Минулого тижня, після злому компанії з інформаційної безпеки Entrust, хакерська група LockBit зазнала потужної DDoS-атаки. Зараз хакери кажуть, що покращили захист від DDoS і планують у майбутньому зайнятися потрійним здирством, використовуючи такі атаки як додаткові важелі впливу на жертв.
Bleeping Computer нагадує, що LockBit з’явився в 2019 році і з того часу став однією з найактивніших загроз. Раніше ми писали про те, що хакери запустили LockBit 3.0 та Bug Bounty Ransomware, а також про те, що експерти знаходять схожість між LockBit та BlackMatter.
Нагадаю, Entrust було зламано ще у червні 2022 року. Тоді компанія підтвердила ЗМІ, що Entrust зазнала атаки програми-вимагача, під час якої з її систем було викрадено дані. Крім того, на сайті, який хакерська група LockBit використовує для витоку даних, є розділ, присвячений Entrust. Зловмисники заявили, що збираються опублікувати там всю вкрадену в компанії інформацію. Зазвичай такі дії означають, що компанія-жертва відмовилася вести переговори з вимагачами або виконувати їхні вимоги.
Однак невдовзі після публікації даних Tor-сайт хакерів вийшов з ладу, і група повідомила, що зазнала DDoS-атаки саме через злом Entrust. Справа в тому, що DDoS супроводжується повідомленнями: DELETE_ENTRUSTCOM_MOTHERFUCKERS.
Lockbit: "We're being DDoS'd because of the Entrust hack"
vx-underground: "How do you know it's because of the Entrust breach?"
Lockbit: pic.twitter.com/HUO2hdTbwz
— vx-underground (@vxunderground) August 21, 2022
Як зараз пишуть журналісти Bleeping Computer, представник групи, відомий як LockBitSupp, повідомив, що група знову працює з серйознішою інфраструктурою, і тепер сайт витоку даних не боїться DDoS-атак.
Більше того, хакери заявили, що сприйняли цю DDoS-атаку як можливість вивчити тактику потрійного викупу, яка може стати в нагоді їм у майбутньому. Адже за допомогою DDoS-атак можна зробити додатковий тиск на жертв з метою виплати викуп (крім шифрування даних та загроз опублікувати вкрадену інформацію у відкритому доступі).
Шукаю дудосерів у команду, швидше за все тепер ми будемо атакувати цілі і вимагати потрійного викупу: шифрування + витік даних + дудоси, тому що я відчув силу дудосів і як це бадьорить і робить життя цікавішим.”- LockBitSup пише на форумі хакерів.
LockBit також пообіцяв поширювати всі вкрадені в Entrust дані через торрент на 300 ГБ, щоб “весь світ дізнався про ваші секрети”. При цьому представник групи пообіцяв, що спочатку хакери ділитимуться даними Entrust у приватному порядку з усіма, хто з ними зв’яжеться. Журналісти зазначають, що у вихідні LockBit вже випустив торрент під назвою «entrust.com», що містить 343 ГБ інформації.
lockbit claims responsibility, torrent is legit https://t.co/0tk1bPHafL pic.twitter.com/pRVee9oTBA
— Artie Yamamoto (@masterchaerge) August 27, 2022
Що стосується захисту від DDoS-атак, то одним із методів, що вже реалізовані хакерами, є використання унікальних посилань у записках з вимогою викупу.
“Вже реалізована функція рандомізації посилань у нотатках локера, кожна збірка локера матиме унікальне посилання, яке дудосер не зможе розпізнати”, – говорить LockBitSupp.
Хакери також заявили про збільшення кількості дзеркал і резервних серверів, а також планують підвищити доступність вкрадених даних, опублікувавши їх у звичайному інтернеті та використовуючи для цього «куленепробивний» хостинг.