Patru noi arestări și confiscări de servere critice ale infrastructurii LockBit au avut loc în cadrul amplei operațiuni internaționale împotriva actorilor LockBit, celui mai mare și mai prolific furnizor de servicii ransomware din lume (RaaS). La cererea autorităților franceze a fost arestat un presupus dezvoltator al LockBit, iar autoritățile britanice au arestat două persoane care susțineau activitatea unui afiliat LockBit. De asemenea, ofițerii spanioli au confiscat nouă servere care fac parte din infrastructura ransomware-ului și au arestat administratorul unui serviciu de găzduire Bulletproof, folosit de grupul de ransomware. În plus, Australia, Marea Britanie și SUA au stabilit sancțiuni împotriva unui actor pe care Agenția Națională a Crimei îl identificase ca fiind un prolific afiliat al LockBit și strâns legat de Evil Corp. Acesta din urmă vine după afirmația LockBit că cele două grupuri de ransomware nu lucrează împreună.
Marea Britanie a sancționat alți cincisprezece cetățeni ruși pentru implicarea lor în activitățile criminale ale Evil Corp, în timp ce SUA au sancționat șase cetățeni, iar Australia – doi.
Infrastructura completă LockBit din punctul de vedere al forțelor de ordine
Acestea sunt câteva dintre rezultatele celei de-a treia etape a Operațiunii Cronos, un efort colectiv de lungă durată al autorităților de aplicare a legii din 12 țări (între care și Unitatea Centrală de Criminalitate Cibernetică a IGPR), Europol și Eurojust, care și-au unit forțele pentru a perturba operațiunile criminale ale grupului de ransomware LockBit.
Aceste acțiuni urmează perturbării masive a infrastructurii LockBit din februarie 2024, precum și sancțiunilor și operațiunilor care au avut loc împotriva administratorilor LockBit în luna mai și lunile următoare.
Parte din operațiunea Cronos, în februarie 2024, înainte de a lansa un videoclip prin care anunță că a preluat controlul asupra întregii infrastructuri LockBit, NCA din Marea Britanie a postat o serie de tweet-uri în stilul unui ceas cu numărătoare inversă.
Pe lângă eliminarea infrastructurii, au fost înghețate peste 200 de conturi de criptomonede, au fost impuse sancțiuni, au fost desființate 34 de servere și 14.000 de conturi, iar trei afiliați LockBit au fost arestați în Polonia și Ucraina.
De asemenea, s-a descoperit că, deși site-ul promisese că va șterge datele exfiltrate ale victimelor odată ce răscumpărarea fusese plătită, acest lucru nu s-a întâmplat.
Când alte site-uri RaaS au fost desființate, pur și simplu s-au deconectat sau a apărut o notificare de sechestru de către forțele de ordine unde era site-ul. Eliminarea din februarie 2024 iese în evidență deoarece site-ul LockBit în sine a fost preluat de forțele de ordine și folosit, inclusiv pentru comunicate de presă, chei de decriptare, știri despre arestările afiliaților și rechizitori. Cu alte cuvinte, forțele de aplicare a legii au reușit să „troleze” una dintre cele mai importante întreprinderi criminale cibernetice din lume.
Între 2021 și 2023, LockBit a fost cea mai utilizată variantă de ransomware la nivel global, cu un număr mare de victime revendicate pe site-ul său de scurgeri de date. Lockbit a operat pe baza de răscumpărare ca model de serviciu. Grupul de bază a vândut accesul la date către afiliați și a primit comisioane din plățile de răscumpărare colectate.
Entitățile care implementau atacurile ransomware LockBit au vizat organizații de diferite dimensiuni până la sectoare critice de infrastructură (servicii financiare, alimentație și agricultură, educație, energie, servicii guvernamentale și de urgență, asistență medicală, producție și transport).
Reflectând numărul considerabil de afiliați independenți implicați, atacurile ransomware LockBit prezintă variații semnificative în tacticile, tehnicile și procedurile observate.
Fără răscumpărare pentru a vă decripta fișierele
Cu sprijinul Europol, poliția japoneză, UK’s National Crime Agency (NCA) și FBI și-au concentrat expertiza tehnică pe dezvoltarea instrumentelor de decriptare concepute pentru a recupera fișierele criptate de LockBit Ransomware.
Sprijinul din partea sectorului securității cibernetice s-a dovedit, de asemenea, crucial pentru reducerea la minimum a daunelor cauzate de atacurile ransomware, care rămâne cea mai mare amenințare de criminalitate cibernetică. Mulți parteneri au furnizat deja instrumente de decriptare pentru o serie de familii de ransomware prin intermediul site-ului web „No More Ransom”.
Soluțiile au fost puse la dispoziție gratuit pe portalul „No More Ransom”, disponibil în 37 de limbi. Până acum, peste 6 milioane de victime din întreaga lume au beneficiat de No More Ransom, care conține peste 120 de soluții capabile să decripteze peste 150 de tipuri diferite de ransomware.
Ce este LockBit?
LockBit este un furnizor RaaS, ceea ce înseamnă că oferă platforma, infrastructura și instrumentele pentru alți actori amenințări sau afiliați individuali pentru a efectua atacuri ransomware. A devenit proeminentă după desființarea grupului de ransomware Conti în 2022, atrăgând afiliați, inclusiv actori notorii de amenințări precum FIN7 și Evil Corp, precum și foștii membri Conti. Potrivit companiei de informații despre amenințări PRODAFT, LockBit pare să fi dezvoltat o versiune personalizată a software-ului pentru acești foști membri Conti, cunoscută sub numele de LockBit Green.
Funcționând ca o afacere, LockBit a lansat campanii promoționale, cum ar fi plata de 1.000 de dolari celor care doresc să li se tatueze logo-ul LockBit. La fel ca și alte companii de tehnologie, a lansat un program de recompensă pentru erori, încurajând hackerii să caute și să raporteze vulnerabilități în codul sursă. Platforma în sine a fost extrem de personalizabilă și ușor de utilizat.
Dar ceea ce a diferențiat cu adevărat LockBit de alți furnizori RaaS a fost modelul de plată. De obicei, furnizorii RaaS primeau întreaga plată a răscumpărării de la victimă și apoi plătesc cea mai mare parte afiliatului, reținând un commision. LockBit le-a permis afiliaților să colecteze singuri răscumpărarea, după care a perceput un commision de 20%.
Potrivit Cisco Talos Intelligence Group, LockBit a fost responsabil pentru 25% din implementările globale de ransomware în 2023. Dar LockBitSupp, liderul LockBit, are, de asemenea, o reputație interesantă în peisajul criminalității cibernetice, fiind interzis de pe cele mai importante două forumuri subterane în limba rusă. , XSS și Exploit, pentru că nu a plătit un broker de acces inițial. În 2022, LockBitSupp a avut o dispută cu privire la plata unei recompense pentru erori cu dezvoltatorul LockBit 3.0, cea mai recentă versiune a software-ului, ceea ce a dus la scurgerea codului sursă de către dezvoltator.