Банда LockBit, которую правоохранительные органы называют «одной из самых распространенных в мире банд вымогателей», была уничтожена в ходе скоординированной кампании с участием официальных лиц США, Великобритании и полудюжины других стран, объявили сегодня многочисленные агентства.
Министерство юстиции США обнародовало обвинительное заключение против двух россиян, Артура Сунгатова и Ивана Кондратьева, за проведение атак LockBit на американские компании. Как утверждается, Сунгатов с января 2021 года атаковал производителей, страховые фирмы и другие компании по меньшей мере в шести штатах.
«Сегодня правоохранительные органы США и Великобритании забирают ключи от их преступной операции», — заявил генеральный прокурор США Меррик Гарланд в релизе Минюста. «Мы идем дальше — мы также получили ключи от захваченной инфраструктуры LockBit, чтобы помочь жертвам расшифровать захваченные системы и восстановить доступ к своим данным».
Кондратьев, известный в сети под ником «Bassterlord», предположительно распространил выкупное ПО на различные цели — от городских властей до корпораций — в Орегоне, Пуэрто-Рико и за рубежом, начиная с августа 2021 года.
Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против Сунгатова и Кондратьева, запретив американским физическим и юридическим лицам вести с ними дела и заморозив любые активы, находящиеся под юрисдикцией США, и добавило в санкционный список девять адресов кошельков Bitcoin и один Ethereum, связанных с ними.
В результате многомесячной операции «Кронос» были конфискованы десятки серверов в Европе, Северной Америке и Австралии, которые использовались для проведения атак LockBit с использованием выкупного ПО, шифровавшего данные жертв и требовавшего от них оплаты, говорится в сообщении Европола, опубликованном во вторник.
Власти также взяли под контроль портал в темной паутине, где LockBit публиковал конфиденциальные данные, украденные у жертв, которые отказывались платить.
«Теперь мы уничтожили онлайн-основу группировки LockBit, одной из самых распространенных в мире банд вымогателей», — говорится в заявлении исполнительного директора Европола Катрин де Болле.
«Первый шаг к тому, чтобы посадить киберпреступников за решетку, — это сообщать о киберпреступлениях, когда они происходят», — добавила она. «Чем раньше люди сообщают, тем быстрее правоохранительные органы могут оценить новые методики и ограничить ущерб, который они могут нанести. «
Что такое LockBit?
LockBit впервые появился в начале 2020 года, используя программы-вымогатели, которые шифровали файлы жертв и блокировали их доступ к своим сетям, если они не заплатят выкуп, обычно в криптовалюте. Согласно обвинительному заключению Минюста США, платежи обычно требовались в биткойнах.
Как и другие банды, работающие по принципу «ransomware-как-услуга», LockBit действовала через основную группу разработчиков, которые создавали вредоносные программы и управляли инфраструктурой, а затем набирали филиалы для заражения целей в обмен на долю от выручки. Разработчики LockBit поддерживали информационную панель, которая позволяла филиалам запускать атаки несколькими щелчками мыши.
По данным Европола, в 2022 году LockBit превзошел другие штаммы ransomware и стал самым распространенным в мире. По данным Министерства юстиции, синдикат собрал более 120 миллионов долларов в виде выкупа от более чем 2000 жертв по всему миру, а общая сумма требований, вероятно, достигла сотен миллионов.
LockBit получил известность за использование «тройного вымогательства», угрожая жертвам не только зашифрованными данными, но и раскрытием украденной информации и разрушительными атаками на отказ в обслуживании.
Авторитеты наносят ответный удар
Целевая группа «Операция Кронос», состоящая из правоохранительных органов 10 стран, в течение нескольких месяцев вела борьбу с LockBit. Переломным моментом стал захват десятков командно-контрольных серверов, на которых LockBit размещала вымогательские программы и управляла своими операциями. По данным Европола, власти «взяли под контроль техническую инфраструктуру, позволяющую работать всем элементам сервиса LockBit».
В результате «более 14 000 неавторизованных учетных записей, ответственных за эксфильтрацию или инфраструктуру, были идентифицированы и направлены на удаление», заявили в агентстве.
Кроме того, французские и американские власти арестовали или предъявили обвинения растущему списку предполагаемых участников LockBit. В октябре 2022 года Польша задержала подозреваемого в распространении вымогательства Ивана Кондратьева, а еще один гражданин России был арестован на Украине.
В связи с недавним наступлением было выдано три международных ордера на арест. Французские власти также получили пять обвинительных заключений. Тем временем власти заморозили криптовалютные кошельки, которые члены LockBit предположительно использовали для выплаты выкупа.
«Это подчеркивает стремление разрушить экономические стимулы, побуждающие к атакам на выкупное ПО», — заявили в Минюсте США.
Помощь жертвам
Получив контроль над системами LockBit, власти получили ключи дешифрования, чтобы помочь сотням жертв восстановить доступ к своим данным.
«Мы одерживаем верх над LockBit, предоставляя ключи дешифрования, разблокируя данные жертв и преследуя преступные филиалы LockBit по всему миру», — заявила заместитель генерального прокурора Лиза Монако.
Жертвам атак LockBit рекомендуется обращаться в правоохранительные органы через веб-сайт Министерства юстиции, чтобы узнать, можно ли расшифровать их файлы.
Эти решения также доступны бесплатно на портале ‘No More Ransom’, доступном на 37 языках. На данный момент более 6 миллионов жертв по всему миру воспользовались услугами портала No More Ransom, который содержит более 120 решений, способных расшифровать более 150 типов программ-вымогателей.
По словам Монако, эта операция наносит серьезный удар по одной из самых агрессивных групп, занимающихся распространением выкупного ПО, но не станет последней акцией против киберпреступников.
«Наше расследование будет продолжаться, и мы по-прежнему полны решимости выявить и предъявить обвинения всем членам LockBit — от разработчиков и администраторов до аффилированных лиц», — сказал прокурор США Филип Сэлинджер. «Мы объявим их в розыск как преступников. Они больше не будут прятаться в тени».
