El grupo de ransomware LockBit dijo a los funcionarios del condado de Fulton, Georgia, que podían esperar ver sus documentos internos publicados en línea esta mañana a menos que el condado pagara una demanda de rescate. LockBit eliminó la lista del condado de Fulton de su sitio web que avergonzaba a las víctimas esta mañana, alegando que el condado había pagado. Pero los funcionarios del condado dijeron que no pagaron ni que nadie hizo el pago en su nombre. Los expertos en seguridad dicen que LockBit probablemente estaba mintiendo y probablemente perdió la mayoría de los datos cuando los servidores de la pandilla fueron confiscados este mes por las fuerzas del orden de EE. UU. y el Reino Unido. El sitio web de LockBit incluía un temporizador de cuenta regresiva hasta la prometida divulgación de los datos robados del condado de Fulton, Georgia. LockBit luego trasladaría esta fecha límite hasta el 29 de febrero de 2024. LockBit incluyó al condado de Fulton como víctima el 13 de febrero, diciendo que a menos que Cuando se le pagó un rescate, el grupo publicaría archivos robados en una infracción en el condado el mes pasado. Ese ataque interrumpió los teléfonos del condado, el acceso a Internet e incluso su sistema judicial. LockBit filtró una pequeña cantidad de archivos del condado como un adelanto, que parecía incluir registros judiciales confidenciales y sellados en juicios penales actuales y pasados. El 16 de febrero, la entrada del condado de Fulton, junto con un cronómetro de cuenta regresiva hasta que se publicaran los datos, fue eliminado del sitio web de LockBit sin explicación. El líder de LockBit le dijo a KrebsOnSecurity que esto se debía a que los funcionarios del condado de Fulton habían entablado negociaciones de último minuto con el grupo. Pero el 19 de febrero, investigadores del FBI y la Agencia Nacional contra el Crimen (NCA) del Reino Unido se hicieron cargo de la infraestructura en línea de LockBit, reemplazando la página de inicio del grupo con un aviso de incautación y enlaces a las herramientas de descifrado del ransomware LockBit. En una conferencia de prensa el 20 de febrero, el presidente de la Comisión del condado de Fulton, Robb Pitts, dijo a los periodistas que el condado no pagó una demanda de rescate y señaló que la junta “no podía, en conciencia, utilizar los fondos de los contribuyentes del condado de Fulton para realizar un pago”. Tres días después, LockBit resurgió con nuevos dominios en la web oscura y con el condado de Fulton incluido entre media docena de otras víctimas cuyos datos estaban a punto de filtrarse si se negaban a pagar. Como hace con todas las víctimas, LockBit asignó al condado de Fulton un temporizador de cuenta regresiva, diciendo que los funcionarios tenían hasta altas horas de la noche del 1 de marzo hasta que se publicaran sus datos. LockBit revisó su fecha límite para el condado de Fulton al 29 de febrero. LockBit pronto adelantó la fecha límite a la mañana del 29 de febrero. Mientras el temporizador LockBit del condado de Fulton estaba contando regresivamente a cero esta mañana, su lista desapareció del sitio de LockBit. El líder y portavoz de LockBit, que se conoce con el nombre de «LockBitSupp», dijo hoy a KrebsOnSecurity que los datos del condado de Fulton desaparecieron de su sitio porque los funcionarios del condado pagaron un rescate. «Fulton pagó», dijo LockBitSupp. Cuando se le pidió evidencia de pago, LockBitSupp afirmó. “La prueba es que borramos sus datos y no los publicamos”. Pero en una conferencia de prensa hoy, el presidente del condado de Fulton, Robb Pitts, dijo que el condado no sabe por qué se eliminaron sus datos del sitio de LockBit. «Mientras estoy aquí a las 4:08 pm, no tenemos conocimiento de que se haya publicado ningún dato hoy hasta el momento», dijo Pitts. “Eso no significa que la amenaza haya terminado. Podrían divulgar cualquier información que tengan en cualquier momento. No tenemos control sobre eso. No hemos pagado ningún rescate. Tampoco se ha pagado ningún rescate en nuestro nombre”. Brett Callow, analista de amenazas de la firma de seguridad Emsisoft, dijo que LockBit probablemente perdió todos los datos de las víctimas que robó antes de la incautación del FBI/NCA, y que desde entonces ha estado intentando desesperadamente salvar las apariencias dentro de la comunidad de delitos cibernéticos. «Creo que fue un caso en el que intentaron convencer a sus afiliados de que todavía estaban en buena forma», dijo Callow sobre las actividades recientes de LockBit. «Sospecho firmemente que este será el fin de la marca LockBit». Otros han llegado a una conclusión similar. La firma de seguridad RedSense publicó un análisis en Twitter/X de que después de la eliminación, LockBit publicó varios perfiles de víctimas «nuevos» para empresas que había incluido semanas antes en su sitio de vergüenza de víctimas. Esas empresas víctimas (un proveedor de atención médica y una importante plataforma de préstamo de valores) también fueron eliminadas sin ceremonias del nuevo sitio web vergonzoso de LockBit, a pesar de que LockBit afirmó que sus datos se filtrarían. «Estamos 99% seguros de que el resto de sus ‘nuevas víctimas’ también son afirmaciones falsas (datos antiguos para nuevas infracciones)», publicó RedSense. «Así que lo mejor que podrían hacer sería eliminar todas las demás entradas de su blog y dejar de defraudar a la gente honesta». Callow dijo que ciertamente ha habido muchos casos en el pasado en los que las bandas de ransomware exageraron su saqueo de una organización víctima. Pero esta vez se siente diferente, dijo. «Es un poco inusual», dijo Callow. “Se trata de tratar de calmar los nervios de los afiliados y decir: ‘Todo está bien, no estábamos tan comprometidos como sugirieron las autoridades’. Pero creo que habría que ser un tonto para trabajar con una organización que ha sido pirateada tan profundamente como LockBit”.

Source link