о проведении операции Cronos стало известно ранее на этой неделе. В результате множество сайтов LockBit, предназначенных для «слива» данных и переговоров с жертвами, перестали работать и перешли под контроль правоохранительных органов. Однако власти не сразу раскрыли подробности проведенной операции и теперь тоже делятся информацией дозировано, обещая публиковать новые данные постепенно.
Сообщается, что международную операцию по пресечению деятельности LockBit возглавляло Национальное агентство по борьбе с преступностью Великобритании (NCA), а правоохранителей из 11 стран мира координировали Европол и Евроюст. Расследование началось еще в апреле 2022 года, по запросу французских властей.
«В результате операции, длившейся несколько месяцев, была скомпрометирована основная платформа LockBit и другая критически важная инфраструктура, которая обеспечивала деятельность этой преступной организации, — сообщает Европол. — В ходе операции были захвачены 34 сервера в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, США и Великобритании».
Как заявляют представители Европола, инфраструктура LockBit теперь находится под контролем властей. Во время операции был выявлено более 14 000 учетных записей, связанных с кражей информации или инфраструктурой группы, которые использовались LockBit для размещения различных инструментов и софта, используемых в атаках, а также для хранения файлов, украденных у компаний. Теперь данные об этих учетных записях переданы правоохранительным органам.
«Некоторые данные в системах LockBit принадлежали жертвам, которые заплатили выкуп злоумышленникам. Это свидетельствует о том, что даже если выкуп выплачивается, это еще не гарантирует, что данные действительно будут удалены, несмотря на обещания преступников», — отмечают в NCA.
Также стало известно, что правоохранители извлекли с захваченных серверов LockBit более 1000 ключей для дешифрования данных. Используя эти ключи, полиция Японии, NCA и ФБР, при поддержке Европола, создали инструмент для расшифровки данных, пострадавших в результате атак LockBit 3.0 Black Ransomware. Этот бесплатный дешифратор уже доступен на портале No More Ransom.
Кроме того, Европол утверждает, что удалось собрать «огромное количество данных» о работе LockBit, которые теперь будут использованы в расследованиях, связанных с лидерами группы, разработчиками малвари и ее операторами.
Пока известно только о двух арестах: в Польше и Украине, где по запросу французских властей арестованы два участника LockBit, чьи личности не раскрываются.
Кроме того, французские и американские власти выдали еще три международных ордера на арест и опубликовали пять обвинительных заключений, связанных с другими членами группировки.
«Мы арестовали не всех, кто связан с LockBit (с ядром группы или ее партнерами). Это долгосрочный процесс. Сейчас мы собрали огромное количество информации и будем подбираться к этим людям, особенно если они будут находиться в доступных нам в юрисдикциях. Но теперь все они знают, что мы следим за ними, ищем их, и будут постоянно оглядываться через плечо», — заявил в ходе пресс-конференции заместитель исполнительного директора Европола по оперативной работе Жан-Филипп Лекуфф (Jean-Philippe Lecouffe).
Министерство юстиции США, в свою очередь, предъявило заочные обвинения двум гражданам России, Артуру Сунгатову и Ивану Геннадьевичу Кондратьеву (он же Bassterlord), за их причастность к атакам в составе LockBit.
Отметим, что сайт для «слива» данных, который обычно использовался хакерами для публикации похищенной у компаний-жертв информации и шантажа, теперь «сливает» данные о самой LockBit.
Среди уже опубликованных правоохранителями данных можно выделить скриншоты бэкэнда LockBit.
Что касается захваченных криптовалютных кошельков группы, пока неизвестно, какое количество средств они содержали. Но, вероятно, теперь некоторые компании, пострадавшие от атак LockBit, сумеют вернуть заплаченные хакерам выкупы, как в 2021 году удалось сделать компании Colonial Pipeline.
Тем не менее, несмотря на то, что сейчас инфраструктура LockBit практически полностью ликвидирована , а правоохранители производят успешные аресты бывших участников, самые преданные оставшиеся тёмные хакеры не сидят сложа руки и уже разрабатывают новое вредоносное ПО, которое может помочь группировке исправить своё положение и возродиться из пепла, подобно фениксу.
Так, недавно специалисты Trend Micro обнаружили новое программное обеспечение от LockBit, отслеживаемое исследователями как LockBit-NG-Dev. Оно может послужить основой для следующей версии их вредоносного ПО LockBit 4.0.
Новая версия фирменного шифровальщика разработана на .NET и скомпилирована с использованием CoreRT, что делает её более универсальной и менее зависимой от конкретной платформы. Это может свидетельствовать о попытке группы расширить свои возможности для атак на разнообразные системы. Более того, несмотря на ликвидацию своей инфраструктуры, хакеры всё ещё проводят кибератаки.
В отличие от предыдущих версий, LockBit-NG-Dev лишилась возможности самораспространения, что было характерно для ранних реализаций LockBit. Это изменение может указывать на стремление группы улучшить собственный контроль над распространением вредоносного ПО и избежать нежелательного внимания со стороны служб безопасности.
Кроме того, новая версия включает в себя механизмы для более тонкой настройки атак, что, вероятно, позволит аффилиатам более эффективно управлять процессом шифрования данных жертв и переговорами о выкупе.
Учитывая существенные изменения в новой версии ПО и предпринятые усилия по устранению предыдущих недостатков, есть основания полагать, что LockBit имеет шансы восстановить своё положение на киберпреступном рынке. Мы будем следить за противостоянием злоумышленников и правоохранителей.
С заботой о вашей безопасности, команда Origin Security
