Federalne Biuro Śledcze Stanów Zjednoczonych (FBI) ujawniło, iż jest w posiadaniu tysięcy kluczy deszyfrujących ransomware LockBit i poszukuje ofiar płodnego gangu cyberprzestępczego – umorzono w lutym 2024 r w akcji kierowanej przez Wielką Brytanię – aby dać się poznać, jeżeli potrzebują pomocy.
Przemówienie w środę 5 czerwca na konferencji poświęconej bezpieczeństwu cybernetycznemu w Bostonie w stanie Massachusetts zastępca dyrektora FBI Cyber Division Bryan Vorndran powiedział, iż agencji zależy na dobrym wykorzystaniu posiadanego skarbca kluczy, i wezwał amerykańskie ofiary do skontaktowania się z FBI. Ofiary w innych miejscach powinny skontaktować się ze swoimi krajowymi organami ds. cyberbezpieczeństwa, w tym z Narodowe Centrum Cyberbezpieczeństwa (NCSC) w Wielkiej Brytanii.
„Mamy w tej chwili ponad 7 000 kluczy deszyfrujących i możemy pomóc ofiarom odzyskać dane i wrócić do Internetu” – powiedział Vorndran. „Docieramy do znanych ofiar LockBit i zachęcamy każdego, kto podejrzewa, iż był ofiarą, do odwiedzenia naszego Centrum składania skarg dotyczących przestępstw internetowych pod adresem ic3.gov.”
Opracowany przez obywatela Rosji o nazwisku Dimitri Khoroshev, który korzystał z uchwytów internetowych w tym LockBitsuppNerowolfe i Putinkrab, LockBit został wdrożony przez różnych podmiotów oferujących oprogramowanie ransomeware jako usługę (RaaS) w ponad 2400 cyberatakach na przestrzeni lat, w wyniku których wyłudzono miliardy dolarów od ofiar.
Od czasu infiltracji i przerwania operacji w lutym władze zwracają przeciwko nim taktykę Kohoroszewa i jego sługusów, wymieniając ich i zawstydzając, a choćby trollując w Internecie.
„[Khoroshev] utrzymuje wizerunek podejrzanego hakera… Ale tak naprawdę to przestępca, bardziej uwikłany w biurokrację związaną z zarządzaniem swoją firmą niż w jakąkolwiek tajną działalność – zaszydził Vorndran.
„Khoroshev… próbował nas nakłonić do złagodzenia go, zwracając się przeciwko jego konkurentom i wymieniając innych operatorów systemu ransomware jako usługi. To tak, jakby mieć do czynienia z zorganizowanymi gangami przestępczymi, gdzie szef przychodzi i prosi o złagodzenie kary. Nie będziemy dla niego łagodni.”
Raj Samani, starszy wiceprezes i główny naukowiec w Szybki7skomentował: „Odkrycie i uwolnienie ponad 7 tys LockBit klucze deszyfrujące to kolejny kopniak w zęby dla grupy zajmującej się oprogramowaniem ransomware i wielkie zwycięstwo dla organów ścigania. Gustuje LockBit przetrwać i prosperować dzięki ofiarom płacącym żądania okupu, dlatego wspaniale jest widzieć, jak rząd USA wykazuje proaktywność i zapobiega temu, udostępniając klucze deszyfrujące za darmo.
„Odkąd organy ścigania przestały działać LockBitinfrastruktury w lutym 2024 r. zaangażowali się w PR i kontrolę szkód, aby pokazać siłę i utrzymać zaufanie partnerów. Jednak takie zapowiedzi FBI podważają to zaufanie i miejmy nadzieję, iż niedługo nastąpi koniec LockBit ransomware” – dodał.
Ujawniono przestępczą działalność Khoroszewa
Khoroszew, który kiedyś dokuczał swoim prześladowcom oferując nagrodę w wysokości 10 milionów dolarów każdemu, kto mógłby go skutecznie dopaść i ujawnić jego prawdziwą tożsamość, został po raz pierwszy oficjalnie nazwany jako twórca LockBit i jego osoba została ujawniona w maju.
Jednocześnie władze USA ogłosiły, iż nałożono na niego sankcje, szereg zamrożeń aktywów i zakazów podróżowania, a także postawiono mu zarzuty popełnienia 26 przestępstw związanych z oszustwami, uszkodzeniami chronionych komputerów i wymuszeniami.
Za informacje, które pozwolą na jego aresztowanie i ekstradycję, Amerykanie oferują wielomilionową nagrodę.
Podczas gdy niektórzy główni członkowie załogi LockBit są w areszcieniestety, w związku z załamaniem stosunków z Rosją – gdzie reżim Putina „pozwala” na bezkarność cyberprzestępcom takim jak Choroszew – jest mało prawdopodobne, iż w najbliższym czasie zostanie on skazany, chyba iż opuści Rosję.
Ataki LockBit trwają
Chociaż operacja organów ścigania przeciwko LockBit jest powszechnie uważana za sukces i wywarła widoczny wpływ na ekosystem systemu ransomware, spowodowane zakłócenia nie oznaczają, iż zagrożenie atakami LockBit ustąpiło. Rzeczywiście, duże podmioty powiązane z tą operacją w dalszym ciągu przeprowadzają sporadyczne i czasami głośne cyberataki.
Niektóre z ofiar, które ucierpiały od lutowego obalenia, to szpital Simone Veil w Cannes we Francji, Uniwersytet w Sienie we Włoszech i kanadyjska sieć aptek London Drugs.
Pod koniec kwietnia łowcy zagrożeń w firmie Proofpoint znaleźli dowody na to, iż szafka LockBit 3.0 była szeroko rozpowszechniany jako złośliwy załącznik na wiadomości e-mail phishingowe organizowane za pośrednictwem botnetu Phorpiex.
Te e-maile, pochodzące od osoby o imieniu „Jenny Green”, były skierowane do organizacji z wielu branż i wydawały się w dużej mierze oportunistyczne w swoim kierowaniu.
Zespół Proofpoint stwierdził, iż łańcuch ataków nie był szczególnie skomplikowany w porównaniu z tym, co zwykle obserwuje, ale duża liczba e-maili phishingowych oraz wykorzystanie systemu ransomware jako ładunku pierwszego etapu były dość niezwykłe – co sugeruje, iż Kampania była prawdopodobnie wynikiem wycieku kreatora LockBit w 2022 roku.
