Злом LockBit: все, що потрібно знати

icon CRO
icon ONE
Фото - Злом LockBit: все, що потрібно знати
Програмне забезпечення, що створене LockBit, вважається найпоширенішою програмою-вимагачем. Угруповання завдало збитків тисячам організацій, включно із фінансовими, логістичними та медичними установами. Хакерам протистоїть об’єднання найсильніших правоохоронців світу — «Операція Кронос».
20 лютого Національне агентство з боротьби зі злочинністю (NCA) Великої Британії спільно із Федеральним бюро розслідувань (FBI) оголосили про закриття кіберзлочинного угруповання LockBit. Ця подія стала одним із найважливіших кроків у боротьбі із шахрайством в інтернеті.

В результаті операції правоохоронці змогли:

  • отримати контроль над основним вебсайтом угруповання;
  • заблокувати 34 сервери в Нідерландах, Німеччині, Фінляндії, Франції, Швейцарії, Австралії, США та Великій Британії;
  • заморозити 200 криптогаманців, які пов'язані з LockBit;
  • висунути звинувачення п'ятьом членам організації.

Ба більше, двох підозрюваних було затримано у Польщі та Україні. Доля решти учасників LockBit не відома: до деяких із них застосовано санкції США, інші є громадянами та проживають у росії, а особистість лідера угруповання досі не встановлена.

Що таке LockBit

LockBit — це кіберзлочинна організація, яка надавала комплект розробки або готове програмне забезпечення для крадіжки чи блокування доступу до даних з метою отримати викуп. Достеменно невідомо, яка кількість клієнтів скористалася її послугами, але, найімовірніше, це значення обчислюється сотнями філій у всьому світі.
Принцип роботи програм-вимагачів. Джерело: akamai.com

Принцип роботи програм-вимагачів. Джерело: akamai.com

Організація була заснована у 2019 році й мала назву ABCD на честь розширення .abcd, яке хакери використовували під час шифрування файлів жертви. Упродовж 3 років існування LockBit стала найпоширенішою програмою-вимагачем у світі. Її атак найчастіше зазнавали у США, Китаї, Індії, Україні та країнах ЄС.

Імовірно, лідером угруповання є громадянин росії Іван Кондратьєв, який більше відомий під ніком Bassterlord. Він має зв'язок і з іншими хакерськими організаціями REvil, RansomEXX та Avaddon. Цілком можливо, що Bassterlord також взаємодіє із Федеральною службою безпеки росії.

Серед найвідоміших жертв групи — британська Royal Mail, виробник літаків Boeing, найбільший банк Китаю ICBC та юридична фірма Allen & Overy.

Найбільші інциденти, що пов'язані з LockBit

Boeing. У жовтні 2023 року хакери отримали «величезну кількість» конфіденційних даних аерокосмічного гіганта Boeing і вимагали за них викуп. Компанія проігнорувала це, після чого LockBit опублікувала певну кількість внутрішньої інформації Boeing.

10 листопада, за 2 тижні після заяви про витік інформації, LockBit розмістила всі наявні 43 ГБ даних про Boeing: резервні копії конфігурації ПЗ, а також журнали інструментів моніторингу та аудиту. Незважаючи на те, що в Boeing підтвердили кібератаку, компанія не надала жодних подробиць щодо інциденту.

Тайванська компанія з виробництва напівпровідників (TSMC). У червні 2023 року найбільший виробник мікросхем підтвердив, що витік даних стався після того, як LockBit додала компанію до списку своїх жертв. В обмін на безпеку хакери вимагали $70 млн.

Інцидент стався не безпосередньо з TSMC, а через злом одного з її постачальників IT-послуг Kinmax Technology. Окрім TSMC, від цієї кібератаки також міг постраждати Nvidia. Однак, на відміну від тайванської компанії, технологічний гігант витоку даних не підтвердив.

Royal Mail. У січні 2023 року жертвою LockBit стала британська поштова компанія Royal Mail. Інцидент спричинив «серйозні збої в обслуговуванні» посилок, які мали відправитися за кордон.

Приблизно за 3 тижні після інциденту LockBit опублікувала деталі переговорів із Royal Mail. З цього повідомлення стало відомо, що сума викупу за безпечне повернення викрадених коштів становила $80 млн. Поштова компанія відмовилася його виплачувати.

З піврічних фінансових звітів Royal Mail, що були опубліковані восени 2023 року, видно, що інцидент із LockBit зумовив падіння обсягів міжнародних посилок на 5%. Ба більше, за той самий період витрати на інфраструктуру зросли на 5,6%. Орієнтовна вартість збитків — $12,4 млн.

Операція Кронос

20 лютого учасники «Операції Кронос», до якої приєдналися NCA, FBI, Європол та інші правоохоронні органи, оголосили про знищення LockBit. Ймовірно, назва операції — це натяк на давньогрецький міф про Кроноса, правителя Золотого віку. Однак, на відміну від історії, в якій Кронос потрапляє до в'язниці, більшість учасників LockBit все ще перебуває на волі.

Операція зі знищення LockBit розпочалася ще у квітні 2022 року на запит французької влади. Тоді Франція була п'ятою країною за кількістю кібератак, що пов'язані з програмами-вимагачами. Перші місця у списку посідали США, Велика Британія, Канада та Німеччина.
Кількість атак програм-вимагачів, що сталися в різних країнах протягом 2023 року. Джерело: malwarebytes.com

Кількість атак програм-вимагачів, що сталися в різних країнах протягом 2023 року. Джерело: malwarebytes.com

Жертвами LockBit стали такі французькі організації:

  • оператор мобільного зв'язку La Poste Mobile — незважаючи на те, що суму викупу вдалося знизити з $1,4 млн до $300 000, керівництво компанії відмовилося співпрацювати з хакерами. Внаслідок чого LockBit опублікувала дані понад півтора мільйона користувачів La Poste Mobile;
  • лікарня Centre Hospitalier Sud Francilien — внаслідок атаки на медичний заклад у Парижі LockBit як викуп зажадала $10 млн. Після відмови хакери опублікували дані пацієнтів, зокрема стан їхнього здоров'я, звіти обстежень тощо;
  • оборонно-технологічна група Thales — LockBit спричинила витік даних, які стосувалися контрактів і партнерства Thales в Малайзії та Італії.

Після конфіскації інфраструктури LockBit стали відомі подробиці внутрішньої роботи банди. Окрім інформації про подальшу долю викрадених даних, правоохоронці з’ясували, що жертвами LockBit стали понад 2000 організацій, а загальна сума грошей, отриманих як викуп, становить $120 млн.

Особливістю «Операції Кронос» став психологічний вплив на представників LockBit. По-перше, вебсайт було зламано поетапно: 19 лютого на ньому з'явився анонс і таймер відліку, а вже 20 лютого влада побачила «внутрішню кухню» роботи хакерів. По-друге, правоохоронці зіпсували репутацію лідера угруповання LockBitSupp, оголосивши намір розкрити його особистість.

Що з LockBit зараз

Незважаючи на те, що вебсайт LockBit зазнав злому, лише за 5 днів після цього угруповання створило новий ресурс для висвітлення своєї діяльності. Лідер банди LockBitSupp опублікував заяву, у якій вказав на відсутність впливу з боку «Операції Кронос» на сервери без PHP.

Крім цього, хакер пригрозив вжити заходів у відповідь і заявив, що їхньою наступною ціллю стане державний сектор. NCA ж пообіцяло розкрити дані про LockBitSupp, а також запропонувало винагороду в $10 млн за інформацію, яка допоможе ідентифікувати хакера.

Однак, як бачимо з повідомлення, лідер LockBit не сильно переймається:
Жодне ФБР і його помічники не зможуть налякати та зупинити мене, стабільність служби гарантована роками безперервної роботи. Вони хочуть налякати мене, тому що не можуть знайти та знешкодити. Мене неможливо зупинити.
Для визначення подальшої долі LockBit можна звернути увагу на попередні випадки зломів за допомогою програм-вимагачів. Наприклад, хакерські угруповання Hive та Conti стикалися зі схожими діями правоохоронних органів, але зрештою просто змінили назву:

  • активність Conti розподілена за новими групами, включно з Black Basta, BlackByte та Karakurt;
  • Hive провело ребрендинг і тепер має назву Hunters International.

Важко довіряти хакеру, але у своєму повідомленні LockBitSupp також стверджує, що правоохоронці отримали лише кілька дешифраторів, заарештували не тих людей і не змогли закрити всі вебсайти, які перебувають під контролем угруповання. Якщо він має рацію, то, найімовірніше, LockBit також зазнає ребрендингу, а владі доведеться витратити ще декілька років на спроби повністю знищити банду.

Висновок

Багато хто з нас любить дивитися фільми про хакерів, занурюючись у кіберзлочинну романтику, авантюризм та протистояння з правоохоронцями. Іноді подібні процеси можна спостерігати й в реальному житті. Злом LockBit — один із таких випадків.

Найімовірніше, на цьому історія з LockBit не закінчується. Тому якщо ви хочете бути в курсі майбутніх подій «Операції Кронос», підписуйтесь на наш Telegram. Тут ми публікуємо найактуальніші новини зі світу криптовалют і технологій.

Пише про DeFi та криптовалюти через призму технологій.