LockBit ransomware-banden meddelte, at den forbedrer forsvaret mod DDoS-angreb (distributed denial-of-service) og arbejder på at tage operationen til tredobbelt afpresningsniveau.
Banden har for nylig lidt et DDoS-angreb, angiveligt på vegne af den digitale sikkerhedsgigant Entrust, der forhindrede adgang til data, der blev offentliggjort på virksomhedens lækageside.
Data fra Entrust blev stjålet af LockBit ransomware i et angreb den 18. juni, ifølge en BleepingComputer kilde. Virksomheden bekræftede hændelsen og at data var blevet stjålet.
Entrust betalte ikke løsesummen, og LockBit meddelte, at det ville offentliggøre alle de stjålne data den 19. august. Dette skete dog ikke, fordi bandens lækagested blev ramt af et DDoS-angreb, der menes at være forbundet med Entrust.
LockBit kommer ind i DDoS
Tidligere på ugen meddelte LockBitSupp, den offentlige figur af LockBit ransomware-operationen, at gruppen er tilbage i forretning med en større infrastruktur for at give adgang til lækager upåvirket af DDoS-angreb.
DDoS-angrebet sidste weekend, der satte et midlertidigt stop for lækage af Entrust-data, blev set som en mulighed for at udforske den tredobbelte afpresningstaktik for at lægge mere pres på ofrene for at betale en løsesum.
LockBitSupp sagde, at ransomware-operatøren nu søger at tilføje DDoS som en afpresningstaktik oven på kryptering af data og lækage af dem.
“Jeg leder efter dudosers [DDoSers] i teamet, sandsynligvis vil vi nu angribe mål og give tredobbelt afpresning, kryptering + datolækage + dudos, fordi jeg har følt kraften i dudos, og hvordan det styrker og gør livet mere interessant,” skrev LockBitSupp i et indlæg på et hackerforum.
Lækage af Entrust-data
Banden lovede også at dele over torrent 300 GB data stjålet fra Entrust, så “hele verden vil kende dine hemmeligheder.”
LockBits talsmand sagde, at de ville dele Entrust-datalækagen privat med alle, der kontakter dem, før de gøres tilgængelige via torrent.
Det ser ud til, at LockBit har holdt sit løfte og udgivet i weekenden en torrent kaldet “entrust.com” med 343 GB filer.
Operatørerne ønskede at sikre, at Entrusts data er tilgængelige fra flere kilder, og udover at offentliggøre dem på deres websted delte de også torrenten over mindst to fillagringstjenester, hvor en af dem ikke længere gjorde dem tilgængelige.
DDoS forsvar
En metode, der allerede er implementeret for at forhindre yderligere DDoS-angreb, er at bruge unikke links i løsesumnoterne til ofrene.
“Funktionen af randomisering af links i noterne i skabet er allerede implementeret, hver build af skabet vil have et unikt link, som dudoseren [DDoSer] ikke vil være i stand til at genkende,” skrev LockBitSupp.
De annoncerede også en stigning i antallet af spejle og duplikerede servere og en plan om at øge tilgængeligheden af stjålne data ved også at gøre dem tilgængelige via clearnet via en skudsikker lagringstjeneste.
Efter offentliggørelsen af denne artikel lærte BleepingComputer, at LockBit har gjort de stjålne Entrust-data tilgængelige via clearnet på et websted, der leverer filer i en begrænset periode.
LockBit ransomware-operation har været aktiv i næsten tre år siden september 2019. I skrivende stund er LockBits datalækageside i gang.
Banden opregner mere end 700 ofre og Entrust er en af dem efter hændelsen med data for virksomheden lækket den 27. august.
Kilde: BleepingComputer
Foto: Pexels