Hoạt động của băng đảng LockBit Ransomware bị ngừng hoạt động với các vụ bắt giữ và cáo trạng
Các hoạt động bất hợp pháp của băng nhóm ransomware LockBit đã bị gián đoạn đáng kể với thông báo gần đây từ Cơ quan Tội phạm Quốc gia Vương quốc Anh (NCA). NCA tiết lộ rằng họ đã lấy được thành công mã nguồn của LockBit và thu thập thông tin tình báo về hoạt động của nó cũng như các nhóm liên quan thông qua Operation Cronos, một lực lượng đặc nhiệm chuyên dụng.
Một tiết lộ quan trọng từ NCA là dữ liệu được tìm thấy trên hệ thống của LockBit bao gồm thông tin từ những nạn nhân đã trả tiền chuộc, trái ngược với lời hứa của bọn tội phạm là xóa dữ liệu đó. Điều này nhấn mạnh những rủi ro liên quan đến việc tuân thủ các yêu cầu về tiền chuộc.
Hơn nữa, NCA xác nhận việc bắt giữ hai cá nhân có liên quan đến LockBit ở Ba Lan và Ukraine. Ngoài ra, hơn 200 tài khoản tiền điện tử được liên kết với nhóm này đã bị đóng băng và các cáo trạng đã được công bố ở Mỹ chống lại hai công dân Nga bị cáo buộc liên quan đến các cuộc tấn công LockBit.
Artur Sungatov và Ivan Gennadievich Kondratiev, được biết đến với cái tên Bassterlord, đã bị cáo buộc triển khai LockBit chống lại nhiều nạn nhân, bao gồm các doanh nghiệp thuộc nhiều ngành công nghiệp khác nhau ở Hoa Kỳ và trên toàn cầu. Kondratyev phải đối mặt với các cáo buộc bổ sung liên quan đến việc sử dụng biến thể ransomware Sodinokibi (REvil).
Các hành động gần đây được đưa ra sau nỗ lực quốc tế nhằm phá vỡ LockBit, được NCA mô tả là một trong những nhóm tội phạm mạng nguy hiểm nhất trên toàn thế giới. Là một phần của hoạt động, cơ quan này đã kiểm soát các dịch vụ của LockBit và xâm nhập vào toàn bộ mạng lưới tội phạm của nó, bao gồm cả môi trường quản trị liên kết và các trang web rò rỉ web đen.
Hơn nữa, 34 máy chủ thuộc các chi nhánh của LockBit đã bị tháo dỡ và chính quyền đã lấy được hơn 1.000 khóa giải mã từ các máy chủ bị tịch thu. LockBit, hoạt động từ cuối năm 2019, hoạt động theo mô hình ransomware dưới dạng dịch vụ, cấp phép mã hóa cho các chi nhánh thực hiện các cuộc tấn công để đổi lấy một phần tiền chuộc.
Các cuộc tấn công của LockBit liên quan đến chiến thuật tống tiền kép, trong đó dữ liệu nhạy cảm bị đánh cắp trước khi mã hóa, gây thêm áp lực buộc nạn nhân phải trả tiền để ngăn chặn rò rỉ dữ liệu. Nhóm này cũng đã thử nghiệm ba lần tống tiền, kết hợp các cuộc tấn công DDoS cùng với các chiến thuật đòi tiền chuộc truyền thống.
Các công cụ tùy chỉnh như StealBit tạo điều kiện thuận lợi cho việc lọc dữ liệu, đồng thời chính quyền sẽ thu giữ cơ sở hạ tầng được sử dụng để tổ chức và truyền dữ liệu của nạn nhân. Theo Eurojust và DoJ, các cuộc tấn công LockBit đã ảnh hưởng đến hơn 2.500 nạn nhân trên toàn thế giới, tạo ra lợi nhuận bất hợp pháp vượt quá 120 triệu USD.
Tổng giám đốc NCA Graeme Biggar nhấn mạnh sự thành công của nỗ lực hợp tác trong việc làm tê liệt hoạt động của LockBit, nhấn mạnh việc mua lại các khóa quan trọng để hỗ trợ nạn nhân giải mã hệ thống của họ. Ông cũng cảnh báo rằng mặc dù LockBit có thể cố gắng xây dựng lại nhưng các cơ quan thực thi pháp luật đã biết về danh tính và phương pháp của họ, điều này cho thấy một đòn giáng đáng kể vào uy tín và năng lực của họ.