Działalność gangu ransomware LockBit została wstrzymana w wyniku aresztowań i aktów oskarżenia

Nielegalna działalność gangu ransomware LockBit została znacząco zakłócona niedawnym oświadczeniem brytyjskiej Narodowej Agencji ds. Przestępczości (NCA). Właściwy organ krajowy ujawnił, że pomyślnie uzyskał kod źródłowy LockBit i zebrał informacje dotyczące jego operacji i powiązanych grup za pośrednictwem specjalnej grupy zadaniowej Operacja Cronos.

Ważnym odkryciem NCA jest to, że dane znalezione w systemach LockBit zawierały informacje od ofiar, które zapłaciły już okup, co jest sprzeczne z obietnicami złożonymi przez przestępców dotyczącymi usunięcia takich danych. Podkreśla to ryzyko związane ze spełnieniem żądań okupu.

Ponadto właściwy organ krajowy potwierdził aresztowanie dwóch osób powiązanych z LockBit w Polsce i na Ukrainie. Ponadto zamrożono ponad 200 kont kryptowalutowych powiązanych z grupą, a w USA ujawniono akty oskarżenia przeciwko dwóm obywatelom Rosji rzekomo zaangażowanym w ataki LockBit.

Artur Sungatov i Ivan Gennadievich Kondratiev, znani jako Bassterlord, zostali oskarżeni o wdrożenie LockBit przeciwko licznym ofiarom, w tym firmom z różnych branż w USA i na całym świecie. Kondratyevowi grożą dodatkowe zarzuty związane z wykorzystaniem wariantu oprogramowania ransomware Sodinokibi (REvil).

Niedawne działania są następstwem międzynarodowych wysiłków mających na celu zakłócanie działania LockBit, opisanego przez właściwy organ krajowy jako jedna z najbardziej szkodliwych grup cyberprzestępczych na świecie. W ramach operacji agencja przejęła kontrolę nad usługami LockBit i zinfiltrowała całą jego sieć przestępczą, w tym środowiska administracyjne podmiotów stowarzyszonych i strony wycieków z ciemnej sieci.

Ponadto zdemontowano 34 serwery należące do podmiotów stowarzyszonych LockBit, a władze odzyskały ze skonfiskowanych serwerów ponad 1000 kluczy deszyfrujących. LockBit, działający od końca 2019 r., działa w modelu oprogramowania ransomware jako usługi, udzielając licencji na programy szyfrujące podmiotom stowarzyszonym, które przeprowadzają ataki w zamian za część okupu.

Ataki LockBit obejmują taktykę podwójnego wymuszenia, w ramach której poufne dane są kradzione przed zaszyfrowaniem, co wywiera presję na ofiary, aby płaciły, aby zapobiec wyciekowi danych. Grupa eksperymentowała także z potrójnym wymuszeniem, łącząc ataki DDoS z tradycyjnymi taktykami okupu.

Niestandardowe narzędzia, takie jak StealBit, ułatwiają eksfiltrację danych, a władze przejmują infrastrukturę używaną do organizowania i przesyłania danych ofiar. Według Eurojustu i Departamentu Sprawiedliwości ataki LockBit dotknęły ponad 2500 ofiar na całym świecie, generując nielegalne zyski przekraczające 120 milionów dolarów.

Dyrektor generalny NCA Graeme Biggar podkreślił sukces wspólnych wysiłków mających na celu sparaliżowanie operacji LockBit, podkreślając zdobycie kluczowych kluczy, które pomogą ofiarom w odszyfrowaniu ich systemów. Ostrzegł również, że choć LockBit może podejmować próby odbudowy, organy ścigania są świadome swojej tożsamości i metod, co wskazuje na znaczący cios dla ich wiarygodności i możliwości.