Die Bedrohungsakteure hinter der LockBit-Ransomware-Operation sind auf dem Dark Web mit neuer Infrastruktur wieder aufgetaucht, nachdem eine internationale Strafverfolgungsübung die Kontrolle über ihre Server übernommen hat. Die Gruppe hat ihr Datenleck-Portal auf eine neue .onion-Adresse im TOR-Netzwerk verschoben und listet 12 neue Opfer auf. Der Administrator von LockBit gibt an, dass einige ihrer Websites aufgrund einer kritischen PHP-Schwachstelle (CVE-2023-3824) beschlagnahmt wurden, da sie PHP nicht aktualisiert haben. Sie behaupten, dass das FBI ihre Infrastruktur „gehackt“ hat, nachdem es einen Ransomware-Angriff auf das Fulton County im Januar gab und Dokumente mit brisanten Informationen zum bevorstehenden US-Wahlkampf gestohlen wurden.
Die Gruppe fordert Angriffe auf den „.gov-Sektor“ und behauptet, dass der Server, von dem die Behörden mehr als 1.000 Entschlüsselungsschlüssel erhalten haben, fast 20.000 Entschlüsselungstools enthält. Zusätzlich haben russische Behörden drei Mitglieder der SugarLocker-Ransomware-Gruppe verhaftet. Die Gruppe arbeitete unter dem Deckmantel einer legitimen IT-Firma, die gefälschte Dienstleistungen anbot und schädliche Aktivitäten in Russland und den GUS-Staaten betrieb. SugarLocker trat 2021 erstmals auf und wurde später im Rahmen eines Ransomware-as-a-Service-Modells angeboten. Fast drei Viertel der Lösegeldzahlungen gehen an die Partner, wobei dieser Betrag auf 90% steigt, wenn die Zahlung 5 Millionen US-Dollar übersteigt.
Die Verhaftung von Ermakov ist bemerkenswert, nachdem Australien, das Vereinigte Königreich und die USA finanzielle Sanktionen gegen ihn verhängt haben. Er wird für seine angebliche Rolle bei einem Ransomware-Angriff auf den Gesundheitsversicherungsanbieter Medibank im Jahr 2022 verantwortlich gemacht. Der Angriff führte zur unbefugten Nutzung von Informationen von etwa 9,7 Millionen Kunden, darunter sensibelste medizinische Daten, die später im Dark Web veröffentlicht wurden.