Взлом LockBit: все, что необходимо знать
Программное обеспечение, созданное LockBit, считается самой распространенной программой-вымогателем. Группировка нанесла ущерб тысячам организаций, включая финансовые, логистические и медицинские учреждения. Этому противостоят участники объединения сильнейших правоохранителей мира — «Операции Кронос».
20 февраля Национальное агентство по борьбе с преступностью (NCA) Великобритании совместно с Федеральным бюро расследований (FBI) объявили о закрытии киберпреступной группировки LockBit. Это событие стало одним из важнейших шагов в борьбе с мошенничеством в Интернете.
В результате операции правоохранители смогли:
Более того, двое подозреваемых были задержаны в Польше и Украине. Судьба остальных участников LockBit не известна: к некоторым из них применены санкции США, другие являются гражданами и проживают в россии, а личность лидера группировки все еще достоверно не установлена.
Организация была основана в 2019 году и называлась ABCD в честь расширения .abcd, которое хакеры использовали при шифровании файлов жертвы. Всего спустя 3 года существования LockBit стала самой распространенной программой-вымогателем в мире. Ее атаки чаще всего происходили в США, Китае, Индии, Украине и странах ЕС.
Предполагаемым лидером группировки считается гражданин россии Иван Кондратьев, более известный под ником Bassterlord. Он также имеет связь с другими хакерскими организациями REvil, RansomEXX и Avaddon. Не исключено, что Bassterlord взаимодействует также с Федеральной службой безопасности россии.
Среди наиболее известных жертв группы были британская Royal Mail, производитель самолетов Boeing, крупнейший банк Китая ICBC и юридическая фирма Allen & Overy.
10 ноября, спустя 2 недели после заявления об утечке, LockBit разместила все имеющиеся 43 ГБ данных о Boeing: резервные копии конфигурации ПО, а также журналы инструментов мониторинга и аудита. Несмотря на то, что в Boeing подтвердили кибератаку, компания не предоставила никаких подробностей об инциденте.
Тайваньская компания по производству полупроводников (TSMC). В июне 2023 года крупнейший производитель микросхем подтвердил, что столкнулся с утечкой данных после того, как LockBit разместила их компанию в списке своих жертв. В обмен на безопасность хакеры потребовали $70 млн.
Инцидент произошел не напрямую с TSMC, а посредством взлома одного из ее поставщиков IT-услуг Kinmax Technology. Кроме TSMC, от этой кибератаки также мог пострадать Nvidia. Однако, в отличие от тайваньской компании, технологический гигант не подтвердил утечку данных.
Royal Mail. В январе 2023 года британская почтовая компания Royal Mail стала жертвой утечки данных, которая была совершена LockBit. Инцидент вызвал «серьезные сбои в обслуживании» посылок, отправляемых за границу.
Примерно спустя 3 недели после инцидента в LockBit опубликовали детали переговоров с Royal Mail. Из этого сообщения известно, что выкуп за безопасный возврат украденных средств составлял $80 млн. Почтовая компания отказалась его выплачивать.
В полугодовых финансовых отчетах Royal Mail, опубликованных осенью 2023 года, видно, что инцидент с LockBit стал причиной падения объемов международных посылок на 5%. Более того, за этот же период расходы на инфраструктуру увеличились на 5,6%. Примерная стоимость ущерба — $12,4 млн.
Операция по уничтожению LockBit началась еще в апреле 2022 года по запросу французских властей. В тот период Франция была пятой страной по количеству кибератак, связанных с программами-вымогателями. Первые места в списке занимали США, Великобритания, Канада и Германия.
После конфискации инфраструктуры LockBit стало известно много подробностей о внутренней работе банды. Помимо информации о дальнейшей судьбе похищенных данных, правоохранители уточнили, что жертвами LockBit стали более 2000 организаций, суммарный выкуп которых составил $120 млн.
Особенностью «Операции Кронос» стало психологическое воздействие на представителей LockBit. Во-первых, веб-сайт был взломан поэтапно: 19 февраля на нем появился анонс и таймер отсчета, а уже 20 февраля власти предоставили «внутреннюю кухню» работы хакеров. Во-вторых, правоохранительные органы подрывали репутацию лидера группировки LockBitSupp, говоря о планах раскрыть его личность.
Кроме того, хакер пригрозил принять ответные меры и заявил, что их следующей целью будет государственный сектор. В свою очередь NCA пообещало раскрыть данные LockBitSupp, а также предложило награду в $10 млн за информацию, которая поможет идентифицировать хакера.
Однако, исходя из сообщения, лидер LockBit не сильно переживает на этот счет:
Сложно доверять хакеру, но в своем сообщении LockBitSupp также утверждает, что правоохранители получили лишь несколько дешифраторов, арестовали не тех людей и не смогли закрыть все веб-сайты, находящиеся под контролем группировки. Если он прав, то, скорее всего, LockBit ожидает подобный ребрендинг, а властям придется потратить еще несколько лет в попытках полностью уничтожить группировку.
Скорее всего, на этом история с LockBit не заканчивается. Поэтому если вы хотите быть в курсе будущих событий «Операции Кронос» — подписывайтесь на наш Telegram. Здесь мы публикуем самые актуальные новости в мире криптовалют и технологий.
В результате операции правоохранители смогли:
- получить контроль над основным веб-сайтом группировки;
- заблокировать 34 сервера в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, США и Великобритании;
- заморозить 200 криптокошельков, связанных с LockBit;
- предъявить обвинение пяти членам организации.
Более того, двое подозреваемых были задержаны в Польше и Украине. Судьба остальных участников LockBit не известна: к некоторым из них применены санкции США, другие являются гражданами и проживают в россии, а личность лидера группировки все еще достоверно не установлена.
Что такое LockBit
LockBit — это киберпреступная организация, которая предоставляла комплект разработки либо готовое программное обеспечение для кражи или блокировки доступа к данным с целью получения выкупа. Достоверно неизвестно о количестве пользователей их услуг, но, скорее всего, это значение исчисляется сотнями филиалов по всему миру.
Принцип работы программ-вымогателей. Источник: akamai.com
Предполагаемым лидером группировки считается гражданин россии Иван Кондратьев, более известный под ником Bassterlord. Он также имеет связь с другими хакерскими организациями REvil, RansomEXX и Avaddon. Не исключено, что Bassterlord взаимодействует также с Федеральной службой безопасности россии.
Среди наиболее известных жертв группы были британская Royal Mail, производитель самолетов Boeing, крупнейший банк Китая ICBC и юридическая фирма Allen & Overy.
Крупнейшие инциденты, связанные с LockBit
Boeing. В октябре 2023 года хакеры получили «огромное количество» конфиденциальных данных аэрокосмического гиганта Boeing и потребовали за них выкуп. Компания проигнорировала это, после чего LockBit опубликовала некоторую часть внутренней информации Boeing.
10 ноября, спустя 2 недели после заявления об утечке, LockBit разместила все имеющиеся 43 ГБ данных о Boeing: резервные копии конфигурации ПО, а также журналы инструментов мониторинга и аудита. Несмотря на то, что в Boeing подтвердили кибератаку, компания не предоставила никаких подробностей об инциденте.
Тайваньская компания по производству полупроводников (TSMC). В июне 2023 года крупнейший производитель микросхем подтвердил, что столкнулся с утечкой данных после того, как LockBit разместила их компанию в списке своих жертв. В обмен на безопасность хакеры потребовали $70 млн.
Инцидент произошел не напрямую с TSMC, а посредством взлома одного из ее поставщиков IT-услуг Kinmax Technology. Кроме TSMC, от этой кибератаки также мог пострадать Nvidia. Однако, в отличие от тайваньской компании, технологический гигант не подтвердил утечку данных.
Royal Mail. В январе 2023 года британская почтовая компания Royal Mail стала жертвой утечки данных, которая была совершена LockBit. Инцидент вызвал «серьезные сбои в обслуживании» посылок, отправляемых за границу.
Примерно спустя 3 недели после инцидента в LockBit опубликовали детали переговоров с Royal Mail. Из этого сообщения известно, что выкуп за безопасный возврат украденных средств составлял $80 млн. Почтовая компания отказалась его выплачивать.
В полугодовых финансовых отчетах Royal Mail, опубликованных осенью 2023 года, видно, что инцидент с LockBit стал причиной падения объемов международных посылок на 5%. Более того, за этот же период расходы на инфраструктуру увеличились на 5,6%. Примерная стоимость ущерба — $12,4 млн.
Операция Кронос
20 февраля участники «Операции Кронос», в которую входят NCA, FBI, Европол и другие правоохранительные органы, объявили об уничтожении LockBit. Вероятно, название операции — это отсылка к древнегреческому мифу о Кроносе, когда-то правителю Золотого века. Однако, в отличие от мифа, в котором Кронос попадает в тюрьму, большинство участников LockBit все еще находится на свободе.
Операция по уничтожению LockBit началась еще в апреле 2022 года по запросу французских властей. В тот период Франция была пятой страной по количеству кибератак, связанных с программами-вымогателями. Первые места в списке занимали США, Великобритания, Канада и Германия.
Количество атак программ-вымогателей, совершенных в разных странах в течение 2023 года. Источник: malwarebytes.com
Жертвами LockBit стали следующие французские организации:
- оператор мобильной связи La Poste Mobile — несмотря на то, что сумму выкупа удалось снизить с $1,4 млн до $300 000, руководство компании отказалось сотрудничать с хакерами. В результате LockBit опубликовала данные более полутора миллионов пользователей La Poste Mobile;
- больница Centre Hospitalier Sud Francilien — в результате атаки на медицинское учреждение в Париже LockBit потребовала $10 млн в качестве выкупа. После отказа хакеры опубликовали данные пациентов, включая состояние их здоровья, отчеты обследований и т.д.;
- оборонно-технологическая группа Thales — LockBit произвела утечку данных, которая затронула контракты и партнерства Thales в Малайзии и Италии.
После конфискации инфраструктуры LockBit стало известно много подробностей о внутренней работе банды. Помимо информации о дальнейшей судьбе похищенных данных, правоохранители уточнили, что жертвами LockBit стали более 2000 организаций, суммарный выкуп которых составил $120 млн.
Особенностью «Операции Кронос» стало психологическое воздействие на представителей LockBit. Во-первых, веб-сайт был взломан поэтапно: 19 февраля на нем появился анонс и таймер отсчета, а уже 20 февраля власти предоставили «внутреннюю кухню» работы хакеров. Во-вторых, правоохранительные органы подрывали репутацию лидера группировки LockBitSupp, говоря о планах раскрыть его личность.
Что с LockBit сейчас
Несмотря на то, что веб-сайт LockBit был взломан, спустя всего 5 дней после этого группировка создала новый ресурс для освещения своей деятельности. Лидер банды LockBitSupp опубликовал заявление, в котором, помимо прочего, указал на отсутствие влияния «Операции Кронос» на серверы без PHP.
Кроме того, хакер пригрозил принять ответные меры и заявил, что их следующей целью будет государственный сектор. В свою очередь NCA пообещало раскрыть данные LockBitSupp, а также предложило награду в $10 млн за информацию, которая поможет идентифицировать хакера.
Однако, исходя из сообщения, лидер LockBit не сильно переживает на этот счет:
Никакое ФБР со своими помощниками не сможет напугать и остановить меня, стабильность службы гарантирована годами непрерывной работы. Они хотят напугать меня, потому что не могут найти и устранить, меня невозможно остановить.
Для определения будущей судьбы LockBit можно взглянуть на предыдущие случаи взломов программ-вымогателей. Например, хакерские группировки Hive и Conti сталкивались с похожими действиями правоохранительных органов, но в результате просто сменили название:
- активность Conti распределена по новым группам, включая Black Basta, BlackByte и Karakurt;
- Hive провела ребрендинг на Hunters International.
Сложно доверять хакеру, но в своем сообщении LockBitSupp также утверждает, что правоохранители получили лишь несколько дешифраторов, арестовали не тех людей и не смогли закрыть все веб-сайты, находящиеся под контролем группировки. Если он прав, то, скорее всего, LockBit ожидает подобный ребрендинг, а властям придется потратить еще несколько лет в попытках полностью уничтожить группировку.
Заключение
Многие из нас любят смотреть фильмы о хакерах, погружаясь в киберпреступную романтику, авантюризм и противостояние с правоохранителями. Иногда за подобным удается наблюдать и в реальном мире. Взлом LockBit — один из таких случаев.
Скорее всего, на этом история с LockBit не заканчивается. Поэтому если вы хотите быть в курсе будущих событий «Операции Кронос» — подписывайтесь на наш Telegram. Здесь мы публикуем самые актуальные новости в мире криптовалют и технологий.
