Ekipa systemu ransomware LockBit, która stała za niektórymi z najważniejszych incydentów cybernetycznych ostatnich lat, z których najbardziej znany jest atak na Royal Mail w styczniu 2023 rzostał rozebrany, a jego infrastruktura przejęta w wyniku globalnej akcji policji, której przewodziła brytyjska Narodowa Agencja ds. Przestępczości (NCA).
W chwili pisania tego tekstu nie są znane dokładne szczegóły charakteru akcji, zwanej Operacją Cronos, do czasu oficjalnej konferencji prasowej, która odbędzie się rano we wtorek 20 lutego. Jednakże adekwatny organ krajowy potwierdził za pośrednictwem poczty elektronicznej, iż przeprowadził „znaczną operację międzynarodową” przeciwko operatorowi systemu ransomware.
Inne zaangażowane operacje obejmują amerykańskie FBI oraz agencje z Australii, Kanady i Japonii, a także różnych państw Unii Europejskiej (UE) działające za pośrednictwem Europolu.
Powiadomienie umieszczone na stronie wycieków z ciemnej sieci gangu LockBit brzmi: „Ta witryna znajduje się w tej chwili pod kontrolą brytyjskiej Narodowej Agencji ds. Przestępczości, działającej w ścisłej współpracy z FBI i międzynarodową grupą zadaniową ds. egzekwowania prawa, Operacja Cronos.
„Możemy potwierdzić, iż usługi LockBit zostały zakłócone w wyniku działań międzynarodowych organów ścigania – jest to operacja ciągła i rozwijająca się”.
Reporterzy o godz Piszczący komputer dodatkowo potwierdzili, iż strony internetowe wykorzystywane przez LockBit do „negocjacji” z ofiarami również nie działają, chociaż inne elementy działalności gangu wydają się działać.
Wczesna reakcja
Don Smith, wiceprezes jednostki ds. przeciwdziałania zagrożeniom SecureWorks, który zarabia na życie ścigając gangi zajmujące się oprogramowaniem ransomware, określił tę eliminację jako „fantastyczną”.
„Na wysoce konkurencyjnym i zaciekłym rynku LockBit stał się najbardziej płodnym i dominującym operatorem systemu ransomware. Firma potraktowała oprogramowanie ransomware jako globalną szansę biznesową i odpowiednio dostosowała swoje działania, zwiększając liczbę oddziałów w tempie, które po prostu przyćmiło inne operacje” – powiedział Smith.
„Aby umieścić dzisiejsze usunięcie w kontekście, na podstawie danych z witryn wycieków, LockBit miał 25% udziału w rynku systemu ransomware. Ich najbliższym rywalem był BlackCat z około 8,5%, a potem naprawdę zaczął się fragmentaryzować. LockBit przyćmił wszystkie inne grupy, a dzisiejsza akcja ma ogromne znaczenie.”
Smith dodał: „Lojalność podmiotów stowarzyszonych LockBit z grupą była już zmienna i chociaż niektórych można odwieść, niestety wielu prawdopodobnie sprzymierzy się z innymi organizacjami przestępczymi”.
Opisane przez Narodowe Centrum Cyberbezpieczeństwa (NCSC) jako „trwałe zagrożenie”, LockBit pojawił się po raz pierwszy na początku 2020 r., a do 2022 r. stał się coraz popularniejszy jedna z najbardziej aktywnych operacji systemu ransomware jako usługi na całym świecie.
Oprócz Royal Mail do innych znaczących celów należała firma programistyczna Advanced, przez co zakłócił usługi NHSa ostatnio Boeing i inne ofiary, które były jego celem poprzez luki w zabezpieczeniach Citrix Bleed.
Innowacyjny, gwałtownie myślący i znający się na mediach gangi ransomware, LockBit okazał się skuteczny w przyciąganiu partnerów dzięki prostemu interfejsowi ransomware typu „wskaż i kliknij” oraz atrakcyjnym warunkom płatności dla swoich cyberprzestępczych oddziałów niskiego szczebla.
Poszukiwała także uwagi dzięki swoim akrobacjom generującym rozgłos, które obejmowały płacenie ludziom za tatuaże LockBit i oferowanie funduszu nagród o wartości 1 miliona dolarów dla wszystkich, komu uda się oszukać głównego operatora. Prowadziła choćby własną firmę program nagród za błędy.
To przełomowa wiadomość. Relacja będzie kontynuowana we wtorek 20 lutego.
