У вівторок, 20 лютого, Національне агентство з боротьби зі злочинністю Великобританії (NCA) розкрило деталі міжнародної кампанії з підриву діяльності LockBit, найшкідливішого у світі кіберзлочинного угруповання російського походженя.
Весь “командно-контрольний” апарат групи вимагачів LockBit тепер знаходиться у розпорядженні правоохоронних органів, повідомило NCA після того, як стало відомо, що воно захопило веб-сайт злочинного угруповання в ході скоординованої міжнародної операції, – повідомляє The Guardian.
LockBit працює вже чотири роки, і за цей час кількість атак з використанням їхніх програм-вимагачів зросла. Від атак LockBit постраждали тисячі жертв по всьому світу, і були завдані збитки в мільярди фунтів стерлінгів, доларів і євро, як у вигляді викупу, так і у вигляді витрат на відновлення. Угруповання надавало програми-вимагачі як послугу глобальній мережі хакерів або “афілійованих осіб”, забезпечуючи їх інструментами та інфраструктурою, необхідними для здійснення атак.
Коли мережа жертви заражалася шкідливим програмним забезпеченням LockBit, її дані викрадалися, а системи шифрувалися. За розшифрування файлів і запобігання публікації даних жертви вимагали викуп у криптовалюті.
Читайте також: Як не стати жертвою програм-вимагачів? ПОРАДИ
Потік даних, отриманих від хакерів, вже призвів до чотирьох арештів, і у вівторок влада пообіцяла перепрофілювати технологію, щоб викрити діяльність угруповання перед світом.
Про спільну операцію АНБ, ФБР, Європолу та коаліції міжнародних поліцейських агентств стало відомо з повідомлення на власному веб-сайті LockBit, в якому йшлося: “Цей сайт тепер знаходиться під контролем Національного агентства по боротьбі зі злочинністю Великобританії, яке працює в тісній співпраці з ФБР і міжнародною правоохоронною оперативною групою “Операція Кронос”.
Європол повідомив, що двоє учасників LockBit були заарештовані в Польщі та Україні, а ще двоє обвинувачених, яких вважають пов’язаними особами, були заарештовані і їм були пред’явлені звинувачення в США. Було названо імена ще двох осіб, які є громадянами росії і досі перебувають на волі. Влада також заморозила понад 200 криптовалютних рахунків, пов’язаних зі злочинною організацією.
Зрив роботи LockBit є значно більшим, ніж було виявлено спочатку. Окрім контролю над загальнодоступним веб-сайтом, NCA вилучило основне адміністративне середовище LockBit, інфраструктуру, яка дозволяла керувати та впроваджувати технології, що використовувалися для вимагання грошей у підприємств та приватних осіб по всьому світу.
“Завдяки нашій тісній співпраці ми зламали хакерів, взяли під контроль їхню інфраструктуру, вилучили вихідний код та отримали ключі, які допоможуть жертвам розшифрувати їхні системи”, – сказав Грем Біггар, генеральний директор NCA.
“На сьогоднішній день LockBit заблоковано. Ми підірвали можливості і, що особливо важливо, довіру до групи, яка залежала від секретності та анонімності”.
LockBit – це російське угруповання, яке вперше було помічене у 2019 році і найбільш відоме своїм однойменним варіантом вірусу-вимагача. Також організація є піонером моделі “програми-вимагачі як послуга“, згідно з якою вона передає вибір цілей і проведення атак мережі напівнезалежних “афілійованих осіб”, надаючи їм інструменти та інфраструктуру, а натомість отримує комісію з викупу.
Як і програми-вимагачі, які зазвичай працюють шляхом шифрування даних на заражених комп’ютерах і вимагають плату за надання ключа розшифровки, LockBit копіював викрадені дані і погрожував опублікувати їх, якщо винагорода не буде сплачена, обіцяючи видалити копії після отримання викупу.
Однак NCA заявило, що ця обіцянка була неправдивою. Деякі з даних, які вона виявила в системах LockBit, належали жертвам, які заплатили викуп.
Міністр внутрішніх справ Джеймс Клеверлі сказав: “Провідний світовий досвід NCA завдав серйозного удару по людях, які стоять за найпродуктивнішим у світі штамом вірусів-вимагачів”.
“Злочинці, які керують LockBit, є витонченими та високоорганізованими, але вони не змогли вислизнути з-під контролю правоохоронних органів Великобританії та наших міжнародних партнерів”.
В рамках кампанії “hack back” також було знайдено понад 1 000 ключів розшифровки, призначених для жертв атак LockBit, і ми зв’яжемося з цими жертвами, щоб допомогти їм відновити зашифровані дані.
У своєму блозі минулого місяця колишній керівник Національного центру кібербезпеки К’яран Мартін заявив, що участь російських хакерів у кіберзлочинах підриває багато поширених тактик правоохоронних органів. “Є речі, які ми можемо зробити, щоб переслідувати і дошкуляти кіберзлочинцям, – попередив він. “Але це не буде стратегічним рішенням доти, доки існує російська безпечна гавань”.
