Комментарии 2
Правоохранительные органы 11 стран глобальном масштабе пресекли деятельность хакерской группировки LockBit в рамках совместной операции, получившей название Operation Cronos.
Хотя сайт LockBit теперь недоступен, другие порталы группировки, используемые для размещения данных и отправки личных сообщений, всё ещё работают. Также перестали открываться сайты LockBit для переговоров о выкупе.
Так пресекли деятельность, либо поломали информационный сайт?
Вчера хакеры вернули контроль над серверами и выпустили обращение:
Что произошло?
19 февраля 2024 года произошло тестирование на проникновение двух моих серверов, в 06:39 UTC я обнаружил ошибку на сайте 502 Bad Gateway, перезапустил nginx – ничего не изменилось, перезапустил mysql – ничего не изменилось, перезапустил PHP – сайт заработал. Я не придал этому значения, потому что за 5 лет купания в деньгах стал очень ленивым, и продолжил дальше кататься на яхте с сисястыми девочками. В 20:47 я обнаружил что, сайт выдаёт новую ошибку 404 Not Found nginx, попробовал зайти на сервер через SSH и не смог, пароль не подходил, как выяснилось позже вся информация на дисках была стёрта.
Из-за моей личной халатности и безответственности я расслабился и вовремя не обновлял PHP, на серверах была установлена PHP 8.1.2 версии, которая была успешно протестирована на проникновение скорее всего вот этой CVE https://www.cvedetails.com/cve/CVE-2023-3824/ , в результате чего был получен доступ к двум главным серверам где была установлена эта версия PHP. Я понимаю, что возможно была задействована не именно эта CVE, а что-нибудь другое, например 0day для PHP, но я не могу быть в этом уверен на 100%, потому что достоверно известно, что версия, установленная на моих серверах, была подвержена уже известной уязвимости, поэтому скорее всего именно так был получен доступ к серверам панели с админками и чатами для жертв и к серверу блога. Сейчас на новых серверах установлена последняя версия PHP 8.3.3. Если кто-то узнает CVE под эту версию, сообщите мне первым эту информацию и получите награду.
Проблема касается не только меня. Все, кто использовал уязвимые версии PHP имейте ввиду, что ваш сервер мог быть скомпрометировани, я уверен, что многих конкурентов могли взломать так же, но они даже не поняли, как это произошло. Я уверен, что знакомые форумы тоже взломаны так же через PHP, есть веские причины быть в этом уверенным, и не только из-за моего взлома, но и из-за информации от информаторов. Я случайно заметил проблему с PHP, и только у меня децентрализованная инфраструктура с разными серверами, поэтому я смог быстро понять, каким образом произошла атака, не будь у меня резервных серверов на которых нету PHP, возможно я бы не догадался как произошёл взлом.
ФБР решились на взлом именно сейчас только по одной причине, потому что не хотели допустить утечки информации от https://fultoncountyga.gov/ в украденных документах содержится много интересного и судебные дела Дональда Трампа, которые могут повлиять на ход предстоящих выборов в США. Лично я буду голосовать за Трампа, потому что ситуация на границе с Мексикой это какой-то кошмар, Байдену пора на пенсию, он марионетка. Если бы не атака ФБР, то документы были бы опубликованы в этот же день, потому что переговоры зашли в тупик, сразу после того, как партнёр опубликовал пресс релиз в блог, ФБР очень не понравилось, что общественность узнала истинные причины отказа всех систем этого города. Если бы не ситуация с выборами, ФБР продолжило бы сидеть у меня на сервере в ожидании каких-либо зацепок для моего ареста и ареста моих партнёров, но, чтобы вас не поймали достаточно просто качественно отмывать криптовалюту. На ваших ресурсах может сидеть ФБР и так же собирать информацию полезную для ФБР, но не показывать всему миру что вы взломаны, потому что вы не наносите никакого критического ущерба, вы приносите только пользу. Какие выводы можно сделать из этой ситуации? Очень простые, что нужно чаще и больше атаковать .gov сектор, именно после таких атак ФБР будет вынуждена показывать мне слабые и уязвимые места и делать меня сильнее. Атакуя .gov сектор можно точно узнать есть ли у ФБР возможность атаковать нас или нет.
Даже если вы после прочтения этой информации обновили свою версию PHP, этого будет недостаточно, потому что нужно менять хостера, сервер, все возможные пароли, пароли пользователей в базе, делать аудит исходников и всё переносить, нет никаких гарантий что у вас не произвели закрепление на сервере. Нет никаких гарантий что у ФБР нет 0day для ваших серверов о которых они уже узнали достаточно информации для повторного взлома, поэтому поможет только полная смена всего что только можно заменить.
Все остальные сервера с резервными блогами на которых не был установлен PHP не пострадали и продолжат раздавать данные, украденные у атакованных компаний.
В результате взлома серверов, ФБР получили базу данных, исходники веб панели, стабы локеров, которые не являются исходниками как они утверждают и малую часть незащищенных декрипторов, они заявляют о 1000 декрипторах, хотя на сервере было почти 20000 декрипторов большая часть из которых была защищенными и не может быть использована ФБР. Благодаря базе данных они узнали сгенерированные никнеймы партнёров, которые не имеют ничего общего с их настоящими никами на форумах и даже никами в мессенджерах, не удалённые чаты с атакованными компаниями и соответственно кошельки для денег, по которым будут вести расследования и искать всех тех, кто не отмывает крипту, а возможно и арестовывать людей занимающихся отмыванием и обвинять их в том, что они мои партнёры, хотя это не так. Вся эта информация не имеет никакой ценности, потому что всё это передаётся в ФБР и без взлома панели, после каждой сделки страховыми агентами или переговорщиками.
Единственное что представляет ценность и потенциальную угрозу это исходники панели, благодаря им вероятно возможны будущие взломы если пускать всех подряд в панель, но теперь панель будет разделена на множество серверов, для проверенных партнёров и для случайных людей, вплоть до 1 копии панели для 1 партнёра на отдельном сервере, раньше была одна панель на всех. Благодаря разделению панели и более масштабной децентрализации, отсутствию триал декрипта в автоматическом режиме, максимальной защите декрипторов для каждой компании, шанс взлома будет значительно снижен. Утечка исходников панели происходила и у конкурентов, это не помешало им продолжить работу, не помешает и мне.
ФБР говорит, что получили около 1000 декрипторов, красивая цифра, но совершенно не похоже на правду, да они получили какие-то не защищенные декрипторы, те билды локера, которые делались без галочки «максимальная защита декриптора» могли быть получены ФБР только за последние 30 дней, не известно в какой день ФБР получило доступ к серверу, но точно известно дата обнародования CVE и дата когда PHP выдал ошибку, до 19 февраля атакованные компании регулярно платили даже за незащищенные декрипторы, поэтому есть вероятность ФБР находились на сервере только 1 день, было бы хорошо если бы ФБР опубликовало все декрипторы в публичный доступ, тогда можно было бы им верить, что они действительно владеют декрипторами, а не блефуют и восхвалают своё превосходство, а не превосходство 1 умного пентестера с публичной CVE. Обращаю внимание, что подавляющее большинство незащищенных декрипторов приходится на партнёров, которые шифруют брут дедики и спамят одиночные компьютеры, берут выкупы по 2000 долларов, т.е. даже если 1000 декрипторов есть у ФБР, толку от них мало, главное, что они не получили все декрипторы за все 5 лет работы, численность которых составляет около 40000. Получается, что ФБР смогли завладеть только 2.5% декрипторов от общего количества, да это плохо, но это не фатально.
С этого знаменательного момента, когда ФБР взбодрили меня, я перестану быть ленивым и сделаю так что абсолютно каждый билд локера будет с максимальной защитой, теперь не будет автоматического триал декрипта, все триал декрипты и выдача декрипторов будет производиться только в ручном режиме. Таким образом при возможной следующей атаке ФБР не сможет получить бесплатно ни одного декриптора.
Наверное, уже все заметили, как красиво ФБР изменили дизайн блога, еще никому и никогда не предоставляли таких почестей, обычно всем просто ставили обычную заглушку с похвалой всех спец служб мира. Хотя по факту похвалу заслуживает только один человек со всей планеты, именно тот, кто провел пентест моего сайта и подобрал нужную паблик CVE, интересно сколько ему заплатили, сколько составляла его премия? Если меньше миллиона долларов, тогда приходи работать на меня, со мной ты наверняка заработаешь больше. Или просто приходи поговорить ко мне в токс [censored] помни о том, что у меня всегда активна программа баг-баунти и я плачу деньги за найденные баги. ФБР не ценит твои таланты, а я ценю и готов щедро платить.
Интересно, почему так красиво не оформляли блоги альфы, ревила, хайва? Почему не публиковали их деаноны? Хотя ФБР известны их личности? Странно не правда-ли? потому что такими глупыми методами ФБР пытается запугать меня и заставить перестать работать. Дизайнер из ФБР должен работать на меня, у тебя хороший вкус, особенно мне понравился новый прелоадер, в новом обновлении надо сделать что-нибудь похожее, США, Великобритания и Европа крутятся вокруг моего логотипа, блестящая идея, вот прям сделали мне очень приятно, спасибо.
Арестовали якобы пару моих партнёров, если честно я очень сильно сомневаюсь в этом, скорее всего это просто люди которые занимаются отмыванием криптовалют, возможно они работали на какие-то миксеры и обменники дропами, поэтому их арестовали и посчитали моими партнёрами, было бы интересно увидеть видео ареста, где у них дома, ламборджини и ноутбуки с доказательствами в причастности к нашей деятельности, но мне почему-то кажется что мы этого не увидим, так как ФБР арестовали случайных людей для получения почётной грамоты от руководства, мол вот смотрите есть посадки, мы получаем деньги не зря, мы честно отрабатываем налоги и сажаем в тюрьму случайных людей, тогда когда реальные пентестеры спокойно продолжают свою работу. Басстерлорд не пойман, я знаю реальное имя Басстерлорда, и оно отличается от бедолаги, которого поймало ФБР.
Я не знаю никакого военного журналиста из Севастополя полковника Кассада, и никогда никому не донатил, было бы хорошо если ФБР показали бы транзакцию, чтобы я мог проверить по блокчейну откуда они сделали такие выводы и почему они утверждают, что это сделал именно я, никогда не делаю ни одной транзакции без миксера биткоин.
Если я мог использовать тот же самый сервис обмена криптовалют который использовал кто-то из Evil Corp это совершенно не значит, что я имею отношение к Evil Corp, опять же где транзакции? Откуда мне знать кто и каким обменником пользуется? Я пользуюсь разными обменниками и не концентрирую все деньги на одном обменнике криптовалют. Давайте будем обвинять сотни других людей, которые используют общедоступные обменники в том, что это Evil Corp.
Мне очень не нравится, что все подобные вбросы делаются без публикаций транзакций и кошельков, таким образом невозможно проверить что является правдой. Можно обвинять меня в чем угодно, ничего не доказывая, и я никак не смогу это опровергнуть, потому что нет транзакций и кошельков биткоин.ФБР заявляет, что мои доходы составляют более 100 миллионов долларов, это является правдой, я очень рад что удалял чаты с очень крупными выплатами, теперь буду удалять чаще и мелкие выплаты тоже. Эти цифры говорят о том, что я на правильном пути, что, даже допуская ошибки это не останавливает меня и я исправляю ошибки и продолжаю зарабатывать деньги. Это показывает, что никакой взлом от ФБР не может помешать бизнесу процветать, ведь что меня не убивает – делает сильнее.
Все действия ФБР направлены на уничтожение репутации моей партнёрской программы, мою деморализацию, они хотят, чтобы я сам ушёл и бросил работу, хотят испугать меня, потому что они не могут найти и устранить меня, меня не остановить, можете даже не надеятся, пока я живой я буду продолжать делать пентест с пост оплатой.
Мне очень приятно что ФБР взбодрили меня, привели в тонус и заставили оторваться от развлечений и денежных трат, очень тяжело сидеть за компьютером имея сотни миллионов долларов, единственное что мотивирует меня на работу так это сильные конкуренты и ФБР, появляется спортивный интерес и желание соревноваться. С конкурентами кто заработает больше денег и атакует больше компаний, а с ФБР смогут ли они меня поймать или не смогут, и я уверен, что не смогут, глядя на то, какими методами они работают.
ФБР обещали опубликовать мой деанон, но не выполнили своё обещение, эти люди смеют лгать о том, что я якобы не удаляю украденную информацию компаний после оплаты выкупа, устроили клоунаду. Получается, что ФБР официально признали себя лжецами и очень часто лгут, как и заявляли об этом мои знакомые адвокаты Аркадий Бух, Дмитрий Наскавец и Виктор Смилянец, теперь я им верю на 100%. Они сделали глупую попытку дискредитировать меня, заявили, что я работаю на ФБР, человек, который ежедневно шифрует компании США, и зарабатывает сотни миллионов долларов делает это с одобрения ФБР? Так получается? Очень умно.
Вы подумаете зачем мне работать имея сотни миллионов долларов? А я отвечу, что мне просто скучно, я люблю свою работу, она приносит мне радость от жизни, деньги и роскошь не приносят такой радости как моя работа, именно поэтому я готов рисковать жизнью ради своего дела, именно такой яркой, насыщенной и опасной должна быть жизнь на мой взгляд.
*когда я пишу слово ФБР я имею ввиду не только ФБР, но и всех их помощников, которые умеют арестовывать сервера партнёров, которые выступают в качестве первой прокладки после кражи данных с атакованной компании и не представляют никакой ценности: South West Regional Organized Crime Unit in the U.K., Metropolitan Police Service in the U.K., Europol, Gendarmerie-C3N in France, the State Criminal Police Office L-K-A and Federal Criminal Police Office in Germany, Fedpol and Zurich Cantonal Police in Switzerland, the National Police Agency in Japan, the Australian Federal Police in Australia, the Swedish Police Authority in Sweden, the National Bureau of Investigation in Finland, the Royal Canadian Mounted Police in Canada, and the National Police in the Netherlands. Поэтому попрошу не обижайтесь, я о вас не забыл, вы тоже были очень полезны в этой операции. Но напомню, что лично я считаю единственный человек, который заслуживает премию и почётную грамоту это тот, кто подобрал подходящую публичную PHP CVE для моих серверов, предполагаю это кто-то из Prodaft.
Список доменов резервного блога, до которых, не смогли дотянуться ФБР, потому что на этих серверах не установлен PHP.
На этих серверах размещены не только компании, которые вы можете видеть на главном домене, но и множество компаний, которые передавались для скачки в ручном режиме, т.е. ссылки, для которых являются секретными, и публикуются в случае, если компания отказывается платить выкуп, например:
[censored]
эти и множество других компаний сохранились, позже они будут опубликованы в новом блоге.Зеркала резервного блога, можно подставлять любой домен к секретным ссылкам, в случае если какой-либо домен перегружен от желающих скачать украденные данные:
[censored]Новые домены главного блога
[censored]Даже после взлома ФБР, украденные данные будут опубликованы в блоге, нет никаких шансов уничтожить украденные данные без оплаты. А после введения максимальной защиты на каждый билд локера, не будет никаких шансов на бесплатный декрипт даже для 2.5% атакованных компаний.
Новые партнёры могут работать в моей партнёрской программе если имеют репутацию на форумах, могут доказать, что являются пентестерами с пост-оплатой, или внеся депозит в размере 2 биткоина, повышение депозита связано с доказательствами и красивой рекламой от ФБР, которая заключается в том, что мои партнёры и я зарабатываем вместе сотни миллионов долларов, а также что никакое ФБР со своими помощниками не сможет меня напугать и остановить, стабильность сервиса гарантирована годами непрерывной работы.
Пишите в токс [censored]
Почему восстанавливались 4 дня? Потому что пришлось править исходники под последнюю версию PHP, так как была не совместимость.
С уважением, LockBit.
24 февраля 2024 год
ФБР и Национальное агентство по борьбе с преступностью Великобритании пресекли деятельность хакеров LockBit