Grupa ransomware LockBit rozbita – w wyniku międzynarodowego śledztwa powstało narzędzie deszyfrujące

22 lutego, 2024

Dokonując ważnego przełomu w walce z cyberprzestępczością, organy ścigania z 10 krajów znacząco wpłynęły na grupę cyberprzestępczą LockBit – informuje Europol. Zatrzymań dokonano również na terytorium Polski. Sukces nie oznacza jednak całkowitego unieszkodliwienia grupy.

Eksperci Check Point Research twierdzą, że LockBit jest powszechnie uznawany za najbardziej wszechstronne i szkodliwe oprogramowanie ransomware na świecie, powodujące szkody warte miliardy euro. Zorganizowana akcja policji była następstwem złożonego dochodzenia prowadzonego przez brytyjską Narodową Agencję ds. Przestępczości w ramach międzynarodowej grupy zadaniowej znanej jako „Operacja Cronos”, koordynowanej na poziomie europejskim przez Europol i Eurojust.

europol operacja cronos lockbit

Trwająca wiele miesięcy operacja doprowadziła do naruszenia głównej platformy LockBit i innej infrastruktury krytycznej, która umożliwiła ich przestępcze przedsięwzięcie. Obejmuje to zamknięcie 34 serwerów w Holandii, Niemczech, Finlandii, Francji, Szwajcarii, Australii, Stanach Zjednoczonych i Wielkiej Brytanii.

Efektem współpracy jest możliwość odszyfrowania danych dla niektórych wariantów ransomware używanego przez grupę Lockbit na przestrzeni ostatnich lat.

W tym celu FBI opracowało stronę www.lockbitvictims.ic3.gov, z której mogą skorzystać wszystkie potencjalne ofiary. Informacja prasowa FBI na ten temat.

Podstawowe statystyki o grupie LockBit

Przypomnijmy, że LockBit, to jedna z najbardziej aktywnych grup ransomware na świecie, która zaatakowała ponad 2000 ofiar, otrzymała ponad 140 milionów dolarów okupu i zażądała okupu na łączną kwotę setek milionów dolarów.

Cyberprzestępcy dystrybuują oprogramowanie ransomware w modelu subskrypcyjnym od roku 2019. Złośliwe oprogramowanie po zainfekowaniu systemów pozostawia niewiele śladów włamania, ponieważ wczytuje się do pamięci operacyjnej, nie zostawia po sobie plików oraz usuwa logi systemowe, które często są pomocne w wyodrębnieniu danych technicznych na temat ataku oraz kodu złośliwego oprogramowania.

Ta grupa hakerów najbardziej zainteresowana jest firmami i instytucjami z sektora obronności, lotnictwa, energetyki, finansów, opieki zdrowotnej, transportu. Za cel obiera głównie duże firmy i organizacje rządowe, ponieważ ich celem są pieniądze.

Do arsenału technicznego używanego przez LockBit zaliczamy narzędzie open-source takie jak: 3AM, CrackMapExec, EmpireProject, LockBit, Mimikatz, PsExec.

lockbit strona www
Źródło: https://www.linkedin.com/posts/jackson-chen_lockbit-taken-down-one-for-the-good-guys-activity-7165598274387652608-g1cU

Na wniosek francuskich organów sądowych zatrzymano dwie osoby powiązane z LockBit w Polsce i na Ukrainie. Francuskie i amerykańskie władze sądownicze wydały także trzy międzynarodowe nakazy aresztowania i pięć aktów oskarżenia. W ramach operacji zamrożono ponad 200 kont kryptowalutowych powiązanych z członkami organizacji.

LockBit operuje niemal na całym świecie, a setki partnerów rekrutuje się do przeprowadzania operacji ransomware przy użyciu narzędzi i infrastruktury LockBit. Płatności okupu zostały podzielone pomiędzy główny zespół LockBit i podmioty stowarzyszone, które otrzymały średnio trzy czwarte zebranych okupów.

Grupa ransomware słynie również z eksperymentowania z nowymi metodami wywierania presji na ofiary, aby zapłaciły okup. Jedną z takich metod jest potrójne wymuszenie, które obejmuje tradycyjne metody szyfrowania danych ofiary i grożenia ich wyciekiem, ale obejmuje także ataki typu Distributed Denial-of-Service (DDoS) jako dodatkową warstwę nacisku.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]