LockBit Ransomware Gangs operationer lukkes ned med arrestationer og anklager

LockBit ransomware-bandens ulovlige aktiviteter er blevet væsentligt forstyrret med den seneste meddelelse fra UK National Crime Agency (NCA). NCA afslørede, at det med succes erhvervede LockBits kildekode og indsamlede efterretninger om dets operationer og tilknyttede grupper gennem Operation Cronos, en dedikeret taskforce.

En vigtig afsløring fra NCA er, at data fundet på LockBits systemer indeholdt information fra ofre, der allerede havde betalt løsesum, hvilket modsiger løfterne fra de kriminelle om at slette sådanne data. Dette understreger de risici, der er forbundet med at efterkomme krav om løsesum.

Yderligere bekræftede NCA anholdelsen af to personer med tilknytning til LockBit i Polen og Ukraine. Derudover er over 200 cryptocurrency-konti knyttet til gruppen blevet frosset, og anklager er blevet ophævet i USA mod to russiske statsborgere, der angiveligt er involveret i LockBit-angreb.

Artur Sungatov og Ivan Gennadievich Kondratiev, kendt som Bassterlord, er blevet anklaget for at have installeret LockBit mod adskillige ofre, herunder virksomheder på tværs af forskellige industrier i USA og globalt. Kondratyev står over for yderligere anklager i forbindelse med brugen af Sodinokibi (REvil) ransomware-varianten.

De seneste handlinger kommer efter en international indsats for at forstyrre LockBit, beskrevet af NCA som en af de mest skadelige cyberkriminalitetsgrupper på verdensplan. Som en del af operationen tog agenturet kontrol over LockBits tjenester og infiltrerede hele dets kriminelle netværk, inklusive affilierede administrationsmiljøer og mørke web-lækagesider.

Ydermere er 34 servere tilhørende LockBit associerede selskaber blevet demonteret, og myndigheder har hentet over 1.000 dekrypteringsnøgler fra konfiskerede servere. LockBit, der har fungeret siden slutningen af 2019, opererer på en ransomware-as-a-service-model, der licenserer krypteringer til tilknyttede selskaber, der udfører angreb i bytte for en del af løsesummen.

LockBits angreb involverer dobbelt afpresningstaktik, hvor følsomme data bliver stjålet før kryptering, hvilket tilføjer pres på ofrene til at betale for at forhindre datalækage. Gruppen har også eksperimenteret med tredobbelt afpresning, inkorporeret DDoS-angreb sammen med traditionelle løsepengetaktik.

Brugerdefinerede værktøjer som StealBit letter dataeksfiltrering, hvor myndigheder beslaglægger infrastruktur, der bruges til at organisere og overføre offerdata. Ifølge Eurojust og DoJ har LockBit-angreb påvirket over 2.500 ofre verden over og genereret ulovlige overskud på over 120 millioner dollars.

NCA's generaldirektør, Graeme Biggar, understregede succesen med den samarbejdsindsats, der var med til at lamme LockBits operationer, og fremhævede anskaffelsen af afgørende nøgler til at hjælpe ofrene med at dekryptere deres systemer. Han advarede også om, at selvom LockBit måske forsøger at genopbygge, er retshåndhævende myndigheder opmærksomme på deres identitet og metoder, hvilket indikerer et betydeligt slag for deres troværdighed og kapacitet.