Sitio de ransomware LockBit golpeado por ataque DDoS cuando los hackers comienzan a filtrar datos de Entrust

El sitio web de fugas de la operación de ransomware LockBit se desconectó debido a un ataque de denegación de servicio distribuido (DDoS) que parece haber sido lanzado en respuesta a la publicación de datos robados por los ciberdelincuentes a la empresa de seguridad Entrust. La violación de Entrust se descubrió el 18 de junio y la empresa comenzó a notificar a los clientes el 6 de julio. Sin embargo, la intrusión solo salió a la luz el 21 de julio, cuando un investigador de seguridad encontró una copia de la notificación enviada por Entrust a los clientes.

Algunos investigadores dijeron en ese momento que Entrust probablemente había sido víctima de ransomware, pero no se nombró a ningún grupo. Sin embargo, el 18 de agosto, el grupo LockBit se atribuyó el ataque y amenazó con filtrar todos los archivos robados en 24 horas a menos que Entrust pagara un rescate.

Poco después de que los hackers de black hat comenzaran a publicar los datos de Entrust, su sitio web de fugas basado en Tor fue atacado por un ataque DDoS. Las solicitudes de ataque dirigidas al sitio web de LockBit incluían una cadena que instaba al grupo de ciberdelincuencia a eliminar los datos robados de Entrust.

El investigador de Cisco Talos, Azim Shukuhi , dijo que los ciberdelincuentes afirmaron que habían recibido 400 solicitudes por segundo de más de 1,000 servidores.

No está claro quién está detrás del ataque, pero se ha especulado que podría ser el mismo Entrust. La empresa de seguridad no ha compartido ninguna actualización sobre el incidente más allá de su declaración inicial que confirma la violación de los sistemas utilizados para recursos humanos, finanzas y marketing. La compañía dijo que no había evidencia de que la operación o la seguridad de sus productos y servicios se vieran afectadas.

En el momento de escribir este artículo, el sitio web de LockBit 3.0 parece estar mayormente fuera de línea. Después logró acceder a él una vez y la página dedicada a Entrust mostró un mensaje que decía que los operadores de LockBit están buscando un rastreador de torrents donde puedan cargar los datos robados a la empresa de ciberseguridad. Los hackers afirman haber obtenido 300 Gb de información.

La investigadora Soufiane Tahiri obtuvo una copia de lo que parece ser una conversación entre Entrust y los atacantes. Muestra que los hackers pidieron inicialmente un rescate de $8 millones y luego lo redujeron a $6,8 millones, pero la víctima solo estaba dispuesta a pagar $1 millón

En respuesta al ataque , el grupo de ciberdelincuencia dice que está trabajando para fortalecer su infraestructura para protegerla contra futuros ataques DDoS y quiere encontrar soluciones de almacenamiento alternativas que les permitan filtrar datos incluso si su sitio web se interrumpe. Además, planean lanzar sus propios ataques DDoS contra las víctimas como parte de un modelo de triple extorsión que incluye cifrado de archivos, fugas de datos y ataques DDoS.