le imminenti elezioni negli Stati Uniti.
Lockbit sfida l’Fbi
Nel post, poi, il collettivo cerca di screditare l’importante lavoro effettuato dalle forze dell’ordine (“quali conclusioni si possono trarre da questa situazione? Molto semplice, che bisogna attaccare il settore .gov sempre più spesso”). Il gruppo evidenzia poi che, rispetto alle dichiarazioni rilasciate dal Federal Bureau of Investigation, l’Agenzia non avrebbe acquisito dei dati originali ma una sorta di bozze e che i file a cui ha avuto accesso rappresenterebbero soltanto una piccola parte di quelli esistenti.
E ancora, parlando di propria “negligenza personale e irresponsabilità” – elementi che secondo il collettivo sono stati decisivi per il successo dell’operazione Cronos – la cybergang ha precisato di aver già rimesso in funzione i propri server di backup (ma non ci sono conferme in tal senso) e che il ransomware è pronto a colpire nuovamente.