Западните служби хакнаха хакерите от LockBit

Сайтът на групата беше превзет, като бяха отправени заплахи за разкриване на самоличността на виртуалните престъпници

Операцията е плод на дългогодишно разследване, което е проведено в партньорство с над 10 държави.
Операцията е плод на дългогодишно разследване, което е проведено в партньорство с над 10 държави.
Операцията е плод на дългогодишно разследване, което е проведено в партньорство с над 10 държави.    ©  Reuters
Операцията е плод на дългогодишно разследване, което е проведено в партньорство с над 10 държави.    ©  Reuters
Темата накратко
  • Операцията е на Националната агенция за борба с престъпността (NCA) на Обединеното кралство и международни партньори.
  • Извършени са два ареста, а сървърите на престъпния синдикат са конфискувани.
  • LockBit е най-успешната група за ransomware атаки през последните две години.

Основният уебсайт на LockBit, най-известната група за ransomware хаквания в последните години, беше конфискуван от Националната агенция за борба с престъпността (NCA) на Обединеното кралство. В сътрудничество със своите партньори от ФБР на Съединените щати, Националната жандармерия на Франция, Европол и други NCA конфискува в началото на седмицата физическите сървъри, които управляваха основния сайт, като освен това и арестува двама мъже, единият в Полша, а другият в Украйна. Освен това в същия ден Вашингтон обяви налагането на санкции на Иван Кондратиев и Артур Сунгатов - руски граждани, чието участие в престъпния синдикат е потвърдено.

Работата по разследване на групата продължава няколко години и целта на операцията е да подкопае доверието в групата в престъпните среди, заявиха пред Reuters служители. Разследването е станало със сътрудничеството на службите на Германия, Япония, Австралия, Нова Зеландия и Канада, съобщават от NCA.

"Хакнахме хакерите", каза генералният директор на NCA Греъм Бигар. "LockBit е заключен", заяви той, цитиран от Euronews. Часове преди "превземането" да бъде официално обявено, главната страница на сайта на LockBit беше заменена с думите "този сайт вече е под контрола на правоприлагащите органи".

Как изнудват LockBit?

LockBit започва атаките си през 2019 г., като е най-плодотворният синдикат за ransomware две поредни години. Групата представлява 23% от близо 4000 атаки в световен мащаб миналата година. LockBit е свързана с атаки срещу Кралските пощи във Великобритания, Националната здравна служба на Великобритания, производителя на самолети Boeing, международната правна кантора Allen & Overy и най-голямата банка в Китай ICBC.

Какво точно обаче представлява "синдикат на ransomware"? Обикновено тези групи включват ядро от разработчици на софтуер за изграждане на уебсайтове, зловреден софтуер и сайтове за плащане. Освен тях са нужни и хора за пране на получените средства, а човекът с най-добър английски често поема ролята на преговарящ. Самите атаки се извършват от така наречените филиали. Тези партньори се регистрират, за да използват платформата и името на марката, за да изнудват жертвите и впоследствие да получат част от приходите.

Честите успешни атаки на групата й позволиха да си изгради сериозна основа от последователи и дори фенове, като от LockBit дори обещаваха по хиляда долара за всеки, който си татуира логото на синдиката. Лидерът, който е познат с прякора LockbitSupp, е най-известният член, като преди няколко месеца дори предложи 10 млн. долара награда за първия човек, който успее да разкрие самоличностите на участниците в синдиката.

С твоите камъни по твоята глава

Действията на водената от NCA група от правоприлагащи органи целят да пресъздадат вече запазената марка на LockBit. Във вторник беше обявено, че службите успешно разбили основната онлайн система, което е позволило използването на зловредния софтуер срещу хакерите по същия начин, по който те го използваха срещу жертвите си. Това означава, че те получават поредица от плочки, подобни на коледен календар, като всяка е маркирана с таймер за обратно отброяване, който при достигане на нула публикува откраднатите данни. Единственият начин обратното броене да бъде прекъснато е, ако откупът бъде платен.

Впоследствие главната страница на сайта на групата беше променен. Вече се виждат обвинителни актове, санкции, инструмент, с който жертвите могат да дешифрират данните си, и ново обратно броене с два оставащи дни на часовника, което е съпътствано от въпроса: "Кой е LockbitSupp? Въпросът за 10 млн. долара."

Според директора на британската компания за киберсигурност Sophos Честър Вишневски откровената подигравка с престъпната група не цели забавление, а по-скоро сплашване. В своя бележка той заявява, че в повечето случаи хакерите, особено лидерите, се намират в държави, които не са способни или не желаят да наложат върховенството на закона срещу групи, таргетиращи западни жертви. "Създаването на сценка и всяването на страх, несигурност и съмнение относно това дали техните инструменти, комуникации и самоличности се наблюдават или вече са компрометирани, може да разубеди поддържащите актьори от участие. Известно време сред престъпните групировки цари напълно оправдана параноя, че са били компрометирани от изследователи и правоприлагащи органи", пише Вишневски.

Пирова победа?

Макар операцията да представлява сериозен удар по LockBit, експерти припомнят, че има реална възможност радостта да е прибързана. Санкциите са просто затруднение, а не реални дългосрочни решения на проблема с ransomware. Това се дължи на възможността за пълна анонимност в интернет пространството, особено когато става дума за тъмната мрежа.

Макар Кондратиев и Сунгатов да са санкционирани от САЩ, нищо не ги спира да променят онлайн облика си изцяло и да подновят действията си. Именно поради тази причина, макар операцията да е изключително зрелищна и неоспоримо ефективна в разбиването на LockBit, има нужда от значително повече арести и осъждания.