Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

LockBit non molla ed apre il nuovo DLS. Pubblica un lungo comunicato in risposta all’FBI. Tutta colpa di una falla di PHP

Redazione RHC : 24 Febbraio 2024 23:31

  

E’ finita? Lo avevamo previsto e così non è stato.

La cybergang LockBit, si è riorganizzata e ha creato una nuova istanza del blog dove ha iniziato a pubblicare nuove violazioni effettuate probabilmente in questo arco temporale dovuta all’infiltrazione delle forze dell’ordine. Ma non è tutto, pubblica un lungo post dove si rivolge all’FBI relativamente all’Operazione Cronos che ha visto una coalizione di forze dell’ordine smantellare parzialmente l’infrastruttura IT della famosa cybergang criminale.

Il comunicato di LockBit è molto lungo e rivela una serie di eventi e riflessioni significative. Secondo quanto riportato, il 19 febbraio 2024 sono stati effettuati dei test di penetrazione su due dei server di LockBit.

Alla fine viene riportato anche il seguente messaggio: “Perché ci sono voluti 4 giorni per recuperare? Perché ho dovuto modificare il codice sorgente per l’ultima versione di PHP, in quanto c’era un’incompatibilità.”

Il comunicato di LockBit

Alle 06:39 UTC è stato riscontrato un errore sul sito (502 Bad Gateway), successivamente risolto riavviando PHP. Tuttavia, alle 20:47 lo stesso giorno, il sito ha iniziato a restituire l’errore 404 Not Found e l’accesso SSH era stato compromesso, con conseguente cancellazione di tutti i dati sui dischi. LockBit ammette la negligenza e l’irresponsabilità personale hanno contribuito all’incidente, poiché non è stato aggiornato PHP alla versione più recente, rendendo i server vulnerabili a CVE noti come CVE-2023-3824.

LockBit sottolinea che il problema non riguarda solo loro, ma potrebbe interessare tutti coloro che utilizzano versioni vulnerabili di PHP, mettendo in guardia altre cybergang ransomware di potenziali compromissioni dei server. Tuttavia, sottolinea anche che la decentralizzazione della loro infrastruttura ha permesso loro di individuare rapidamente l’attacco e attuare contromisure.

Inoltre, LockBit afferma che l’FBI ha agito per impedire la pubblicazione di documenti rubati dal sito web di un’organizzazione governativa, che includevano informazioni rilevanti sulle cause legali di Donald Trump e che avrebbero potuto influenzare le elezioni statunitensi. LockBit sospetta che l’FBI abbia agito per interrompere le negoziazioni in corso riguardanti i documenti rubati.

L’FBI è accusata di tentare di intimidire LockBit, ma quest’ultimo si mostra determinato a continuare la propria attività, sottolineando la sua volontà di rafforzare le misure di sicurezza e la sua capacità di adattarsi agli attacchi.

Infine, LockBit critica l’operato dell’FBI, definendolo ingiustificato e accusandolo di diffondere informazioni fuorvianti e non verificabili. Sospetta inoltre che l’FBI abbia arrestato persone innocenti per ottenere un certificato di merito, anziché perseguire attivamente i veri responsabili degli attacchi informatici.

L’articolo pone l’accento sulla necessità di adottare misure di sicurezza rigorose e di mantenere una vigilanza costante contro potenziali minacce informatiche, mentre evidenzia le tensioni e le sfide nel campo della cybersecurity.

Cosa è successo.

Il 19 febbraio 2024 è stato effettuato un test di penetrazione su due dei miei server, alle 06:39 UTC ho trovato un errore sul sito 502 Bad Gateway, ho riavviato nginx - non è cambiato nulla, ho riavviato mysql - non è cambiato nulla, ho riavviato PHP - il sito funzionava. Non ci ho prestato molta attenzione, perché dopo 5 anni di nuotate nei soldi sono diventato molto pigro, e ho continuato a viaggiare su uno yacht con ragazze tettone. Alle 20:47 ho scoperto che il sito dava un nuovo errore 404 Not Found nginx, ho provato a entrare nel server tramite SSH e non ci sono riuscito, la password non andava bene, come si è scoperto in seguito tutte le informazioni sui dischi sono state cancellate.

A causa della mia personale negligenza e irresponsabilità mi sono rilassato e non ho aggiornato PHP in tempo, sui server era installata la versione 8.1.2 di PHP, che è stata penetrata con successo molto probabilmente da questo CVE https://www.cvedetails.com/cve/CVE-2023-3824/, come risultato del quale è stato ottenuto l'accesso ai due server principali in cui era installata questa versione di PHP. Mi rendo conto che potrebbe non essere stato questo CVE, ma qualcos'altro come 0day per PHP, ma non posso esserne sicuro al 100%, perché la versione installata sui miei server era già nota per avere una vulnerabilità nota, quindi è molto probabile che questo sia il modo in cui sono stati raggiunti i server del pannello di amministrazione e chat delle vittime e il server del blog. Sui nuovi server è ora in esecuzione l'ultima versione di PHP 8.3.3. Se qualcuno riconosce un CVE per questa versione, sia il primo a farmelo sapere e sarà ricompensato.


Il problema non riguarda solo me. Chiunque abbia utilizzato una versione vulnerabile di PHP tenga presente che il suo server potrebbe essere stato compromesso, sono sicuro che molti concorrenti potrebbero essere stati violati allo stesso modo, ma non si sono nemmeno resi conto di come è successo. Sono sicuro che anche i forum che conosco sono stati violati allo stesso modo tramite PHP, ci sono buone ragioni per esserne certi, non solo a causa del mio hack, ma anche a causa di informazioni provenienti da informatori. Ho notato il problema del PHP per caso, e sono l'unico ad avere un'infrastruttura decentralizzata con diversi server, quindi sono stato in grado di capire rapidamente come è avvenuto l'attacco; se non avessi avuto dei server di backup che non avevano il PHP, probabilmente non avrei capito come è avvenuto l'hack. 

L'FBI ha deciso di hackerare ora per un solo motivo, perché non voleva far trapelare informazioni da https://fultoncountyga.gov/. I documenti rubati contengono molte cose interessanti e i casi giudiziari di Donald Trump che potrebbero influenzare le prossime elezioni americane. Personalmente voterò per Trump perché la situazione al confine con il Messico è una specie di incubo, Biden dovrebbe ritirarsi, è un burattino. Se non fosse stato per l'attacco dell'FBI, i documenti sarebbero stati rilasciati il giorno stesso, perché le trattative si sono arenate, subito dopo che il partner ha pubblicato il comunicato stampa sul blog, l'FBI non ha gradito che il pubblico scoprisse le vere ragioni del fallimento di tutti i sistemi di questa città. Se non fosse stato per la situazione delle elezioni, l'FBI avrebbe continuato a stare sul mio server in attesa di qualche indizio per arrestare me e i miei soci, ma tutto quello che dovete fare per non farvi beccare è solo riciclaggio di criptovaluta di qualità. L'FBI può stare sulle vostre risorse e anche raccogliere informazioni utili per l'FBI, ma non mostrate al mondo intero che siete stati hackerati, perché non causate alcun danno critico, ma portate solo benefici. Quali conclusioni si possono trarre da questa situazione? Molto semplice, che devo attaccare il settore .gov sempre più spesso, è dopo tali attacchi che l'FBI sarà costretta a mostrarmi le debolezze e le vulnerabilità e a rendermi più forte. Attaccando il settore .gov si può sapere esattamente se l'FBI ha la capacità di attaccarci o meno.

Anche se avete aggiornato la versione di PHP dopo aver letto queste informazioni, non sarà sufficiente, perché dovete cambiare l'hoster, il server, tutte le password possibili, le password degli utenti nel database, verificare il codice sorgente e migrare tutto, non c'è garanzia che non siate stati temprati sul server. Non c'è alcuna garanzia che l'FBI non abbia 0day per i vostri server, sui quali hanno già appreso informazioni sufficienti per effettuare un nuovo hacking, quindi solo un cambio completo di tutto ciò che può essere solo sostituito sarà d'aiuto.

Tutti gli altri server con blog di backup che non hanno installato PHP non sono interessati e continueranno a fornire i dati rubati alle aziende attaccate. 

Come risultato dell'hacking dei server, l'FBI ha ottenuto un database, i sorgenti dei pannelli web, gli stub del ransomware che non sono sorgenti come sostengono loro e una piccola parte di decrittatori non protetti, sostengono 1000 decrittatori, anche se c'erano quasi 20000 decrittatori sul server, la maggior parte dei quali erano protetti e non possono essere utilizzati dall'FBI. Grazie al database hanno scoperto i nickname generati dei partner, che non hanno nulla a che fare con i loro veri nickname sui forum e persino i nickname nei messenger, le chat non cancellate con le società attaccate e di conseguenza i portafogli per il denaro, che saranno indagati e cercati per tutti coloro che non riciclano criptovalute, ed eventualmente arrestare le persone coinvolte nel riciclaggio e accusarle di essere miei partner, anche se non lo sono. Tutte queste informazioni non hanno alcun valore perché vengono tutte passate all'FBI e senza hackerare il pannello, dopo ogni transazione da parte di agenti assicurativi o negoziatori. 

L'unica cosa che ha un valore e una potenziale minaccia è il codice sorgente del pannello, a causa del quale è probabilmente possibile un futuro hacking se si permette a tutti di entrare nel pannello, ma ora il pannello sarà diviso in molti server, per i partner verificati e per le persone casuali, fino a 1 copia del pannello per 1 partner su un server separato, prima c'era un pannello per tutti. Grazie alla separazione del pannello e a una maggiore decentralizzazione, all'assenza di decrittazioni di prova in modalità automatica, alla massima protezione dei decrittori per ogni azienda, le possibilità di hacking saranno notevolmente ridotte. La fuga del codice sorgente del pannello è avvenuta anche presso i concorrenti, ma non ha impedito loro di continuare il loro lavoro, e non fermerà nemmeno me.

L'FBI dice di aver ricevuto circa 1000 decrittatori, una bella cifra, ma non sembra la verità, sì, hanno ricevuto alcuni decrittatori non protetti, quelle build del locker che sono state fatte senza la casella "massima protezione dei decrittatori" potevano essere ricevute dall'FBI solo negli ultimi 30 giorni, non si sa in che giorno l'FBI ha avuto accesso al server, ma sappiamo esattamente la data di divulgazione del CVE e la data in cui PHP ha generato un errore, prima del 19 febbraio le aziende attaccate pagavano regolarmente anche per i decrittatori non protetti, quindi è possibile che l'FBI sia stata sul server solo per un giorno, sarebbe bello se l'FBI rilasciasse tutti i decrittatori al pubblico, così ci si potrebbe fidare del fatto che possiedono davvero i decrittatori, non bluffando e lodando la loro superiorità, non la superiorità di 1 pentester intelligente con un CVE pubblico. Si noti che la stragrande maggioranza dei decrittatori non protetti proviene da partner che criptano dediche a forza bruta e spammano singoli computer, prendendo riscatti da 2000 dollari, vale a dire che anche se l'FBI ha 1000 decrittatori, sono poco utili, la cosa principale è che non hanno ottenuto tutti i decrittatori per tutti i 5 anni di attività, che sono circa 40000. Si scopre che l'FBI è riuscita a ottenere solo il 2,5% del numero totale di decrittatori, sì è un male, ma non è fatale. 

Da questo momento significativo, in cui l'FBI mi ha rincuorato, smetterò di essere pigro e farò in modo che ogni build loker sia assolutamente protetto al massimo, ora non ci sarà nessuna decrittazione di prova automatica, tutte le decrittazioni di prova e l'emissione di decrittori saranno effettuate solo in modalità manuale. In questo modo, in un eventuale prossimo attacco, l'FBI non sarà in grado di ottenere un singolo decrittore gratuitamente.

Probabilmente, tutti hanno già notato come l'FBI abbia cambiato splendidamente il design del blog, nessuno è mai stato insignito di tali onori, di solito tutti si limitano a mettere il solito tappo con le lodi di tutti i servizi speciali del mondo. Anche se in realtà solo una persona in tutto il pianeta merita un elogio, quella che ha fatto il pentest del mio sito e ha preso il giusto CVE pubblico, mi chiedo quanto sia stato pagato, quanto sia stato il suo bonus? Se meno di un milione di dollari, allora venite a lavorare per me, probabilmente guadagnerete di più con me.  Oppure venite a parlarmi al numero 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7 ricordate che ho sempre un programma di bug bounty attivo e pago per i bug trovati. L'FBI non apprezza il vostro talento, ma io sì e sono disposto a pagare generosamente.

Mi chiedo perché i blog di alfa, revil e Hive non siano stati progettati così bene? Perché i loro decani non sono stati pubblicati? Anche se l'FBI conosce le loro identità? Strano, vero? Perché con questi metodi stupidi l'FBI sta cercando di intimidirmi e di farmi smettere di lavorare. Il designer dell'FBI dovrebbe lavorare per me, hai buon gusto, mi è piaciuto soprattutto il nuovo preloader, nel nuovo aggiornamento dovrei fare qualcosa di simile, Stati Uniti, Regno Unito ed Europa ruotano intorno al mio logo, idea brillante, mi ha fatto sentire molto bene, grazie.

Un paio di miei partner sono stati arrestati, ad essere sincero ne dubito molto, probabilmente sono solo persone che riciclano criptovalute, forse lavoravano per alcuni miscelatori e scambiatori con le gocce, per questo sono stati arrestati e considerati miei partner, sarebbe interessante vedere il video dell'arresto, dove a casa loro, Lamborghini e laptop con le prove del loro coinvolgimento nelle nostre attività, ma in qualche modo penso che non lo vedremo, perché l'FBI ha arrestato persone a caso per ottenere un certificato di merito dalla direzione, dire guardate che ci sono arresti, non stiamo ricevendo soldi per niente, stiamo onestamente lavorando con le tasse e imprigionando persone a caso, quando i veri pentester continuano tranquillamente il loro lavoro. Basssterlord non è stato preso, conosco il vero nome di Basssterlord, ed è diverso da quello del poveretto che l'FBI ha preso.

Non conosco nessun giornalista militare di Sebastopoli, il colonnello Cassad, e non ho mai fatto donazioni a nessuno, sarebbe bello se l'FBI mostrasse la transazione in modo da poter controllare sulla blockchain da dove hanno tratto tali conclusioni e perché sostengono che sia stato io a farlo, non faccio mai alcuna transazione senza un mixer di bitcoin. 

Se ho usato lo stesso servizio di scambio di criptovalute usato da qualcuno della Evil Corp non significa assolutamente che io abbia qualcosa a che fare con la Evil Corp, ancora una volta dove sono le transazioni? Come faccio a sapere chi sta usando quale exchanger? Uso diversi exchanger e non concentro tutti i miei soldi su un solo exchanger di criptovalute. Diamo la colpa a Evil Corp per le centinaia di altre persone che utilizzano exchange disponibili pubblicamente.
Non mi piace per niente che tutti questi lanci siano fatti senza pubblicare le transazioni e i portafogli, quindi è impossibile verificare ciò che è vero. Potete accusarmi di qualsiasi cosa senza provare nulla, e non c'è modo di confutarlo, perché non ci sono transazioni e portafogli bitcoin.

L'FBI afferma che le mie entrate superano i 100 milioni di dollari, e questo è vero, sono molto contento di aver eliminato le chat con pagamenti molto elevati, ora le eliminerò più spesso e anche con pagamenti piccoli. Questi numeri dimostrano che sono sulla strada giusta, che anche se faccio degli errori non mi fermano e che correggo i miei errori e continuo a fare soldi. Questo dimostra che nessun hackeraggio da parte dell'FBI può impedire a un'azienda di prosperare, perché ciò che non mi uccide mi rende più forte. 

Tutte le azioni dell'FBI mirano a distruggere la reputazione del mio programma di affiliazione, la mia demoralizzazione, vogliono che me ne vada e lasci il mio lavoro, vogliono spaventarmi perché non possono trovarmi ed eliminarmi, non posso essere fermato, non si può nemmeno sperare, finché sarò vivo continuerò a fare pentest con postpaid.

Sono molto contento che l'FBI mi abbia tirato su di morale, mi abbia dato energia e mi abbia fatto allontanare dal divertimento e dallo spendere soldi, è molto difficile stare al computer con centinaia di milioni di dollari, l'unica cosa che mi motiva a lavorare sono i concorrenti forti e l'FBI, c'è un interesse sportivo e il desiderio di competere. Con i concorrenti che faranno più soldi e attaccheranno più aziende, e con l'FBI, sia che riescano a prendermi o meno, e sono sicuro che non ci riusciranno, visto il loro modo di lavorare.

L'FBI ha promesso di pubblicare il mio elenco, ma non ha mantenuto la promessa, queste persone osano mentire sul fatto che io non abbia cancellato le informazioni rubate delle aziende dopo aver pagato il riscatto, facendo i pagliacci. È emerso che l'FBI si è ufficialmente riconosciuta come bugiarda e che mente molto spesso, come hanno dichiarato i miei avvocati Arkady Buch, Dmitry Naskavets e Victor Smilyanets, ai quali ora credo al 100%. Hanno fatto uno sciocco tentativo di screditarmi sostenendo che lavoro per l'FBI, un uomo che cripta aziende statunitensi ogni giorno e guadagna centinaia di milioni di dollari lo fa con l'approvazione dell'FBI? È così che funziona? Molto intelligente. 

State pensando: perché dovrei lavorare per centinaia di milioni di dollari? E io risponderò che sono semplicemente annoiato, amo il mio lavoro, mi porta gioia di vivere, il denaro e il lusso non portano la stessa gioia del mio lavoro, ecco perché sono pronto a rischiare la mia vita per il bene del mio lavoro, ecco come dovrebbe essere la vita brillante, ricca e pericolosa secondo me.

*Quando scrivo la parola FBI non intendo solo l'FBI, ma anche tutti i suoi assistenti, che sanno come arrestare i server dei partner, che fungono da prima linea dopo aver rubato i dati dell'azienda attaccata e non rappresentano alcun valore: South West Regional Organized Crime Unit nel Regno Unito, Metropolitan Police Service nel Regno Unito, Europol, Gendarmerie-C3N in Francia, State Criminal Police Office L-K-A e Federal Criminal Police Office in Germania, Fedpol e Zurich Cantonal Police in Svizzera, National Police Agency in Giappone, Australian Federal Police in Australia, Swedish Police Authority in Svezia, National Bureau of Investigation in Finlandia, Royal Canadian Mounted Police in Canada e National Police in Olanda. Quindi non offendetevi, non mi sono dimenticato di voi, anche voi siete stati molto utili in questa operazione. Ma permettetemi di ricordarvi che personalmente credo che l'unica persona che meriti un premio e una menzione d'onore sia quella che ha trovato un CVE PHP pubblico adatto per i miei server, presumo sia qualcuno di Prodaft.


Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.