Teisėsauga sužlugdo „LockBit“ įsilaužėlius su dideliais areštais ir užgrobė infrastruktūrą, kad išaiškintų pasaulinį išpirkos programų tinklą

Kibernetinių nusikaltimų pasaulis šią savaitę patyrė dar vieną didelį smūgį, kai tarptautinės teisėsaugos institucijos nugalėjo pagrindinius liūdnai pagarsėjusios išpirkos reikalaujančios grupės „LockBit“ narius. Europolo, JAV ir JK valdžios institucijų pranešimai pabrėžė koordinuotas pastangas išardyti infrastruktūrą, kuri yra viena iš produktyviausių pasaulyje išpirkos reikalaujančių operacijų.

Suimti „LockBit“ įsilaužėliai, areštuoti serveriai

Antradienį valdžia pasinaudojo konfiskuotomis išpirkos reikalaujančių programų grupės „LockBit“ svetainėmis, kad paskelbtų naujienas. Europolas ir kitos agentūros atskleidė daugybę areštų, įskaitant įtariamo „LockBit“ kūrėjo sulaikymą jam atostogaujant. Kūrėjas, kurio paprašė Prancūzija, buvo sučiuptas už Rusijos ribų, o tai pažymėjo didelę sėkmę nukreipiant į pagrindinius operacijos veikėjus. Tuo pačiu metu JK buvo sulaikyti du asmenys, padėję „LockBit“ filialui.

Toliau į pietus Ispanijoje policija nukovė kritinį žaidėją: neperšaunamos prieglobos paslaugos, palaikančios LockBit infrastruktūrą, administratorių. Dėl šios operacijos buvo užgrobti devyni serveriai – didžiulis žingsnis į priekį išardant grupuotės kibernetinių nusikaltimų tinklą. Valdžios institucijos mano, kad užfiksuoti duomenys bus gyvybiškai svarbūs patraukiant baudžiamojon atsakomybėn pagrindinius „LockBit“ narius ir filialus.

„Evil Corp“ ryšio demaskavimas

Vienas iš svarbiausių įvykių yra Aleksandro Viktorovičiaus Ryženkovo, Rusijos piliečio, laikomo pagrindine LockBit dukterine įmone ir liūdnai pagarsėjusios Evil Corp – kibernetinių nusikaltimų organizacijos, pagarsėjusios tiek pelno siekiančiomis išpirkos reikalaujančiomis programomis, tiek tariamais ryšiais su Rusijos kibernetiniais kompiuteriais, nario demaskavimas. šnipinėjimo operacijos. Anot valdžios, Ryženkovas, naudodamas slapyvardį „Beverley“, buvo atsakingas už daugiau nei 60 „LockBit“ išpirkos reikalaujančių programų variantų sukūrimą ir pareikalavo mažiausiai 100 mln. USD išpirkos .

Įdomu tai, kad Ryženkovas buvo apkaltintas ne už su „LockBit“ susijusius nusikaltimus, o už atakas naudojant „BitPaymer“ išpirkos reikalaujančią programinę įrangą. Jo dalyvavimas tiek „Evil Corp“, tiek „LockBit“ išryškina daugelio aukšto lygio kibernetinių nusikaltimų sindikatų tarpusavio ryšį.

Operacija „Cronos“: „LockBit“ pabaigos pradžia?

2024 m. vasario mėn. „LockBit“ infrastruktūros, kuri yra „Operation Cronos“ dalis, panaikinimas buvo esminis momentas pasaulinėje kovoje su išpirkos programomis. Operacija apėmė koordinuotus serverio užgrobimus ir kelių susijusių įmonių areštą. Tuo metu JK Nacionalinė nusikalstamumo agentūra (NCA) netgi perėmė „LockBit“ „Tor“ domenus ir perdavė juos paskelbti apie šias teisėsaugos pergales.

Vėliau valdžios institucijos nustatė ir apkaltino Dimitrijui Jurjevičių Choroševą, „LockBit“, žinomo internete kaip „LockBitSupp“, sumanytoją. Manoma, kad Khoroshevas sukūrė ir valdė „LockBit“, gaudamas daugiau nei 100 mln. USD neteisėtos naudos. Su 10 milijonų dolerių premija ant galvos jis išlieka vienu geidžiamiausių kibernetinių nusikaltėlių pasaulyje.

Suteptas palikimas

Nors LockBit buvo labai susilpnintas dėl pastarųjų operacijų, atrodo, kad grupė visiškai neišnyko. Gegužę „LockBit“ trumpam vėl pasirodė kaip viena aktyviausių išpirkos reikalaujančių operacijų, tačiau kai kurie ekspertai spėjo, kad tai buvo dūmų uždanga, skirta nuslėpti tikrąją nusikalstamos įmonės būklę. Iki vasaros pabaigos „LockBit“ atakų gerokai sumažėjo, o paskutinis jos teiginys buvo įsilaužimas į JAV Federalinį rezervą, nors nutekinti duomenys priklausė daug mažesnei finansinių paslaugų bendrovei.

Saugumo tyrinėtojai pažymėjo, kad iki rugsėjo pabaigos „LockBit“ nutekėjusios svetainės buvo neprisijungusios. Nors kai kurie vėl pasirodė vėliau, jie nebuvo atnaujinti nuo gegužės mėnesio, o tai rodo vidinio žlugimo galimybę. NCA įraše vienoje iš šių svetainių buvo pabrėžta, kad operacija „Cronos“ smarkiai sugadino „LockBit“, nes daugelis susijusių įmonių atsisakė grupės dėl kitų „Ransomware-as-a-Service“ (RaaS) platformų.

Pareiškime NCA pažymėjo, kad pastarieji „LockBit“ aukų teiginiai buvo iš esmės perdėti arba visiškai išgalvoti, o tai dar labiau gadina ir taip šlubuojančią grupės reputaciją.

Kas laukia pasaulinio kibernetinio saugumo srityje?

„LockBit“ pašalinimas žymi pergalę vykstančiame kare su išpirkos reikalaujančiomis programomis, tačiau kova toli gražu nesibaigė. Kibernetinių nusikaltimų sindikatai ir toliau prisitaiko, o teisėsaugai užsidarius, šios organizacijos greičiausiai išsiskirs ir vystysis, todėl jas bus sunkiau sekti.

Kadangi išpirkos reikalaujančių programų grupės, pvz., „LockBit“, žlunga, kibernetinio saugumo bendruomenė turi išlikti budri ir numatyti kitą skaitmeninių grėsmių bangą. Stiprėjant pasauliniam susidorojimui, didelio masto išpirkos programų ateitis gali būti neaiški, tačiau viena aišku: teisėsauga yra pasirengusi ir nori sužlugdyti šias nusikalstamas įmones, po vieną areštą.