Ransomware Gang ใช้ประโยชน์จากช่องโหว่ในการเลี่ยงตรวจสอบสิทธิ์บน VMware ESXi

    ไมโครซอฟท์ออกคำเตือนพบกลุ่มแรนซัมแวร์กำลังมุ่งเป้าโจมตีช่องโหว่ Authentication Bypass บน VMware ESXi

    ช่องโหว่นี้มีรหัส CVE-2024-37085 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของไมโครซอฟท์ และได้รับการแก้ไขในเวอร์ชัน ESXi 8.0 U3

    เมื่อวันที่ 25 มิถุนายนที่ผ่านมา ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถเพิ่มผู้ใช้ใหม่เข้าไปในกลุ่ม ‘ESX Admins’

ซึ่งจะได้รับสิทธิ์ผู้ดูแลระบบเต็มรูปแบบบน ESXi hypervisor โดยอัตโนมัติ

ทาง Microsoft ได้ระบุพฤติกรรมของการใช้ช่องโหว่ CVE-2024-37085 เบื้องต้น

1. เพิ่ม Group "ESX Admins" ลงไปใน Domain และทำาร เพิ่มผู้ใช้งาน
2. เปลี่ยชื่อกลุ่มใด ๆ ให้เป็น Domain "ESX Admins" และเพิ่มผู้ใช้เข้ากลุ่มหรือใช้สมาชิกในกลุ่มนั้น
3. Refresh สิทธิ์ของ EsXi hypervisor

    จนถึงขณะนี้ ช่องโหว่ดังกล่าวถูกใช้ประโยชน์โดย Ransomware Gang Storm-0506, Storm-1175, Octo Tempest และ Manatee Tempest ในการโจมตีที่นำไปสู่การใช้งานแรนซัมแวร์ Akira และ Black Basta

    ยกตัวอย่างเช่นกลุ่ม Storm-0506 ได้ใช้งาน Black Basta Ransomwre โจมตีไปบน VMware ESXi ของบริษัทแห่งหนึ่งใน อเมริกาเหนือ หลังจากนั้นใช้ประโยชน์จากช่องโหว่ CVE-2024-37085 เพื่อยกระดับสิทธิ์

    องค์กรต่าง ๆ จึงควรอัปเดตระบบ VMware ESXi ให้เป็นเวอร์ชันล่าสุด และใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น เนื่องจากการโจมตีระบบ ESXi hypervisor มีการเพิ่มขึ้นมากกว่าสองเท่าภายในช่วงสามปีที่ผ่านมา

Ref: bleepingcomputer

ไซต์ที่ถูกยึดของ Lockbit กลับมาเปิดให้บริการอีกครั้งเพื่อลงประกาศโดย CIA และ ตำรวจสหรัฐ

    หน่วยงาน NCA, FBI และ Europol ได้ทำการเปิดไซต์เพื่อเผยแพร่ข้อมูลรั่วไหลของกลุ่ม LockBit ransomware ที่ถูกยึดไป เพื่อบอกเป็นนัยถึงข้อมูลใหม่ที่จะถูกเปิดเผยโดยหน่วยงานบังคับใช้กฎหมายในวันอังคารนี้

    เมื่อวันที่ 19 กุมภาพันธ์ ปฏิบัติการบังคับใช้กฎหมายที่เรียกว่า Operation Cronos ได้ยึดระบบโครงสร้างพื้นฐานของกลุ่ม LockBit รวมถึงเซิร์ฟเวอร์ 34 เครื่องที่โฮสต์ไซต์เผยแพร่ข้อมูลรั่วไหล และข้อมูลที่ขโมยมาจากเหยื่อ ที่อยู่ของสกุลเงินดิจิทัล คีย์การถอดรหัส 1,000 รายการ และ panel สำหรับพันธมิตรที่นำไปใช้งาน

    ส่วนหนึ่งของการจัดการครั้งนี้ ตำรวจได้แปลงไซต์เผยแพร่ข้อมูลรั่วไหลแห่งหนึ่งให้เป็นไซต์แถลงข่าว โดยสำนักงานอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA), FBI และ Europol จะใช้แบ่งปันข้อมูลเกี่ยวกับสิ่งที่พบระหว่างปฏิบัติการ รายชื่อบริษัทในเครือ และวิธีที่ LockBit โกหกเหยื่อโดยไม่ลบข้อมูลที่ถูกขโมยทุกครั้งหลังจากชำระค่าไถ่แล้ว

    หนึ่งในประกาศมีชื่อว่า "ใครคือ LockBitSupp?" ซึ่งเป็นการใบ้ว่าหน่วยงานบังคับใช้กฎหมายจะเปิดเผยข้อมูลเกี่ยวกับผู้ที่อยู่เบื้องหลังการทำงานของกลุ่ม LockBit ransomware

อย่างไรก็ตาม หลังจากผ่านมาหลายวัน โพสต์บล็อกก็ระบุเพียงว่า "เรารู้ว่าเขาเป็นใคร เราทราบว่าเขาอาศัยอยู่ที่ไหน เรารู้ว่าเขามีมูลค่าเท่าไร LockBitSupp ได้อยู่ในเป้าหมายของหน่วยงานบังคับใช้กฎหมายแล้ว"

    ในที่สุด หน่วยงานบังคับใช้กฎหมายก็ปิดไซต์ลงหลังจากนั้นไม่กี่วัน โดยหลายคนมองว่าโพสต์ "LockBitSupp" เป็นความผิดพลาดของหน่วยงานบังคับใช้กฎหมายในการโฆษณาประกาศ และไม่เปิดเผยอะไรเลย และเป็นชัยชนะของ LockBitSupp ผู้ซึ่งยังคงไม่ถูกเปิดเผยตัวตน

เมื่อวันอาทิตย์ที่ผ่านมา หน่วยงานบังคับใช้กฎหมายระหว่างประเทศได้กลับมาเปิดไซต์เผยแพร่ข้อมูลรั่วไหล/ข่าวประชาสัมพันธ์ของ LockBit อีกครั้ง โดยคราวนี้มีบล็อกโพสต์ใหม่ 7 โพสต์ที่เผยแพร่พร้อมกันทั้งหมดในวันอังคาร เวลา 14.00:00 UTC (10.00 น. EST)

    โพสต์บนบล็อกเหล่านี้ล้อเลียนด้วยข้อความต่าง ๆ เช่น "เราได้เรียนรู้อะไรบ้าง" "มีแฮ็กเกอร์ LB ถูกเปิดเผยมากขึ้น" "เรากำลังทำอะไรอยู่" และสิ่งที่หลายคนหวังว่าจะเป็นการยุติปฏิบัติการแรนซัมแวร์ให้ลดน้อยลงคือการรู้ว่า “ล็อคบิตซัพพ์คือใคร?”

    ตอนนี้อาจจะต้องรอเพื่อตรวจสอบว่าหน่วยงานบังคับใช้กฎหมายจะเปิดเผยข้อมูลที่สำคัญใด ๆ เกี่ยวกับผู้ควบคุม LockBit หรือไม่ หรือว่านี่จะเป็นความผิดหวังอีกครั้ง

นับตั้งแต่ปฏิบัติการบังคับใช้กฎหมาย LockBit ก็พยายามอย่างหนักที่จะกลับไปสู่ระดับที่เคยเป็นมาก่อนหน้า โดยผู้ที่เกี่ยวข้องทั้งหมดเริ่มระมัดระวังว่าการปฏิบัติการดังกล่าวจะถูกจับได้ เนื่องจากกำลังถูกหน่วยงานบังคับใช้กฎหมายเฝ้าจับตามองอย่างใกล้ชิด

    อย่างไรก็ตาม นั่นไม่ได้หมายความว่ากลุ่ม ransomware จะสิ้นสุดลง เนื่องจากการโจมตียังคงดำเนินต่อไป และปฏิบัติการนี้ยังคงเป็นความเสี่ยงต่อองค์กรทั่วโลก

bleepingcomputer

LockBit Ransomware กลับมาโจมตีอีกครั้งด้วย Encryption และ server ใหม่

    กลุ่ม LockBit ransomware ได้กลับมาเริ่มโจมตีอีกครั้ง พร้อมตัวเข้ารหัสที่ได้รับการอัปเดต และ server ตัวใหม่ หลังจากที่ทาง NCA, FBI และ Europol ได้ทำการประสานงานเพื่อปิดบริการการดำเนินการของ LockBit ransomware ในชื่อ “Operation Cronos”

    ในการดำเนินการครั้งนี้ หน่วยงานบังคับใช้กฎหมายได้เข้ายึดระบบโครงสร้างพื้นฐาน, ตัวเข้ารหัส รวมถึงได้แก้ไขหน้าเว็บไซต์ของ data leak ให้กลายหน้าเว็บไซต์ของ FBI แทน

    ต่อมากลุ่ม LockBit ransomware ได้ทำการแก้ไขหน้าเว็บไซต์ของ data leak คืน พร้อมทั้งฝากข้อความไปยัง FBI โดยอ้างว่าทาง FBI ได้ทำการโจมตี server โดยใช้ช่องโหว่ของ PHP ทั้งนี้กลุ่ม LockBit ransomware ได้ประกาศว่าจะกลับมาพร้อมกับโครงสร้างพื้นฐานที่ได้รับการอัปเดตความปลอดภัยใหม่ เพื่อป้องกันไม่ให้หน่วยงานรัฐสามารถทำการโจมตีระบบปฏิบัติการ และเข้าถึงตัวถอดรหัสได้อีกครั้ง

การอัปเดต LockBit encryptor ที่ใช้ในการโจมตี

    ต่อมาได้พบว่ากลุ่ม LockBit ransomware ได้กลับมาเริ่มโจมตีอีกครั้งด้วยการเข้ารหัสใหม่ รวมถึงการตั้งค่าโครงสร้างพื้นฐานสำหรับเว็บไซต์ data leak และเว็บไซต์การเจรจาต่อรองในรูปแบบใหม่

    Zscaler รายงานว่ากลุ่ม LockBit ได้อัปเดตบันทึกค่าไถ่ของตัวเข้ารหัสด้วย URL ของ Tor สำหรับโครงสร้างพื้นฐานใหม่ของกลุ่ม ต่อมา BleepingComputer พบตัวอย่างของตัวเข้ารหัสตัวใหม่ที่ถูกอัปโหลดไปยัง VirusTotal โดย MalwareHunterTeam

    รวมถึง BleepingComputer ได้ยืนยันว่า server ที่ใช้ในการเจรจาต่อรองค่าไถ่กลับมาใช้งานได้อีกครั้ง แต่ใช้งานได้เฉพาะกับเหยื่อของการโจมตีครั้งใหม่เท่านั้น

    โดยกลุ่ม LockBit ransomware มีพันธมิตรในเครือข่ายประมาณ 180 ราย ที่ทำงานร่วมกันเพื่อทำการโจมตีเป้าหมายต่าง ๆ รวมถึงยังมีการรับสมัคร Pentester ที่มีประสบการณ์เพื่อเข้าร่วมปฏิบัติการโจมตี ซึ่งอาจนำไปสู่การโจมตีที่เพิ่มขึ้นในอนาคต

    ดังนั้นการติดตามความเคลื่อนไหวของกลุ่ม LockBit ransomware ยังคงมีต่อไปเนื่องจากเป็นกลุ่ม Hacker ที่มีความสามารถ และมีเครือข่ายที่ขว้างขวาง ที่สามารถสร้างผลกระทบเป็นวงกว้างได้

ref : https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-to-attacks-with-new-encryptors-servers/

กลุ่ม LockBit ขู่ปล่อยข้อมูลรั่วไหลของห้างซูเปอร์มาร์เก็ตชื่อดังของไทย

    กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่

รายละเอียดเกี่ยวกับการโจมตีดังกล่าว

   โดยกลุ่ม LockBit ระบุว่า "ข้อมูลทั้งหมดจะถูกเผยแพร่ออกสู่สาธารณะ หากเหยื่อไม่มีการตอบสนองต่อการเรียกค่าไถ่" คาดว่าจะมีการปล่อยข้อมูลรั่วไหลในวันที่ 27 เมษายน 2023 ช่วงเวลา 07:10:14 UTC ตามเวลาที่  กลุ่ม LockBit ได้โพสต์บนเว็บไซต์ของทางกลุ่ม ซึ่งในช่วงที่มีการโพสต์นั้น เว็บไซต์ของซูเปอร์มาร์เก็ตดังกล่าวยังคงทำงานได้ตามปกติ

กลุ่ม LockBit ransomware

    กลุ่ม LockBit เป็นกลุ่ม ransomware ที่มีการโจมตีมากที่สุดจนถึงปัจจุบัน นอกจากการโจมตีซูเปอร์มาร์เก็ตดังกล่าว พบว่า LockBit มีประวัติการโจมตีองค์กรต่าง ๆ มาแล้วกว่า 1,716 ครั้ง จากรายงานของ HIPAA Journal กลุ่ม LockBit 3.0 หรือ LockBit Black ได้มีการเรียกค่าไถ่อยู่ที่ 85,000 ดอลลาร์ต่อเป้าหมาย โดยกลุ่มดังกล่าวเป็นกลุ่ม ransomware-as-a-service และมีการเปลี่ยนชื่อหลายครั้งในช่วงที่กำลังพัฒนา ransomware โดยเวอร์ชันได้เปลี่ยนจาก LockBit 2.0 ในปี 2021 มาเป็น LockBit 3.0 เมื่อเดือนมิถุนายน 2022

รายงานของ Infosecurity ในปี 2022 กลุ่ม LockBit มีการโจมตีมากถึง 44% ของการโจมตีด้วย ransomware ทั้งหมด รองลงมาคือกลุ่ม Conti ที่มีการโจมตีอยู่ที่ 23%

  กลุ่ม LockBit เข้าถึงระบบของเหยื่อโดยใช้ลิงก์ฟิชชิ่ง, ช่องโหว่ zero-day, ช่องโหว่ที่ยังไม่ได้รับ  การแก้ไข และมีการรับซื้อช่องทางสำหรับการเข้าถึงระบบของเหยื่อจากแหล่งต่าง ๆ

โดยกลุ่ม LockBit มีแรงจูงใจทางด้านการเงินเป็นหลัก และใช้เครื่องมือในการขโมยข้อมูล (Data Exfiltration Tool) หลายตัว เช่น Stealbit, rclone, และ MEGA

LockBit และ อุปกรณ์ของ Apple

    นักวิจัยให้ข้อมูลเกี่ยวกับการโจมตี macOS ของ LockBit ภายหลังจากที่มีการโจมตีอุปกรณ์ Windows และ Linux จำนวนมากว่า อาจจะไม่ได้เป็นไปตามแผนที่ทางกลุ่มคาดไว้ เนื่องจากมาตรการรักษาความปลอดภัยบน masOS

   โดย 'locker_Apple_M1_64' มัลแวร์ที่มุ่งเป้าหมายไปที่อุปกรณ์ macOS ซึ่งถูกพบเมื่อวันที่ 15 เมษายนที่ผ่านมา มีไฟล์นามสกุล .lockbit และเป็นมัลแวร์ในรูปแบบ Cryptovirus ซึ่งถูกออกแบบมาเพื่อเข้ารหัสไฟล์ และเปลี่ยนชื่อไฟล์บนอุปกรณ์ macOS โดยมัลแวร์จะโจมตีเหยื่อโดยใช้อีเมลสแปม และไฟล์แนบที่มีมัลแวร์ ซึ่งพบว่า 'locker_Apple_M1_64' เป็นเวอร์ชันที่ยังไม่ค่อยสมบูรณ์ และมีช่องโหว่จำนวนมากที่ทำให้สามารถตรวจจับได้จากอุปกรณ์ด้านความปลอดภัย

 เนื่องจากมัลแวร์ดังกล่าวถูกออกแบบมาเพื่อโจมตีระบบ Windows แต่ภายหลังมีการปรับเปลี่ยนเพื่อใช้ทดสอบกับ macOS นักวิจัยจึงแนะนำให้นักพัฒนาของ Apple สร้างมาตรการด้านความปลอดภัยเพิ่มขึ้น เพื่อเตรียมรับมือกับมัลแวร์ที่อาจจะถูกออกแบบมาเพื่อโจมตีอุปกรณ์ masOS โดยเฉพาะ

Ref : thecyberexpress

Exfiltrator-22 Tools สำหรับโจมตีที่เกี่ยวข้องกับ LockBit Ransomware

    ผู้เชี่ยวชาญด้านภัยคุกคามทางไซเบอร์จาก CYFIRMA ได้ออกมาเปิดเผยข้อมูลของ Exfiltrator-22 ซึ่งเป็นเครื่องมือที่ใช้สำหรับ post-exploitation framework โดยมีความสามารถในการแพร่กระจาย ransomware ในเครือข่ายของเป้าหมาย และสามารถหลีกเลี่ยงการตรวจจับได้อีกด้วย

Exfiltrator-22

    โดย Exfiltrator-22 ได้ถูกสร้างขึ้นจาก อดีต Hacker ในเครือข่ายของ Lockbit 3.0 ที่มีความเชี่ยวชาญในการสร้างวิธีการหลีกเลี่ยงการตรวจจับระหว่างการโจมตี โดยได้สร้างชุดเครื่องมือการโจมตีนี้ขึ้นเพื่อให้กลุ่ม Hacker อื่น ๆ นำไปใช้โดยต้องจ่ายค่าธรรมเนียมการสมัครสมาชิก ซึ่งมีราคาอยู่ที่ระหว่าง $1,000 ต่อเดือนถึง $5,000 สำหรับการเข้าถึงตลอดอายุการใช้งาน ซึ่งมีการอัปเดต และการสนับสนุนอย่างต่อเนื่อง หลังจาก Hacker ได้ทำการซื้อเครื่องมือนี้จะได้รับ admin panel host บน bulletproof VPS (virtual private server) ที่ไว้ใช้สำหรับควบคุม และสั่งการมัลแวร์ รวมถึงส่งการโจมตีไปยังระบบของเป้าหมาย

การพัฒนา Exfiltrator-22

   โดยเวอร์ชันแรกของ Exfiltrator-22 (EX-22) เปิดตัวในวันที่ 27 พฤศจิกายน 2022 และได้ทิ้งช่องทางการติดต่อผ่าน Telegram channel ไว้โฆษณา รวมถึงในช่วงสิ้นปีได้เปิดตัวคุณสมบัติใหม่ที่ช่วยปกปิดการเชื่อมต่อบนอุปกรณ์ของเป้าหมาย ซึ่งแสดงให้ห็นถึงการพัฒนาเครื่องมืออย่างต่อเนื่อง

    ในเดือนมกราคม 2023 Exfiltrator-22 ได้ประกาศว่าขณะนี้ระบบได้ถูกพัฒนาไปแล้วกว่า 87% ซึ่งใกล้จะพร้อมใช้งานแล้ว รวมถึงได้มีการประกาศราคาการสมัครสมาชิก พร้อมทั้งเชิญชวนให้กลุ่ม Hacker ต่าง ๆ มาใช้งาน เมื่อวันที่ 10 กุมภาพันธ์ 2023 Exfiltrator-22 ได้โพสต์วิดีโอสาธิตสองรายการบน YouTube เพื่อแสดงวิธีการโจมตีต่อไปยังระบบอื่น ๆ ของ EX-22 และความสามารถในการแพร่กระจายแรนซัมแวร์ ซึ่งแสดงให้เห็นถึงความพร้อมในการให้บริการ

คุณสมบัติของ Exfiltrator-22

    Exfiltrator-22 มีคุณสมบัติทั่วไปเหมือนกับ post-exploitation toolkit อื่น ๆ ยังรวมถึงคุณสมบัติเพิ่มเติมที่มุ่งเน้นไปที่การติดตั้งแรนซัมแวร์ และการขโมยข้อมูล

คุณสมบัติเด่นที่อยู่ในเฟรมเวิร์ก:

• การสร้าง reverse shell ด้วยสิทธิ์ระดับสูง
• การอัปโหลดไฟล์ไปยังระบบของเป้าหมาย หรือดาวน์โหลดไฟล์จากเครื่องเป้าหมายไปยัง C2 Server (Command & Control)
• การเปิดใช้งาน keylogger เพื่อบันทึกข้อมูลจากแป้นพิมพ์
• การเปิดใช้งาน ransomware module เพื่อเข้ารหัสไฟล์บนอุปกรณ์
• การจับภาพหน้าจอจากคอมพิวเตอร์ของเหยื่อ
• เริ่มเซสชัน live VNC (Virtual Network Computing) สำหรับการเข้าถึงแบบเรียลไทม์บนอุปกรณ์
• การยกระดับเป็นสิทธิสูงบนอุปกรณ์ของเหยื่อ
• การฝังตัวระหว่างการรีบูตระบบ (persistence)
• การแพร่กระจายตัวไปยังอุปกรณ์อื่น ๆ ในเครือข่ายเดียวกัน หรืออินเทอร์เน็ตสาธารณะ
• การคัดแยกข้อมูล (รหัสผ่าน และ token) จาก LSAAS (Local Security Authority Subsystem Service)
• สร้าง cryptographic hash บนเครื่องเป้าหมาย เพื่อช่วยตรวจสอบตำแหน่งไฟล์ และเหตุการณ์การเปลี่ยนแปลงเนื้อหาอย่างสม่ำเสมอ
• ตรวจสอบ running processes บนเครื่องเป้าหมาย
• แยก token การตรวจสอบสิทธิ์ออกจากระบบเป้าหมาย

 คำสั่งต่าง ๆ เหล่านี้ จะถูกส่งไปยังอุปกรณ์ที่ถูกบุกรุกผ่านโปรแกรมคอนโซล 'EX22 Command & Control' ของ Windows โดยข้อมูลจะถูกส่งกลับไปยัง C2 Server และแสดงผลในคอนโซลกลางของ Exfiltrator-22 รวมถึง Hacker ยังสามารถกำหนดงานตามกำหนดเวลา, อัปเดต Agent เป็นเวอร์ชันใหม่, เปลี่ยนแปลงการกำหนดค่าของแคมเปญ หรือสร้างแคมเปญใหม่ผ่าน web panel

การเชื่อมโยงกับสมาชิก LockBit ransomware

 ผู้เชี่ยวชาญยังพบว่า Exfiltrator-22 มีความเกี่ยวข้องกับ LockBit ransomware ไม่ว่าจะเป็นการใช้เทคนิค framework "domain fronting" เช่นเดียวกันกับ LockBit และ TOR plugin Meek ซึ่งช่วยซ่อนการรับส่งข้อมูลที่เป็นอันตรายภายในการเชื่อมต่อ HTTPS ไปยังแพลตฟอร์มสาธารณะ รวมถึงยังใช้ C2 infrastructure แบบเดียวกันกับ LockBit 3.0 อีกด้วย

cyfirma bleepingcomputer

LockBit ransomware gang gets aggressive with triple-extortion tactic

 

LockBit Ransomware ประกาศเพิ่มการโจมตีแบบ DDoS Attack

    กลุ่ม LockBit Ransomware ได้ออกมาประกาศเรื่องการปรับปรุงเว็บไซต์ของทางกลุ่ม หลังจากที่ถูกโจมตีแบบปฏิเสธการให้บริการ (DDoS) และเตรียมยกระดับการโจมตีของกลุ่มให้เป็นแบบ Triple Extortion

รายละเอียดเหตุการณ์

    เหตุการณ์ครั้งนี้เกิดขึ้นจากเมื่อวันที่ 18 มิถุนายน 2565 ที่ผ่านมา LockBit ได้ขโมยข้อมูลจำนวนกว่า 300 GB ของ Entrust บริษัทด้านความปลอดภัยทางดิจิทัล โดยเหตุการณ์ครั้งนี้ Entrust ยืนยันที่จะไม่ยอมจ่ายค่าไถ่ ทำให้ LockBit เริ่มประกาศจะเผยแพร่ข้อมูลของ Entrust ออกมาในวันที่ 19 สิงหาคม 2565 แต่ก็ไม่สามารถเผยแพร่ข้อมูลได้อย่างต่อเนื่อง เนื่องจาก LockBit อ้างว่าเว็บไซต์ของทางกลุ่มถูกบริษัท Entrust โจมตีด้วย DDoS attack เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลที่ LockBitอ้างว่าได้ขโมยออกมา จากเหตุการณ์ดังกล่าว LockBit ใช้บทเรียนครั้งนี้เป็นโอกาสที่จะเพิ่มผู้เชี่ยวชาญในการโจมตีด้วย DDoS เข้าสู่ทีม เพื่อยกระดับการโจมตีของตนให้เป็นแบบ Triple Extortion

ซึ่งประกอบไปด้วย

• การเข้ารหัสไฟล์บนเครื่องเป้าหมาย
• การเผยแพร่ข้อมูลของเป้าหมาย
• การโจมตีแบบปฏิเสธการให้บริการ (DDoS) ไปยังเป้าหมาย

    นอกจากนี้โฆษาของ LockBit ยังยืนยันว่าจะแชร์ข้อมูลกว่า 300GB ที่ขโมยมาจาก Entrust ให้ได้ โดยเริ่มจากการส่งข้อมูลไปให้กับผู้ที่สนใจที่ติดต่อเข้ามาทาง Direct Message ผ่านทางไฟล์ Torrent ส่วนวิธีที่ LockBit นำมาใช้เพื่อป้องกันการโจมตีจาก DDoS คือการใช้ลิงก์ที่แตกต่างกันในไฟล์บันทึกค่าไถ่ของเหยื่อแต่ละราย จากนั้นจะเพิ่มจำนวนมิเรอร์ และเซิร์ฟเวอร์สำหรับเผยแพร่ข้อมูลที่แฮ็กมา และในอนาคตมีแผนที่จะเพิ่มความพร้อมใช้งานของข้อมูลที่ถูกขโมยโดยทำให้สามารถเข้าถึงได้ผ่าน clearnet ผ่านบริการจัดเก็บข้อมูลแบบ bulletproof

ข้อมูลเพิ่มเติมเกี่ยวกับ LockBit

    การดำเนินการของ LockBit ถูกพบมาตั้งแต่เดือนกันยายน 2562 โดยมีผู้ตกเป็นเหยื่อมากกว่า 700 รายและ Entrust ก็ถือเป็นหนึ่งในนั้น

LockBit ransomware gang gets aggressive with triple-extortion tactic