LockBit, opisany przez organy ścigania jako „jeden z najbardziej płodnych gangów ransomware na świecie”, został zlikwidowany w ramach skoordynowanej kampanii z udziałem urzędników w Stanach Zjednoczonych, Wielkiej Brytanii i pół tuzina innych krajów, ogłosiło dziś wiele agencji.
Departament Sprawiedliwości USA ujawnił akt oskarżenia przeciwko dwóm Rosjanom, Arturowi Sungatowowi i Iwanowi Kondratjewowi, za przeprowadzanie ataków LockBit na amerykańskie firmy. Sungatov rzekomo uderzył w producentów, firmy ubezpieczeniowe i inne firmy w co najmniej sześciu stanach od stycznia 2021 roku.
„Dzisiaj amerykańskie i brytyjskie organy ścigania odbierają klucze do ich przestępczej operacji” – powiedział prokurator generalny USA Merrick Garland w komunikacie Departamentu Sprawiedliwości. „Idziemy o krok dalej – uzyskaliśmy również klucze z przejętej infrastruktury LockBit, aby pomóc ofiarom odszyfrować przejęte systemy i odzyskać dostęp do ich danych”.
Kondratyev, znany w Internecie jako „Bassterlord”, rzekomo wdrożył oprogramowanie ransomware na celach, od władz miejskich po korporacje w Oregonie, Puerto Rico i za granicą, począwszy od sierpnia 2021 r.
Globalny zasięg operacji Cronos mającej na celu wyeliminowanie LockBit. Zdjęcie: Europol
Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu (OFAC) nałożyło sankcje na Sungatova i Kondratyeva, zakazując amerykańskim osobom i firmom prowadzenia z nimi interesów oraz zamrażając wszelkie aktywa podlegające jurysdykcji USA, a także dodało dziewięć adresów portfeli Bitcoin i jeden Ethereum powiązanych z nimi do listy sankcji.
Trwająca kilka miesięcy „Operacja Cronos” doprowadziła do przejęcia dziesiątek serwerów w Europie, Ameryce Północnej i Australii, które były wykorzystywane do przeprowadzania ataków ransomware LockBit, które szyfrowały dane ofiar i wymuszały od nich płatności, zgodnie z wtorkowym komunikatem Europolu.
Authorities also took control of the portal on the dark web where LockBit published sensitive data stolen from victims who refused to pay.
„Zniszczyliśmy teraz internetowy kręgosłup grupy LockBit, jednego z najbardziej płodnych gangów ransomware na świecie” – powiedziała w oświadczeniu dyrektor wykonawcza Europolu Catherine De Bolle.
„Pierwszym krokiem do wsadzenia cyberprzestępców za kratki jest zgłaszanie cyberprzestępstw, gdy do nich dojdzie” – dodała. „Im wcześniej ludzie to zgłoszą, tym szybciej organy ścigania będą w stanie ocenić nowe metodologie i ograniczyć szkody, jakie mogą wyrządzić”.
Czym był LockBit?
LockBit po raz pierwszy pojawił się na początku 2020 roku, wykorzystując oprogramowanie ransomware, które szyfruje pliki ofiar i blokuje je przed dostępem do ich sieci, chyba że zapłacą okup, zwykle w kryptowalucie. Zgodnie z aktem oskarżenia Departamentu Sprawiedliwości, płatności były zazwyczaj wymagane w Bitcoinach.
Podobnie jak inne gangi „ransomware-as-a-service”, LockBit działał za pośrednictwem głównej grupy programistów, którzy stworzyli narzędzia złośliwego oprogramowania i zarządzali infrastrukturą, a następnie rekrutowali podmioty stowarzyszone do infekowania celów w zamian za część wpływów. Deweloperzy LockBit utrzymywali pulpit nawigacyjny, który umożliwiał partnerom przeprowadzanie ataków za pomocą kilku kliknięć.
W 2022 r. LockBit przyćmił inne szczepy ransomware, stając się według Europolu najczęściej wdrażanym na świecie. Według Departamentu Sprawiedliwości syndykat zgarnął ponad 120 milionów dolarów okupu od ponad 2000 ofiar na całym świecie, a łączne żądania prawdopodobnie sięgają setek milionów.
LockBit zyskał rozgłos dzięki stosowaniu „potrójnego wymuszenia”, grożąc ofiarom nie tylko zaszyfrowanymi danymi, ale także ujawnieniem skradzionych informacji i paraliżującymi atakami typu denial-of-service.
Authorities strike back
Ponadto francuscy i amerykańscy urzędnicy aresztowali lub postawili zarzuty rosnącej liście domniemanych członków LockBit. Polska zatrzymała podejrzanego o ransomware Ivana Kondratieva w październiku 2022 roku, podczas gdy inny obywatel Rosji został aresztowany na Ukrainie.
W związku z ostatnią ofensywą wydano trzy międzynarodowe nakazy aresztowania. Władze francuskie zapewniły również pięć aktów oskarżenia. W międzyczasie władze zamroziły portfele kryptowalutowe, których członkowie LockBit rzekomo używali do płacenia okupu.
„Podkreśla to zaangażowanie w zakłócanie bodźców ekonomicznych napędzających ataki ransomware” – powiedział Departament Sprawiedliwości.
Pomoc ofiarom w odzyskaniu danych
Dzięki kontroli nad systemami LockBit, władze uzyskały klucze deszyfrujące, aby pomóc setkom ofiar odzyskać dostęp do swoich danych.
„Odwracamy sytuację LockBit, dostarczając klucze deszyfrujące, odblokowując dane ofiar i ścigając przestępcze oddziały LockBit na całym świecie” – powiedziała w komunikacie zastępca prokuratora generalnego Lisa Monaco.
Ofiary ataków LockBit są zachęcane do skontaktowania się z organami ścigania za pośrednictwem strony internetowej Departamentu Sprawiedliwości w celu ustalenia, czy ich pliki można odszyfrować.
Rozwiązania te zostały również udostępnione za darmo na portalu „No More Ransom”, dostępnym w 37 językach. Do tej pory ponad 6 milionów ofiar na całym świecie skorzystało z No More Ransom, który zawiera ponad 120 rozwiązań zdolnych do odszyfrowania ponad 150 rodzajów oprogramowania ransomware.
Monaco powiedział, że operacja ta stanowi poważne niepowodzenie dla jednej z najbardziej agresywnych grup ransomware, ale nie będzie ostatnią akcją przeciwko cyberprzestępcom.
„Nasze dochodzenie będzie kontynuowane i jesteśmy tak samo zdeterminowani jak zawsze, aby zidentyfikować i oskarżyć wszystkich członków LockBit – od programistów i administratorów po podmioty stowarzyszone” – powiedział prokurator Philip Sellinger. „Zwrócimy na nich uwagę jako na poszukiwanych przestępców. Nie będą już dłużej ukrywać się w cieniu.”
