Удар по LockBit

Подкатили подробности инициированной британской NCA еще несколько месяцев назад международной силовой Operation Cronos в отношении банды вымогателей LockBit.

Шифровальщик LockBit – это вредоносное программное обеспечение, блокирующее доступ к компьютерным системам и требующее от пользователя выкуп за восстановление данных. LockBit автоматически отыскивает подходящую жертву, распространяется по сети и зашифровывает все данные на зараженных устройствах. Шифровальщик применяется в целевых атаках против крупных предприятий и других организаций. Используя это самоуправляемое вредоносное ПО, злоумышленники атакуют компании по всему миру, нанося им ущерб, связанный с одной из причин:

• Остановка работы из-за внезапного отказа важнейших функций.
• Вымогательство с целью получения финансовой выгоды.
• Кража данных и угроза их публикации в случае невыполнения жертвой поставленных требований.

Что представляет собой шифровальщик LockBit?

LockBit – это новый участник продолжительной серии вымогательских кибератак. Программа, ранее известная как шифровальщик ABCD, выросла в уникального представителя вымогательского ПО. LockBit представляет собой подкласс программ-вымогателей, именуемых «криптовирусами», поскольку злоумышленники требуют выкуп за восстановление зашифрованных данных. Как правило, жертвами атак этой вредоносной программы становятся не отдельные люди, а крупные компании и правительственные организации.

Идеальная жертва – та, которой выгоднее будет заплатить вымогателям кругленькую сумму, чем терпеть ущерб от атаки, и у которой эта сумма есть. Поэтому злоумышленники атакуют преимущественно крупные предприятия – от медицинских организаций до финансовых учреждений.

Как ранее уже сообщалось, скоординированными усилиями спецслужб 11 стран силовикам удалось захватить часть северной инфраструктуры LockBit, проникнуть в админку партнерской сети и добраться до исходников.

LockBit работает по схеме «шифровальщик как услуга» (RaaS). Клиенты вносят залог, заказывают атаку и получают прибыль по «партнерской программе». Им причитается до 75% от суммы выкупа, остальное достается разработчикам LockBit.

Теперь же согласно официальным пресс-релизам, в ходе операции было:

• захвачено 34 сервера LockBit,
• получена важная информация по операторам LockBit,
• арестовано более 200 криптовалютных счетов с доходами от выкупов,
• задержаны два члена организации в Польше и Украине,
• за информацию о личности LockbitSupp назначена награда,
• изъято более 1000 ключей шифрования.

Помимо развлечений в чатах с операторами, которым было предложено выдать LockbitSupp, силовики позабавились и с сайтом DLS, куда вместо жертв разместили ссылки с результатами по Operation Cronos.

Кроме того, официальные лица также опубликовали скриншоты различных частей серверной части LockBit в качестве пруссов заявленных результатов.

Полученные ключи шифрования были переданы японской национальной полиции, силами которой была разработана утилита для расшифровки файлов в системах Windows.

Утилита доступна в рамках проекта No More Ransom.

Еще из примечательных деталей: упомянутая LockbitSupp уязвимость CVE-2023-3824  в PHP, использованная для взлома серверов банды, по мнению исследователей, вряд ли явилась ключевой причиной тотального фиаско, хотя эксплуатация теоретически возможна.

Конечно же, Operation Cronos — это удар по самому сердцу LockBit ransomware, но по всей видимости, не смертельный.

Последствия в первую очередь затронут операторов, ряды которых в скором времени начнут редеть, став будущими целями спецслужб.

Недавно в LockBit добавили еще несколько вредоносных функций, таких как блокировка контрольных точек для действий с администраторскими правами. Теперь LockBit отключает уведомления, которые пользователи видят, когда программа пытается запуститься от имени администратора.

Кроме того, вредоносное ПО теперь настроено на кражу копий данных с сервера, а в текстовый файл с требованием выкупа злоумышленники добавили несколько строк шантажа

Источник