LockBit, označovaný orgány činnými v trestním řízení „za jeden z nejplodnějších ransomwarových gangů na světě“, byl rozbit v rámci koordinované kampaně, na níž se podílely úřady ve Spojených státech, Spojeném království a půl tuctu dalších zemí, oznámilo dnes několik agentur.
Americké ministerstvo spravedlnosti zveřejnilo obvinění proti dvěma Rusům, Arturu Sungatovovi a Ivanu Kondratěvovi, z provádění útoků LockBit proti americkým společnostem. Sungatov údajně od ledna 2021 zasáhl výrobce, pojišťovny a další společnosti v nejméně šesti státech.
„Dnes jim americké a britské orgány činné v trestním řízení odebírají klíče od jejich zločinecké operace,“ uvedl v prohlášení ministerstva spravedlnosti americký generální prokurátor Merrick Garland. „A my jdeme ještě o krok dál – získali jsme také klíče od zabavené infrastruktury LockBit, abychom obětem pomohli dešifrovat jejich zachycené systémy a získat zpět přístup k jejich datům.“
Kondratyev, na internetu známý jako „Bassterlord“, údajně od srpna 2021 nasazoval ransomware na různé cíle, od městských úřadů po korporace v Oregonu, Portoriku a v zámoří.
Úřad ministerstva financí pro kontrolu zahraničních aktiv (OFAC) uvalil na Sungatova a Kondratěva sankce, zakázal americkým osobám a společnostem s nimi obchodovat a zmrazil veškerý majetek spadající pod americkou jurisdikci a přidal na sankční seznam devět adres bitcoinových a jednu ethereovou peněženku, které jsou s nimi spojeny.
Výsledkem několikaměsíční „operace Cronos“ bylo zabavení desítek serverů v Evropě, Severní Americe a Austrálii, které byly využívány k útokům ransomwaru LockBit, jenž šifroval data obětí a vymáhal od nich platby, uvádí se v úterním oznámení Europolu.
Úřady také převzaly kontrolu nad portálem na dark webu, kde LockBit zveřejňoval citlivé údaje ukradené obětem, které odmítly zaplatit.
„Nyní jsme zničili online páteř skupiny LockBit, jednoho z nejplodnějších ransomwarových gangů na světě,“ uvedla v prohlášení výkonná ředitelka Europolu Catherine De Bolle.
„Prvním krokem k tomu, aby se kyberzločinci dostali za mříže, je nahlásit kyberzločin, když k němu dojde,“ dodala. „Čím dříve to lidé nahlásí, tím rychleji mohou orgány činné v trestním řízení vyhodnotit nové metodiky a omezit škody, které mohou způsobit.“
Co byl LockBit?
LockBit se poprvé objevil na začátku roku 2020 a používal ransomware, který zašifroval soubory obětí a zablokoval je v síti, pokud nezaplatily výkupné, obvykle v kryptoměně. Podle obžaloby ministerstva spravedlnosti byly platby obvykle požadovány v bitcoinech.
Stejně jako jiné gangy typu „ransomware jako služba“ fungovala společnost LockBit prostřednictvím základní skupiny vývojářů, kteří vytvářeli nástroje malwaru a provozovali infrastrukturu, a poté najímali přidružené subjekty, aby infikovaly cíle výměnou za podíl z výnosů. Vývojáři skupiny LockBit udržovali ovládací panel, který umožňoval přidruženým subjektům zahájit útoky několika kliknutími.
Podle Europolu v roce 2022 LockBit zastínil ostatní kmeny ransomwaru a stal se nejrozšířenějším na světě. Syndikát podle ministerstva spravedlnosti shrábl na výkupném více než 120 milionů dolarů od více než 2 000 obětí po celém světě, přičemž celkové požadavky pravděpodobně dosáhly stovek milionů.
Společnost LockBit proslula používáním „trojího vydírání“, kdy obětem vyhrožovala nejen zašifrovanými daty, ale také odhalením ukradených informací a ochromujícími útoky typu „denial-of-service“.
Autority vracejí úder
Úkolová skupina „Operace Cronos“ složená z orgánů činných v trestním řízení z 10 zemí se po několik měsíců snažila LockBit rozbít. Zlom přišel se zabavením desítek řídicích a kontrolních serverů, na které LockBit spoléhal při nasazování ransomwaru a řízení svých operací. Podle Europolu nyní úřady „převzaly kontrolu nad technickou infrastrukturou, která umožňuje fungování všech prvků služby LockBit“.
V důsledku toho bylo „identifikováno a předáno k odstranění více než 14 000 nepoctivých účtů odpovědných za exfiltraci nebo infrastrukturu,“ uvedla agentura.
Francouzské a americké úřady navíc zatkly nebo vznesly obvinění proti rostoucímu seznamu údajných členů LockBit. Polsko zadrželo podezřelého z výkupného Ivana Kondratjeva v říjnu 2022, zatímco další ruský občan byl zatčen na Ukrajině.
V souvislosti s nedávnou ofenzivou byly vydány tři mezinárodní zatykače. Francouzské úřady rovněž zajistily pět obvinění. Úřady mezitím zmrazily peněženky s kryptoměnami, které členové LockBit údajně používali k placení výkupného.
„To podtrhuje odhodlání narušit ekonomické pobídky, které jsou hnací silou útoků ransomwaru,“ uvedlo ministerstvo spravedlnosti.
Pomoc obětem při zotavování
Ovládnutím systémů společnosti LockBit získaly úřady dešifrovací klíče, které pomohly stovkám obětí získat zpět přístup k jejich datům.
„Obracíme karty proti společnosti LockBit, poskytujeme dešifrovací klíče, odemykáme data obětí a stíháme zločinecké pobočky společnosti LockBit po celém světě,“ uvedla v oznámení zástupkyně generálního prokurátora Lisa Monaco.
Oběti útoků společnosti LockBit se vyzývají, aby kontaktovaly orgány činné v trestním řízení prostřednictvím webových stránek ministerstva spravedlnosti a zjistily, zda lze jejich soubory dešifrovat.
Tato řešení byla rovněž bezplatně zpřístupněna na portálu „No More Ransom“, který je k dispozici v 37 jazycích. Portál No More Ransom, který obsahuje více než 120 řešení schopných dešifrovat více než 150 typů ransomwaru, dosud využilo více než 6 milionů obětí po celém světě.
Monaco uvedl, že tato operace znamená pro jednu z nejagresivnějších skupin ransomwaru velký neúspěch, ale nebude to poslední akce proti kyberzločincům.
„Naše vyšetřování bude pokračovat a my jsme i nadále stejně odhodlaní identifikovat a obvinit všechny členy skupiny LockBit – od jejích vývojářů a správců až po její přidružené společnosti,“ uvedl americký státní zástupce Philip Sellinger. „Upozorníme na ně jako na hledané zločince. Už se nebudou skrývat ve stínu. „