Dwóch podejrzanych cyberprzestępców powiązanych z operacją ransomware LockBit zostało aresztowanych w Polsce i na Ukrainie w ramach zuchwałego, skoordynowanego zniszczenia infrastruktury załogi w ramach operacji Cronos, wiadomość, o której rozeszła się późnym wieczorem w poniedziałek 19 lutego.
Aresztowań dokonano na wniosek francuskich władz sądowych i stanowiło część wielonarodowej operacji obejmującej 10 krajów, pod przewodnictwem brytyjskiego Narodowa Agencja Kryminalna (NCA) i z udziałem FBI i innych osób. Władze francuskie i amerykańskie wydały także inne międzynarodowe nakazy aresztowania i akty oskarżenia.
Wielomiesięczna operacja doprowadziła do kompromisu w głównej platformie LockBit i infrastrukturze krytycznej, co umożliwiło jego czteroletni szał przestępczy.
Infrastruktura techniczna gangu znajduje się w tej chwili pod kontrolą NCA, podobnie jak witryna umożliwiająca wycieki z ciemnej sieci, na której przechowywali skradzione dane. Krajowy organ ochrony konkurencji stwierdził, iż jest również w posiadaniu kodu źródłowego LockBit, niektórych danych ofiar i, co najważniejsze, kluczy deszyfrujących, których planuje użyć, aby pomóc ofiarom gangu.
Inne przejęte aktywa obejmują wiele serwerów używanych przez podmioty stowarzyszone zlokalizowane w całej Europie i Stanach Zjednoczonych, w tym w Wielkiej Brytanii, oraz opracowane przez gang narzędzie do eksfiltracji StealBit, które było wykorzystywane do kradzieży danych.
Władze zamroziły także 200 kont kryptowalut powiązanych z gangiem i przejęły „ogromne” ilości danych w celu wsparcia przyszłych działań, w tym, jak mamy nadzieję, wymierzonych w liderów, programistów i podmioty stowarzyszone LockBit.
„To dochodzenie prowadzone przez adekwatny organ krajowy stanowi przełomowe rozbicie najbardziej szkodliwej grupy cyberprzestępczej na świecie. Pokazuje, iż żadna operacja przestępcza, gdziekolwiek się znajduje i jak bardzo jest zaawansowana, nie jest poza zasięgiem agencji i naszych partnerów” – powiedział dyrektor generalny NCA Graeme Biggar.
„Dzięki naszej ścisłej współpracy zhakowaliśmy hakerów; przejęli kontrolę nad ich infrastrukturą, przejęli kod źródłowy i uzyskali klucze, które pomogą ofiarom odszyfrować ich systemy.
„Zhakowaliśmy hakerów; przejęli kontrolę nad ich infrastrukturą, przejęli kod źródłowy i uzyskali klucze, które pomogą ofiarom odszyfrować ich systemy. Na dzień dzisiejszy LockBit jest zablokowany”
„Na dzień dzisiejszy LockBit jest zablokowany. Zniszczyliśmy możliwości, a przede wszystkim wiarygodność grupy, która polegała na tajemnicy i anonimowości.
„Nasza praca na tym się nie kończy. LockBit może dążyć do odbudowania swojego przestępczego przedsiębiorstwa. Wiemy jednak, kim są i jak działają. Jesteśmy nieustępliwi i nie ustaniemy w naszych wysiłkach, aby zaatakować tę grupę i wszystkie osoby z nią powiązane” – powiedział Biggar.
Prokurator generalny USA Merrick Garland dodał: „Przez lata współpracownicy LockBit wielokrotnie przeprowadzali tego rodzaju ataki w całych Stanach Zjednoczonych i na całym świecie. Dziś organy ścigania w USA i Wielkiej Brytanii odbierają klucze do ich przestępczej działalności.
„I my idziemy o krok dalej – uzyskaliśmy także klucze z przejętej infrastruktury LockBit, aby pomóc ofiarom odszyfrować przechwycone systemy i odzyskać dostęp do swoich danych. LockBit nie jest pierwszym wariantem systemu ransomware wyeliminowanym przez Departament Sprawiedliwości i jego międzynarodowych partnerów. To nie będzie ostatnie.”
Akty oskarżenia przeciwko spiskowcom LockBit
Departament Sprawiedliwości Stanów Zjednoczonych (DoJ) również dzisiaj odsłonił akt oskarżenia przeciwko dwóm osobom – Arturowi Sungatowowi i Iwanowi Kondratiewowi (aka Bassterlord), obydwóm obywatelom Rosji, którzy używali systemu ransomware LockBit przeciwko ofiarom w całym kraju. W północnym dystrykcie Kalifornii odtajniane są także dodatkowe zarzuty karne wobec Kondratjewa w związku z konkretnym incydentem, który miał miejsce w 2020 r.
Sungatov i Kondratyev są oskarżeni o przyłączenie się do globalnego spisku LockBit mającego na celu opracowywanie i wdrażanie systemu ransomware oraz wyłudzanie płatności od organizacji ofiar.
Ich akt oskarżenia zwiększa łączną liczbę osób oskarżonych o działalność LockBit w USA do pięciu, w następstwie ujawnienia w ciągu ostatnich 18 miesięcy aktów oskarżenia przeciwko trzem innym obywatelom Rosji – Michaiłowi Wasiliewowi, Michaiłowi Pawłowiczowi Matwiejewowi i Rusłanowi Magomedowiczowi Astamirowowi.
Wasiliew został aresztowany w Kanadzie i oskarżony w 2022 ri oczekuje się na jego ekstradycję do USA. Matwiejew, podejrzany o ataki na wiele ofiar, w tym na policję stołeczną w Waszyngtonie, pozostaje na wolności i za jego głowę wyznaczono nagrodę w wysokości 10 milionów dolarów. Astamirov przebywa w areszcie w USA i oczekuje na proces.
