LockBit ransomware: операция Cronos

[bratva]

Простите мне мою лень, но имею некоторые другие планы на выходные, чем модерировать этот замечательный топик.

Поэтому до появления новых значительных новостей - тему закрываем. Всем хороших выходных.

 

[rwxrwx]

I didn’t get into the essence, but it looks like it’s hot: Local File Disclosure / File Read to RCE, SQL injection to RCE, XXE to RCE.
and the reason is a small bug in glibc.

Iconv, set the charset to RCE: Exploiting the glibc to hack the PHP engine (part 1)

A few months ago, I stumbled upon a 24 years old buffer overflow in the glibc, the base library for linux programs. Despite being reachable in multiple well-known libraries or executables, it proved rarely exploitable — while it didn't provide much leeway, it required hard-to-achieve...

www.ambionics.io

GitHub - ambionics/cnext-exploits: Exploits for CNEXT (CVE-2024-2961), a buffer overflow in the glibc's iconv()

Exploits for CNEXT (CVE-2024-2961), a buffer overflow in the glibc's iconv() - ambionics/cnext-exploits

github.com

Bug a little similar to the php bug which took down the infrastructure of lockbit

 

[Dread Pirate Roberts]

Bug a little similar to the php bug which took down the infrastructure of lockbit

and which bug took down the infrastructure of lockbit?

 

[rwxrwx]

and which bug took down the infrastructure of lockbit?

CVE-2023-3824

 

[Dread Pirate Roberts]

CVE-2023-3824

it is just an assumption, I believe lockbit's sysadmin has IQ above 70 and has removed all unnecessary PHP modules from production servers.

 

[bratva]

it is just an assumption, I believe lockbit's sysadmin has IQ above 70 and has removed all unnecessary PHP modules from production servers.

Да хyйня эта была, а не предположение. Поимели каким-то другим способом, возможно он до сих пор не понимает, каким именно. Учитывая, что при апдейте блога выложили новые акки аффилэйтов из панели.

rwxrwx, that's was wrong assumption that LB admitted himself later. The only guys who know truth is some technician from FBI and PRODAFT

 

[rwxrwx]

bratva Thank you for clarification, any clues on which bug as initial attack was used against LB infrastructure? Or inside job from a dev...

 

[bratva]

bratva Thank you for clarification, any clues on which bug as initial attack was used against LB infrastructure? Or inside job from a dev...

I didn't notice anything for this moment but I doubt that it was inside work because it seems like Khoroshev is dev.

 

[Rehub]

 

[bratva]

Rehub​

Этот наброс никакого отношения не имеет ни к ЛБ, ни к операции кронос - у ЛБ никогда не было канала в ТГ или каких-либо контактов там же. Какие-то дурачки малолетние развлекаются.

 

[Rehub]

На DEF CON рассказали историю идентификации администратора LockBit.

В идентификации администратора программы-вымогателя LockBit, известного под никами LockBitSupp и putinkrab, участвовал исследователь ИБ-фирмы Analyst1 Джон ДиМаджио. В рамках конференции DEF CON он поделился историей внедрения в банду и рассказал о наводке, которая помогла в установлении личности хакера — 31-летнего уроженца Воронежа Дмитрия Хорошева. Сжатую версию истории опубликовал Techcrunсh:

How a cybersecurity researcher befriended, then doxed, the leader of LockBit ransomware gang | TechCrunch

Jon DiMaggio used sockpuppet accounts, then his own identity, to infiltrate LockBit and gain the trust of its alleged admin, Dmitry Khoroshev.

techcrunch.com

Для знакомства с LockBitSupp ДиМаджио притворился начинающим киберпреступником, желающим присоединиться к банде. С помощью подставных аккаунтов он общался с ближайшим окружением хакера, создавая персону, имеющую бэкграунд и связи в даркнете.

Месяцами он завоевывал доверие Хорошева и стал его другом, по пути выведывая детали проводимых кибератак. Они обсуждали, как вести переговоры с жертвами и как установить правильный размер выкупа.

Узнать реальное имя LockBitSupp помогла анонимная наводка — ДиМаджио получил адрес его Яндекс-почты.

«Это был мой первый опыт доксинга. [После того, как ФБР объявило] его имя, я опубликовал все остальное: место жительства, текущие и предыдущие номера телефонов», — рассказал специалист.

В качестве прощания ДиМаджио написал Хорошеву сообщение с объяснением, что он должен раскрыть его личность прежде, чем это сделают другие:

«LockBitSupp, ты умный парень. Ты сказал, что деньги больше не главное, и ты хочешь иметь миллион жертв, прежде чем остановишься, но иногда нужно знать, когда уйти. Настало то самое время, мой старый друг».

После этого Хорошев больше ему не писал.

Подробный рассказ со всей документацией доступен в блоге ДиМаджио:

https://analyst1.com/ransomware-diaries-volume-1

 

[MaFio]

Подробный рассказ со всей документацией

После того как Джон ДиМаджио на DEF CON 2024 выдал свой эпический хакерский мастер-класс, Netflix решил взорвать мир новым шедевром — «Секретут».

Главный герой, вдохновлённый подвигами ДиМаджио, обклеивает клавиатуру кириллическими наклейками, набивает тату LockBit на щеке и в каждой серии щеголяет париками всех цветов радуги, отчаянно пытаясь общаться с русскоязычными хакерами, которые регулярно шлют его с применением матерного языка программирования.

В тёмном подвале, где он героически рулит макросами в Microsoft Word, он готов к любому пентесту — ведь кто, если не он, покажет лучшим хакерам планеты, что Секретут — лучший мастер хакерских нападений.

 

[voldemort]

Те, у кого есть большие эго, в конце концов всегда ломаются.

 

[dunkel]

Забугорные менты такие пафосные, при любом дефейсе/захвате домена (используя свое положение) любого сайта который не имеет особой ценности, вешают кучу логотипов, пафосных хакерских картинок и т.д. Видимо чтобы все знали что налоги уходят не просто так, а вот, делаем работу

 

[DildoFagins]

Месяцами он завоевывал доверие Хорошева и стал его другом

Все думали, что эго Локбита до добра его не доведет, но оказалось, до добра не довело простое человеческое желание иметь друзей...

 

[lolka228]

А не этот челик на аватарке у локбита на экспе был? Получается переиграл и уничтожил.

 

[Brandon]

Узнать реальное имя LockBitSupp помогла анонимная наводка — ДиМаджио получил адрес его Яндекс-почты.

и как же этот ДиМаджио вытянул его личный емейл при переписке поясните пожалуйста?
это больше похоже на пустые выдумки и фантазии, а не на его супер скиллы в доксинге

 

[Brandon]

Все думали, что эго Локбита до добра его не доведет, но оказалось, до добра не довело простое человеческое желание иметь друзей...

почему вы так это решили?
можете дать скриншот переписке где LockBitSupp сам лично опубликовал личный емейл?

 

[jenk]

да тут правды не узнаешь, этот тип с рекламы облысения, тоже может сидит и пиздит, какой он мега крутой антималварщик. А по факту, рекламит свою контору, чтобы бабки туда потекли рекой от тех, кто хочет защититься.

 

[jenk]

почему вы так это решили?
можете дать скриншот переписке где LockBitSupp сам лично опубликовал личный емейл?

ага, сейчас только на яндекс диск зайдет скачать, и сразу скинет.