La minaccia di LockBit continua a gravare su Fulton County, anche dopo un’operazione dell’FBI. Cosa nascondono i dati rubati?
Il recente intervento dell’FBI contro il gruppo di cybercriminali noto come LockBit ha evitato la divulgazione immediata di dati sensibili rubati dai sistemi informatici governativi della contea di Fulton County, Georgia. Il collettivo di hacker, tuttavia, ha dichiarato di essere pronto a pubblicare tali dati il 2 marzo, a meno che non riceva il pagamento di un riscatto. LockBit sostiene che tra i file sottratti vi siano documenti collegati al processo penale in corso nei confronti dell’ex Presidente Trump. Il materiale teaser rilasciato dal gruppo suggerisce che la fuga totale dei dati di Fulton County potrebbe mettere a rischio la vita di alcune persone e compromettere una serie di altri processi penali.
I leader di Fulton County hanno confermato all’inizio di febbraio di essere stati vittime di un’intrusione informatica che ha causato interruzioni nei loro sistemi telefonici, via email e di fatturazione, nonché nella fornitura di servizi della contea, inclusi i sistemi giudiziari. Il 13 febbraio, il gruppo ransomware LockBit ha aggiornato nel proprio blog una voce per Fulton County, accompagnata da un timer che segnalava la pubblicazione dei dati il 16 febbraio, a meno che i leader della contea non avessero accettato di negoziare un riscatto.
La notevole operazione interforze, soprannominata “Operazione Cronos“, ha portato al sequestro di quasi trenta server e all’arresto di due presunti membri di LockBit. Durante tale azione è stato anche reso disponibile uno strumento di decrittazione gratuito di LockBit e sono stati congelati oltre 200 conti in criptovaluta legati alle attività della gang, che si dice abbia estorto oltre 120 milioni di dollari in pagamenti dopo aver attaccato più di 2.000 vittime in tutto il mondo.
Nel febbraio 2024, LockBit, nonostante il colpo subito, ha annunciato tramite una lettera alla FBI che i propri siti dedicati alle vittime erano di nuovo operativi sul dark web, con nuovi countdown per Fulton County e altre vittime recenti. Il leader di LockBit ha anche negato le affermazioni dell’NCA britannica secondo cui il gruppo non avrebbe cancellato i dati rubati come promesso quando le vittime accettavano di pagare un riscatto.
Anche dopo la risposta dell’FBI, LockBitSupp ritiene che i dati rubati saranno comunque pubblicati sul blog e ha affermato che tutte le azioni dell’FBI sono indirizzate a danneggiare la reputazione del suo programma affiliato e a demoralizzarlo.
I conflitti iniziano a emergere anche all’interno di LockBit, con il leader LockBitSupp che si trova coinvolto in una serie di controversie personali e commerciali sui forum di criminalità informatica russi. Vi è persino una ricompensa di 10 milioni di dollari promessa dallo stesso LockBitSupp a chiunque sveli la sua identità reale. Dopo il sequestro degli asset di LockBit, i siti web del gruppo sono stati modificati per includere comunicati stampa e strumenti di decrittazione gratuiti.
Infine, il Dipartimento di Stato degli Stati Uniti ha annunciato ricompense fino a 15 milioni di dollari per informazioni che conducano all’arresto e/o alla condanna di chi partecipa agli attacchi ransomware di LockBit, con 10 milioni di dollari destinati a chi fornisce informazioni sui leader di LockBit e fino a 5 milioni per informazioni sugli affiliati.
- Krebs on Security – FBI’s LockBit Takedown Postponed a Ticking Time Bomb in Fulton County, Ga.
- DataBreaches.net – As expected, LockBit is back already
- The Record by Recorded Future – LockBit lied about deleting exfiltrated data after ransom payments
- SecurityWeek – US offering $10M for LockBit leaders as law enforcement taunts cybercriminals
- Vx-Underground Twitter Interview