El Derribo de LockBit del FBI Pospuso una Bomba de Relojería en el Condado de Fulton, Georgia.

El derribo del FBI del LockBit el grupo de ransomware se produjo la semana pasada cuando LockBit se preparaba para liberar datos confidenciales robados de los sistemas informáticos del gobierno en Condado de Fulton, Georgia. Pero LockBit ahora se está reagrupando, y la pandilla dice que publicará los datos robados del condado de Fulton el 2 de marzo a menos que pague un rescate. LockBit afirma que el caché incluye documentos vinculados al enjuiciamiento penal en curso del condado de ex Presidente Trump, pero los observadores judiciales dicen que los documentos teaser publicados por la pandilla criminal sugieren que una filtración total de los datos del condado de Fulton podría poner vidas en riesgo y poner en peligro una serie de otros juicios penales.

Un nuevo sitio web de LockBit que enumera un temporizador de cuenta regresiva hasta la liberación prometida de datos robados del condado de Fulton, Georgia.

A principios de febrero, los líderes del Condado de Fulton reconocieron que estaban respondiendo a una intrusión que causó interrupciones en sus sistemas de teléfono, correo electrónico y facturación, así como en una variedad de servicios del condado, incluidos los sistemas judiciales.

El Feb. El 13 de febrero, el grupo de ransomware LockBit publicó en su blog de vergüenza de víctimas una nueva entrada para el condado de Fulton, con un temporizador de cuenta regresiva que decía que el grupo publicaría los datos el 20 de febrero. 16 a menos que los líderes del condado acordaran negociar un rescate.

"Demostraremos cómo las estructuras locales manejaron negligentemente la protección de la información", advirtió LockBit. "Revelaremos listas de personas responsables de la confidencialidad. Los documentos marcados como confidenciales se pondrán a disposición del público. Mostraremos documentos relacionados con el acceso a los datos personales de los ciudadanos del Estado. Nuestro objetivo es dar la máxima publicidad a esta situación; los documentos serán de interés para muchos. Los residentes concienzudos pondrán orden.”

Sin embargo, en febrero. El 16 de diciembre, la entrada del condado de Fulton fue eliminada del sitio de LockBit sin explicación. Esto generalmente solo ocurre después de que la víctima en cuestión acepta pagar una demanda de rescate y/o entabla negociaciones con sus extorsionadores.

Sin embargo, el Presidente de la Comisión del Condado de Fulton Robb Pitts dijo que la junta decidió que "no podía usar en buena conciencia los fondos de los contribuyentes del Condado de Fulton para hacer un pago.”

"No pagamos ni nadie pagó en nuestro nombre", dijo Pitts en una sesión informativa sobre incidentes en febrero. 20.

Apenas unas horas antes de esa conferencia de prensa, el FBI y la Agencia Nacional del Crimen (NCA) del Reino Unido incautaron varios sitios web de LockBit, que reemplazaron la página de inicio del grupo de ransomware con un aviso de incautación y utilizaron el diseño existente del blog de vergüenza de víctimas de LockBit para publicar comunicados de prensa sobre la acción policial.

Los federales utilizaron el diseño existente en el sitio web de vergüenza de víctimas de LockBit para presentar comunicados de prensa y herramientas gratuitas de descifrado.

Apodado "Operación Cronos, "el esfuerzo involucró la incautación de casi tres docenas de servidores; el arresto de dos presuntos miembros de LockBit; el lanzamiento de una herramienta gratuita de descifrado de LockBit; y la congelación de más de 200 cuentas de criptomonedas que se cree que están vinculadas a las actividades de la pandilla. El gobierno dice que LockBit se ha cobrado más de 2.000 víctimas en todo el mundo y ha extorsionado más de 120 millones de dólares en pagos.

DESASTRE EN DESARROLLO

En un largo, carta divagante publicado el feb. 24 y dirigida al FBI, líder del grupo de ransomware LockBitSupp anunció que sus sitios web para avergonzar a las víctimas estaban nuevamente operativos en la web oscura, con nuevos temporizadores de cuenta regresiva para el condado de Fulton y media docena de otras víctimas recientes.

"El FBI decidió hackear ahora por una sola razón, porque no querían filtrar información fultoncountyga.gov", escribió LockBitSupp. "Los documentos robados contienen muchas cosas interesantes y los casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses.”

Una captura de pantalla publicada por LockBit que muestra varios archivos compartidos del condado de Fulton que fueron expuestos.

LockBit ya ha publicado aproximadamente dos docenas de archivos supuestamente robados de los sistemas gubernamentales del condado de Fulton, aunque ninguno de ellos involucra el juicio penal del Sr. Trump. Pero los documentos parecen incluir registros judiciales que están sellados y protegidos de la vista pública.

George Chidi escribe El Objetivo de Atlanta, una publicación secundaria sobre el crimen en la capital de Georgia. Chidi dice que los datos filtrados hasta ahora incluyen un registro sellado relacionado con un caso de abuso infantil y una moción sellada en el juicio por asesinato de Juwuan Gaston exigir al Estado que entregue identidades confidenciales de informantes.

Chidi cita informes de un empleado del condado de Fulton que dijo que el material confidencial incluye las identidades de los miembros del jurado que prestan servicios en el juicio del rapero Jeffery" Young Thug " Williams, quien está acusado junto con otros cinco acusados de crimen organizado y conspiración de pandillas.

"Las capturas de pantalla sugieren que los piratas informáticos podrán dar a cualquier abogado que defienda un caso penal en el condado un lugar de partida para argumentar que la evidencia ha sido contaminada o que los testigos han sido intimidados, y que la divulgación de información confidencial ha comprometido los casos", Chidi escribió. "El personal me dijo que el juez Ural Glanville ha estado trabajando febrilmente detrás de escena durante las últimas dos semanas para manejar el desastre que se está desarrollando.”

LockBitSupp también negó las afirmaciones hechas por la NCA del Reino Unido de que LockBit no eliminó los datos robados como se prometió cuando las víctimas acordaron pagar un rescate. La acusación es explosiva porque nadie pagará un rescate si no cree que el grupo de ransomware cumplirá su parte del trato.

El líder del grupo de ransomware también confirmó la información reportada por primera vez aquí la semana pasada, de que los investigadores federales lograron piratear LockBit explotando una vulnerabilidad conocida en PHP, un lenguaje de scripting ampliamente utilizado en el desarrollo web.

"Debido a mi negligencia personal e irresponsabilidad, me relajé y no actualicé PHP a tiempo", escribió LockBitSupp. "Como resultado de lo cual se obtuvo acceso a los dos servidores principales donde se instaló esta versión de PHP.”

La carta del FBI de LockBitSupp decía que el grupo guardaba copias de los datos de sus víctimas robadas en servidores que no usaban PHP y que, en consecuencia, podía retener copias de los archivos robados a las víctimas. La carta también enumeraba enlaces a múltiples instancias nuevas de sitios web de LockBit dark net, incluida la página de fugas que enumera el nuevo temporizador de cuenta regresiva del condado de Fulton.

El nuevo sitio de filtración de datos de LockBit promete publicar datos robados del condado de Fulton el 2 de marzo de 2024, a menos que se pague una demanda de rescate.

"Incluso después del hackeo del FBI, los datos robados se publicarán en el blog, no hay posibilidad de destruir los datos robados sin pago", escribió LockBitSupp. "Todas las acciones del FBI tienen como objetivo destruir la reputación de mi programa de afiliados, mi desmoralización, quieren que me vaya y renuncie a mi trabajo, quieren asustarme porque no pueden encontrarme y eliminarme, no puedo ser detenido, ni siquiera puedes esperar, mientras esté vivo continuaré haciendo pentest con pospago.”

ESQUIVANDO DOX

En enero de 2024, LockBitSupp dijo a los miembros del foro XSS que estaba decepcionado de que el FBI no hubiera ofrecido una recompensa por su doxing y/o arresto, y que en respuesta estaba ofreciendo una recompensa por su propia cabeza, ofreciendo0 10 millones a cualquiera que pudiera descubrir su verdadero nombre.

Después de que la NCA y el FBI incautaron el sitio de LockBit, la página de inicio del grupo se actualizó con una entrada de blog llamada "¿Quién es LockBitSupp? La pregunta de los 10 millones de dólares."El teaser hizo uso del propio temporizador de cuenta regresiva de LockBit y sugirió que pronto se revelaría la verdadera identidad de LockBitSupp.

Sin embargo, después de que expiró el temporizador de cuenta regresiva, la página fue reemplazada por un mensaje de burla de los federales, pero no incluía nueva información sobre la identidad de LockBitSupp.

El Feb. 21, el Departamento de Estado de EE. UU. recompensas anunciadas por un total de hasta 15 millones de dólares por información que conduzca al arresto y/o condena de cualquier persona que participe en ataques de ransomware LockBit. El Departamento de Estado dijo que0 10 millones de eso son para información sobre los líderes de LockBit, y se ofrecen hasta 5 5 millones para información sobre afiliados.

En una entrevista con la cuenta Twitter/X centrada en malware Vx-Subterráneo, El personal de LockBit afirmó que las autoridades habían arrestado a un par de jugadores de poca monta en su operación, y que los investigadores aún desconocen las identidades de la vida real de los miembros principales de LockBit, o la de su líder.

"Afirman que el FBI/ NCA UK/ EUROPOL no conocen su información", escribió Vx-Underground . "Afirman que están dispuestos a duplicar la recompensa de0 10,000,000. Afirman que colocarán una recompensa de 2 20,000,000 de su propia cabeza si alguien puede doxearlos.”

¿PROBLEMAS EN CASA?

En las semanas previas al derribo del FBI/NCA, LockBitSupp se vio envuelto en una serie de disputas personales y comerciales de alto perfil en los foros rusos sobre delitos cibernéticos.

A principios de este año, alguien usó el ransomware LockBit para infectar las redes de AN-Seguridad, una venerada empresa de seguridad y tecnología de 30 años con sede en San Petersburgo, Rusia. Esto violó la regla de oro para los ciberdelincuentes con sede en Rusia y las antiguas naciones soviéticas que conforman la Comunidad de Estados Independientes, que es que atacar a sus propios ciudadanos en esos países es la forma más segura de ser arrestado y procesado por las autoridades locales.

LockBitSupp afirmó más tarde que el atacante había utilizado una versión anterior de LockBit filtrada públicamente para comprometer los sistemas de AN-Security, y dijo que el ataque era un intento de manchar su reputación por parte de un grupo rival de ransomware conocido como " Clop."Pero el incidente sin duda provocó una inspección más cercana de las actividades de LockBitSupp por parte de las autoridades rusas.

Luego, a principios de febrero, el administrador del foro de delitos cibernéticos en ruso XSS dijo que LockBitSupp había amenazado con matarlo después de que la comunidad prohibiera al líder del grupo de ransomware. LockBitSupp fue excomulgado de XSS después de negarse a pagar un monto de arbitraje ordenado por el administrador del foro. Esa disputa se relacionó con una queja de otro miembro del foro que dijo que LockBitSupp recientemente lo endureció con su parte prometida de un pago inusualmente grande de ransomware.

A publicado por el administrador de XSS diciendo que LockBitSupp lo quería muerto.

ENTREVISTA CON LOCKBITSUPP

KrebsOnSecurity solicitó comentarios de LockBitSupp en la identificación de mensajería instantánea ToX que figura en su carta al FBI. LockBitSupp declinó dar más detalles sobre los documentos inéditos del condado de Fulton, diciendo que los archivos estarán disponibles para que todos los vean en unos días.

LockBitSupp dijo que su equipo todavía estaba negociando con el condado de Fulton cuando el FBI confiscó sus servidores, razón por la cual se le otorgó al condado una extensión de tiempo. También negó haber amenazado con matar al administrador de XSS.

"No he amenazado con matar al administrador de XSS, él está mintiendo descaradamente, esto es para causar autocompasión y dañar mi reputación", dijo LockBitSupp a KrebsOnSecurity. "No es necesario matarlo para castigarlo, hay métodos más humanos y él sabe cuáles son.”

Cuando se le preguntó por qué estaba tan seguro de que el FBI no conoce su identidad en la vida real, LockBitSupp fue más preciso.

"No estoy seguro de que el FBI no sepa quién soy", dijo. "Simplemente creo que nunca me encontrarán.”

Parece poco probable que la incautación de la infraestructura de LockBit por parte del FBI haya sido de alguna manera un esfuerzo por evitar la divulgación de los datos del condado de Fulton, como sostiene LockBitSupp. Por un lado, Europol dijo que el derribo fue el resultado de una infiltración de meses del grupo de ransomware.

Además, al informar sobre la interrupción del ataque a la oficina de Fiscal de Distrito del Condado de Fulton, Fanny Willis el Feb. 14, CNN informó que para entonces la intrusión de LockBit había persistido durante casi dos semanas y media.

Finalmente, si la NCA y el FBI realmente creían que LockBit nunca eliminó los datos de las víctimas, tenían que asumir que LockBit todavía tendría al menos una copia de todos sus datos robados escondidos en algún lugar seguro.



>>Más