LockBit, описана от служители на правоприлагащите органи „като една от най-плодовитите банди за откуп в света“, е била разбита в рамките на координирана кампания, в която са участвали служители в САЩ, Обединеното кралство и половин дузина други държави, съобщиха днес множество агенции.
Министерството на правосъдието на САЩ разсекрети обвинителен акт срещу двама руснаци – Артур Сунгатов и Иван Кондратиев – за извършване на атаки с LockBit срещу американски компании. Твърди се, че от януари 2021 г. насам Сунгатов е нанесъл удари по производители, застрахователни компании и други дружества в поне шест щата.
„Днес правоприлагащите органи на САЩ и Обединеното кралство отнемат ключовете за тяхната престъпна операция“, заяви главният прокурор на САЩ Мерик Гарланд в съобщението на Министерството на правосъдието. „А ние отиваме още една стъпка напред – получихме и ключове от иззетата инфраструктура на LockBit, за да помогнем на жертвите да декриптират заловените системи и да възстановят достъпа си до своите данни.“
Твърди се, че от август 2021 г. Кондратиев, известен онлайн като „Bassterlord“, е разгърнал ransomware върху цели, вариращи от градски управи до корпорации в Орегон, Пуерто Рико и в чужбина.
Глобалният обхват на операция Cronos за сваляне на LockBit. Снимка: Европол
Службата за контрол на чуждестранните активи (OFAC) към Министерството на финансите наложи санкции на Сунгатов и Кондратиев, като забрани на американски физически лица и компании да правят бизнес с тях и замрази всички активи под американска юрисдикция, и добави девет адреса на портфейли за Bitcoin и един за Ethereum, свързани с тях, към списъка със санкции.
Продължилата месеци „операция Кронос“ доведе до конфискуването на десетки сървъри в Европа, Северна Америка и Австралия, които са били използвани за осъществяване на атаките с рансъмуер на LockBit, които криптираха данните на жертвите и ги изнудваха за плащания, според съобщение на Европол от вторник.
Органите също така поеха контрола над портала в тъмната мрежа, където LockBit публикуваше чувствителни данни, откраднати от жертвите, които отказваха да платят.
„Вече унищожихме онлайн гръбнака на групата LockBit, една от най-плодовитите банди за откуп в света“, заяви в изявлението изпълнителният директор на Европол Катрин де Бол.
„Първата стъпка към вкарването на киберпрестъпниците зад решетките е да съобщаваме за киберпрестъпленията, когато те се случват“, добави тя. „Колкото по-рано хората докладват, толкова по-бързо правоприлагащите органи могат да оценят новите методологии и да ограничат щетите, които те могат да причинят.“
Какво представляваше LockBit?
LockBit се появи за първи път в началото на 2020 г., като използваше ransomware, който криптира файловете на жертвите и ги блокира от мрежите им, освен ако не платят откуп, обикновено в криптовалута. Според обвинителния акт на Министерството на правосъдието плащанията обикновено са били изисквани в биткойни.
Подобно на други банди за „откупване като услуга“, LockBit е действала чрез основна група разработчици, които са създавали инструментите за зловреден софтуер и са управлявали инфраструктурата, след което са набирали филиали, които да заразяват целите в замяна на дял от приходите. Разработчиците на LockBit поддържаха табло за управление, което позволяваше на филиалите да стартират атаки с няколко кликвания.
През 2022 г. LockBit засенчва други щамове на ransomware и става най-широко разпространеният в света, според Европол. По данни на Министерството на правосъдието синдикатът е прибрал над 120 млн. долара под формата на откупи от повече от 2000 жертви в световен мащаб, като общите искания вероятно са достигнали стотици милиони.
LockBit придобива известност с използването на „тройно изнудване“, като заплашва жертвите не само с криптиране на данни, но и с разкриване на открадната информация и с осакатяващи атаки за отказ на услуги.
Органите отвръщат на удара
Специалната група „Операция Кронос“, съставена от правоприлагащи органи от 10 държави, в продължение на месеци се опитваше да пробие LockBit. Повратният момент настъпи с изземването на десетки сървъри за управление и контрол, на които LockBit разчиташе, за да внедрява софтуер за откуп и да управлява операциите си. Според Европол властите вече са „поели контрола върху техническата инфраструктура, която позволява функционирането на всички елементи на услугата LockBit“.
В резултат на това са идентифицирани и насочени за премахване „повече от 14 000 нелоялни акаунта, отговорни за ексфилтрацията или инфраструктурата“, заяви агенцията.
В допълнение, френски и американски служители са арестували или са повдигнали обвинения срещу все по-голям списък от предполагаеми членове на LockBit. През октомври 2022 г. Полша задържа заподозрения за получаване на откуп Иван Кондратиев, а друг руски гражданин беше арестуван в Украйна.
Във връзка с неотдавнашната офанзива са издадени три международни заповеди за арест. Френските власти също са осигурили пет обвинителни акта. Междувременно властите замразиха портфейли с криптовалути, за които се твърди, че членовете на LockBit са използвали за плащане на откупи.
„Това подчертава ангажимента за прекъсване на икономическите стимули, водещи до атаки с цел получаване на откуп“, заяви Министерството на правосъдието.
Помощ за възстановяване на жертвите
Получавайки контрол върху системите на LockBit, властите получиха ключове за декриптиране, за да помогнат на стотици жертви да възстановят достъпа си до своите данни.
„Обръщаме гръб на LockBit, предоставяме ключове за декриптиране, отключваме данните на жертвите и преследваме престъпните филиали на LockBit по целия свят“, заяви в съобщението заместник главният прокурор Лиза Монако.
Жертвите на атаките на LockBit се насърчават да се свържат с правоприлагащите органи чрез уебсайта на Министерството на правосъдието, за да установят дали файловете им могат да бъдат декриптирани.
Тези решения са предоставени безплатно и на портала „No More Ransom“, достъпен на 37 езика. Досега повече от 6 милиона жертви по целия свят са се възползвали от „No More Ransom“, който съдържа над 120 решения, способни да декриптират повече от 150 вида рансъмуер.
Монако заяви, че операцията нанася сериозен неуспех на една от най-агресивните групи за откуп, но няма да бъде последната акция срещу киберпрестъпниците.
„Нашето разследване ще продължи и ние оставаме твърдо решени както винаги да идентифицираме и обвиним всички членове на LockBit – от разработчиците и администраторите до свързаните с нея лица“, заяви американският прокурор Филип Селинджър. „Ще ги поставим в центъра на вниманието като издирвани престъпници. Те вече няма да се крият в сенките. „
