LockBit ransomware: операция Cronos

[weaver]

Они могли сразу сдеанонить локбита. Зачем ждать 2 дня? Думаю это просто сделано для того, чтобы посмотреть кто будет дергатся тот и локбит. В порыве паники можно много глупостей наделать. Мб они мониторят просто .

 

[darkmode_code]

а что делал phar на сервере? что-то я не уверен, что лохбит сусодминов по объявлению набирал.
хотя...

Отличный вопрос. Я тоже ранее его задавал) Они либо делали сборку сайта на скомпрометированных серваках или давали загрузить такое файлы. Такую уязвимость надо уметь поймать.

 

[N3tSh4d0w]

Зачем ждать 2 дня?

Держат интригу, театральная задержка, все замерли в напряжении

 

[hackeryaroslav]

Они могли сразу сдеанонить локбита. Зачем ждать 2 дня? Думаю это просто сделано для того, чтобы посмотреть кто будет дергатся тот и локбит. В порыве паники можно много глупостей наделать. Мб они мониторят просто .

им просто нравятся наши треды про него читать, вот и интригу зарубили, хорошо им форум прогрели

 

[Quake3]

рнр как рнр, не хуже и не лучше других скриптовых языков. Нет безопасных языков программирования.

Эти срачи постоянно есть, причем РНР ? Офигенный язык для веба. Как будто руби или петухон неуязвимые.
Тут blackcat вроде срался с локбитом (давно еще) на тему языков программирования, в итоге котов первых и поимели с их растом или что там за илитные технологии были на серверах.

Писал уже не раз - у пендосов есть рце под все популярные платформы , ос, фреймворки и так далее. Ревилов также взломали. Живите теперь с этим.

 

[kosok11]

меня убило наличие гмейлов у обоих товарищей

Может их подтянули уже после фактического деанона? Через тот же условный глаз по телефонам \ номерам паспортов \ фио \ доб. Просто мысль, а почему бы и нет.

 

[Volts]

Для меня эта вся операция это просто коррупционная схема.

Хронос, пожирающий своих детей, намекает на то же самое. Но к чему такой жирный намек?

 

[IT-user]

Они могли сразу сдеанонить локбита. Зачем ждать 2 дня? Думаю это просто сделано для того, чтобы посмотреть кто будет дергатся тот и локбит. В порыве паники можно много глупостей наделать. Мб они мониторят просто .

Про Басстера сразу же написали, про Локбита 2 дня) Скорее всего внутреннюю кухню там еще полностью не разобрали, где-то может наследил ищут это или кэши смотрят. 100% уверенности нету.

 

[wrk1337]

ф

Эти срачи постоянно есть, причем РНР ? Офигенный язык для веба. Как будто руби или петухон неуязвимые.
Тут blackcat вроде срался с локбитом (давно еще) на тему языков программирования, в итоге котов первых и поимели с их растом или что там за илитные технологии были на серверах.

Писал уже не раз - у пендосов есть рце под все популярные платформы , ос, фреймворки и так далее. Ревилов также взломали. Живите теперь с этим.

На 1C надо писать было бэк

 

[ThorZirael]

Я обратил внимание в индайтменте на Басстера эпизод, где был сделан акцент, что он получил выкуп от жертвы на Монеро, возможно я мнительный, но в увязке с эпизодом по финну Кивимяки допускаю, что появились технологии эффективно трекать монеро (возможно при ошибках и увязке с биржами).

Все биржи CSV выгружают все что есть с XMR транзами поквартально, + по объемам и времени мониторят.

Т.е. условно если сумма от 1-го битка и выше, то дальше смотрят мб кто-то эквивалент XMR в BTC проводит, допустим в течении суток, таким образом тоже отслеживают, причем есть реальные кейсы такие, где именно таким образом деанонили.

 

[SistemMan]

Все биржи CSV выгружают со всеми XMR транзами поквартально, + по объемам и времени мониторят.

Так там получается же не по 10-20 монер гоняли а тысячами ) я думаю сам факт прогона по акку какого-то количества монерки врубает определеные закладочки и начинается монитор на что менялось , куда выводилось и тд

Про Басстера сразу же написали, про Локбита 2 дня) Скорее всего внутреннюю кухню там еще полностью не разобрали, где-то может наследил ищут это или кэши смотрят. 100% уверенности нету.

Там все сидят педанты , без отработки всех возможных по их мнению вариантов событий они бы не начали операцию , там дяди сидят умные , они могли сидеть в системе непонятно сколько времени , естественно никаких подробностей не будет , просто если они начали глушить все , значит есть какая-то уверенность и почти 100% подозрения на кого-то конкретного , а так бы просто дальше в системе висели бы и дальше наблюдали , там кто-то выше писал что по шапке давали за выкупы компашкам, тут скорее наоборот под это дело компашки своих не копейки и не платили , за все уплачено налогоплательщиками великой и могучей

 

[bratva]

Может их подтянули уже после фактического деанона? Через тот же условный глаз по телефонам \ номерам паспортов \ фио \ доб. Просто мысль, а почему бы и нет.

Так и сделали, наверное. Это же личные емэйлы. Но я бы не рекомендовал использовать никакие американские сервисы (особенно такие ханипоты как гмейл) для любых целей.

Зачем дарить свои персональные данные, которые будут использоваться против вас?

 

[SistemMan]

У них там такие операции под сотни лямов баксов выходят , любой чих неверный со стороны мусоров это бабки в трубу , так что если начали глушить все то что то у них да и есть , они не дураки и по шапке от начальства получать никто не хочет за пук в пустоту

 

[ThorZirael]

Так там получается же не по 10-20 монер гоняли а тысячами ) я думаю сам факт прогона по акку какого-то количества монерки врубает определеные закладочки и начинается монитор на что менялось , куда выводилось и тд

В основном в таких кейсах по объему деанонят, условно на кош XMR зашла большая сумма, допустим 1млн, далее мониторят в блокчейнах крупные транзы эквивалент той суммы, и далее отрабатывают этих "китов".

 

[Adamantis]

мощно ты) то есть, если человек "петушара", но при этом много зарабатывает, то к нему нужно норм относиться?) кажется, ты предвзято смотришь на вещи)

Я не проститутка, но 100 баксов есть 100 баксов (с)

 

[kamzzzzz]

Зачем ждать 2 дня?

Может его ждут в аэропорту? Но очевидно, что это сделано для того чтобы он начал дергаться

 

[MaFio]

у пендосов есть рце под все популярные платформы , ос, фреймворки и так далее

При этом эти боеприпасы применяются автоматически.

Вот как это описывает Эдвард Сноуден в своей книге:

Представьте, что вы сидите за компьютером и хотите зайти на веб-сайт. Открываете веб-браузер, набираете URL, нажимаете «Ввод». URL – это ваш запрос, который уходит, чтобы отыскать сервер назначения. Где-то на полпути, прежде чем ваш запрос достигнет того сервера, он пройдет через TURBULENCE, один из самых могущественных инструментов АНБ.

Характерно, что ваш запрос пройдет сквозь ряд «черных» серверов, поставленных один на другой, образовав нечто, по высоте похожее на книжный шкаф. Они устанавливаются в специальных комнатах в больших частных телекоммуникационных зданиях по всем странам-союзницам, а также в посольствах США и на военных базах США и содержат два критически важных инструмента. Первый – это TURMOIL, он отвечает за «пассивный сбор», делая копии с проходящих сквозь него данных. Второй – TURBINE, он отвечает за «активный сбор» – то есть вступает во взаимодействие с пользователем.

Вы можете считать TURMOIL стражем, поставленным у невидимого брандмауэра, через который проходит интернет-трафик. Видя ваш запрос, он проверяет его метаданные на критерии, которые помечают этот запрос как заслуживающий более тщательного рассмотрения. Критерии могут быть любыми, смотря что АНБ сочтет подозрительным: тот или иной электронный адрес, кредитная карточка или телефонный номер; географическая точка, где инициируется интернет-активность, или конечный пункт запроса; определенные «ключевые слова», как, например, «анонимный прокси» или «протест».

Если TURMOIL поставит флажок на подозрительный трафик, он скинет его на TURBINE, который завернет ваш запрос на серверы АНБ. Там алгоритмы решат, какой из эксплойтов агентства – вредоносную программу – применить против вас. Этот выбор зависит от типа веб-сайта, который вы хотели посетить, а также от программного обеспечения вашего компьютера и интернет-подключения. Выбранные эксплойты отправляются обратно на TURBINE (с помощью пакета программ Quantum, если вас это интересует), и она вводит их в канал трафика и доставляет к вам вместе с веб-сайтом, который вас интересовал. Конечный результат: вы получаете весь контент, который хотели, вместе со всей слежкой, которую не хотели, и все это произошло за 686 миллисекунд. Совершенно без вашего ведома.

Как только эксплойты оказались на вашем компьютере, АНБ может собирать не только ваши метаданные, но и остальные данные тоже. Вся ваша цифровая жизнь отныне всецело принадлежит им.

 

[tuda]

Что вы обсуждаете? Какой-такой взлом? Если сервера не в России, Иране или еще в каких зонах, где амеров посылают прямо с порога,
то просто пришли с бумагой и конфисковали сервак, нахрена что-то ломать?

вот тоже так подумал. а раз изъять не смогли, потому и похекали по пхп )
и вообще считаю что никто не может знать кроме федей, как его точно похекали и сколько времени пасли.
мало того, думаю даже феди из соседних отделов не зхнают подробночсти, а мы тут на форуме уже все знаем)))

 

[weaver]

Может его ждут в аэропорту? Но очевидно, что это сделано для того чтобы он начал дергаться

Спасибо за тавтологию.

 

[c0d3x]

Может его ждут в аэропорту?

Да, он просто ужинает сейчас в самом дорогом ресторане Нью-Йорка и потом вылетает в Китай. Ориентировки в аэропорту: флэшка на шее, на красной веревочке.