Программное обеспечение хакерской группы Lockbit использовалось для атак на более чем 2000 организаций на Западе. В настоящее время арестованы два предполагаемых члена группы. По всей видимости, преступники также управляли серверами в Швейцарии и Германия.
Международная команда следственных органов заявила, что разгромила хакерскую группу Lockbit. Об этом во вторник утром впервые сообщило британское правоохранительное агентство Национальное агентство по борьбе с преступностью (NCA).
Lockbit обвиняется в вымогательстве у тысяч компаний и организаций с помощью вредоносного программного обеспечения, краже их данных, шифровании и, в случае неуплаты выкупа, разглашении и продаже данных.
Согласно сообщению Европола, в настоящее время арестованы два предполагаемых члена группы, один в Польше, а другой в Украине.
Кроме того, было заморожено более 200 кошельков с криптовалютами и заблокировано 14 000 «мошеннических профилей». Профили, о которых не сообщалось, на каких платформах они размещены, предположительно использовались членами Lockbit для хранения украденных данных у вымогаемых организаций, а также для подготовки и проведения атак, пишет ИТ-портал «Bleeping Computer».
Далее в сообщении Европола указывается, что Lockbit также управляет инфраструктурой в этой стране. В результате были отключены 34 сервера, подключенных к группе, включая системы в Германия, Швейцария, Нидерланды, Финляндия, Австралия и США.
Кроме того, следователи выпустили три международных ордера на арест и пять обвинительных заключений против предполагаемых участников Lockbit. Двое обвиняемых хорошо известны: это россияне Артур Сунгатов и Иван Геннадиевич Кондратьев, более известный под псевдонимом «Басстерлорд».
«Операция Кронос» публикует ордер на арест на веб-сайте Lockbit
Правоохранительные органы из десяти западных стран сотрудничали в организации переворота: Германия, Швейцария, Франция, Великобритания, Нидерланды, Швеция, США, Канада, Австралия и Япония. Со стороны Швейцарии к расследованию были привлечены ФЕДПОЛ и кантональная полиция Цюриха.
Следственная группа под названием «Операция Кронос» также взяла под свой контроль страницу Lockbit в даркнете. Агентство Reuters распространило скриншот захваченной страницы даркнета во вторник утром со слоганом: «Сайт теперь находится под контролем полиции».
Согласно исследованию NZZ, во второй половине дня следователи разместили на странице даркнета различные сообщения, в том числе уголовный приказ для дополнительных участников Lockbit и рекомендацию жертвам киберпреступлений обращаться в полицию.
«Мы взломали хакеров», – заявил Грэм Биггар, директор NCA Великобритании, в пресс-релизе.
Власти, похоже, не имеют полного контроля
Но насколько на самом деле полный контроль властей над Lockbit, пока неясно. Исследователь безопасности Кевин Бомонт написал во вторник утром в своем посте на Mastodon, что три службы Lockbit все еще работают. По его словам, один из сервисов все еще предлагает украденные данные для продажи. NZZ смогла подтвердить это в ходе собственного исследования даркнета.
Далее британский телеканал «Sky News» сообщил, что представитель Lockbit сообщил через зашифрованное приложение для обмена сообщениями, что у группы есть резервные серверы, которые не были затронуты правоохранительными органами. Подтвердить утверждение не удалось.
Кроме того, на X распространяется письмо якобы от самого Локбита, в котором группа обращается к его деловым партнерам. В нем, в частности, говорится, что Lockbit стремится «постоянно совершенствовать свои механизмы защиты» и обеспечивать конфиденциальность своих данных. Сообщение было получено из профиля, относящегося к закрытой группе Telegram. NZZ не удалось проверить правдивость письма.
Вполне возможно, что Lockbit пытается восстановить свое преступное предприятие. Власти тоже знают об этом. «Наша работа на этом не заканчивается», – сказал глава NCA Биггар. Но теперь вы знаете, кто были участники и как они работали.
Данные теперь готовы к расшифровке
Lockbit – одна из самых значительных хакерских группировок в мире. По данным американского агентства юстиции, их программное обеспечение использовалось для более чем 2000 атак с вымогательством 120 миллионов долларов.
В 2022 году Lockbit был наиболее часто используемой программой-вымогателем. Среди их самых известных жертв были британская почтовая служба Royal Mail, и Федеральное министерствоюстиции.
Теперь у жертв вредоносного ПО есть надежда. Таким образом, по данным Европола, власти создали инструмент, который позволяет жертвам расшифровывать свои данные. Это доступно через веб-страницу «Больше никаких выкупов».
Власти Великобритании заявили, что Lockbit появился на русскоязычных форумах в 2019 году, что заставляет некоторых аналитиков предполагать, что группа была из России. На своем сайте в Даркнет, она указала свое местонахождение в Нидерландах, подчеркнув, что она аполитична и интересуется только деньгами.
Lockbit создал настоящую экосистему вокруг своего вредоносного ПО: группа продала программу так называемым аффилированным лицам, то есть партнерам, которые использовали ее для проведения реальных атак на предприятия и государственные органы. В случае успешных атак филиалы платили Lockbit часть выкупа, 20 процентов, согласно обвинительному заключению из США. Таким образом, речь идет о программе-вымогателе как услуге, то есть программном обеспечении для вымогательства как услуге.
Эта статья, первоначально озаглавленная “Wir haben die Hacker gehackt: Ermittler zerschlagen eine der wichtigsten Ransomware-Banden der Welt“, была написана и впервые опубликована в NZZ, авторы . Статья была переведена с немецкого. Оригинальную версию и полный контекст можно найти в оригинальной статье.