Organy ścigania rozprawiają się z hakerami LockBit, dokonując dużych aresztowań i przejęć infrastruktury, aby odkryć globalną sieć ransomware

Świat cyberprzestępczości stanął w obliczu kolejnego poważnego ciosu w tym tygodniu, gdy międzynarodowe agencje ścigania zlikwidowały kluczowych członków niesławnej grupy ransomware LockBit . Ogłoszenia Europolu, władz USA i Wielkiej Brytanii podkreśliły skoordynowany wysiłek mający na celu rozmontowanie infrastruktury stojącej za jedną z najbardziej produktywnych operacji ransomware na świecie.

Aresztowano hakerów LockBit, zajęto serwery

We wtorek władze wykorzystały przejęte strony internetowe grupy ransomware LockBit, aby przekazać tę wiadomość. Europol i inne agencje ujawniły liczne aresztowania, w tym schwytanie podejrzanego programisty LockBit, gdy był na wakacjach. Programista, o którego wnioskowała Francja, został złapany poza Rosją, co oznacza ogromny sukces w ściganiu kluczowych postaci operacji. Jednocześnie dwie osoby zostały zatrzymane w Wielkiej Brytanii za pomoc podmiotowi powiązanemu z LockBit.

Dalej na południe w Hiszpanii policja zlikwidowała kluczowego gracza: administratora kuloodpornej usługi hostingowej obsługującej infrastrukturę LockBit. Operacja ta doprowadziła do zajęcia dziewięciu serwerów, co stanowi ogromny krok naprzód w rozbiciu sieci cyberprzestępczej grupy. Władze uważają, że przechwycone dane będą miały kluczowe znaczenie w ściganiu głównych członków i podmiotów stowarzyszonych LockBit.

Demaskowanie powiązań ze Złą Korporacją

Jednym z najważniejszych wydarzeń jest zdemaskowanie Aleksandra Viktorovicha Ryzhenkova, obywatela Rosji zidentyfikowanego jako kluczowy partner LockBit i członek niesławnej Evil Corp — organizacji cyberprzestępczej znanej zarówno z ataków ransomware nastawionych na zysk, jak i domniemanych powiązań z rosyjskimi operacjami cybernetycznego szpiegostwa. Według władz Ryzhenkova, używająca pseudonimu „Beverley”, była odpowiedzialna za stworzenie ponad 60 wariantów ransomware LockBit i żądanie co najmniej 100 milionów dolarów okupu .

Co ciekawe, Ryzhenkov nie został oskarżony o przestępstwa związane z LockBit, ale o ataki z użyciem ransomware BitPaymer. Jego zaangażowanie w Evil Corp i LockBit podkreśla powiązania między wieloma syndykatami cyberprzestępczości wysokiego szczebla.

Operacja Cronos: początek końca LockBit?

Lutowe usunięcie infrastruktury LockBit w 2024 r., będące częścią operacji Cronos, stanowiło kluczowy moment w globalnej walce z ransomware. Operacja obejmowała skoordynowane przejęcia serwerów i aresztowanie kilku podmiotów stowarzyszonych. W tym czasie brytyjska Narodowa Agencja ds. Przestępczości (NCA) przejęła nawet domeny Tor LockBit, wykorzystując je ponownie do ogłaszania tych zwycięstw organów ścigania.

Władze później zidentyfikowały i oskarżyły Dimitrija Yuryevicha Khorosheva, mózg LockBit, znanego w sieci jako „LockBitSupp”. Uważa się, że Khoroshev stworzył i obsługiwał LockBit, zarabiając ponad 100 milionów dolarów nielegalnych zysków. Z nagrodą w wysokości 10 milionów dolarów za jego głowę pozostaje jednym z najbardziej poszukiwanych cyberprzestępców na świecie.

Zniszczone dziedzictwo

Chociaż LockBit został poważnie osłabiony przez ostatnie operacje, wydaje się, że grupa nie zniknęła całkowicie. W maju LockBit na krótko pojawił się ponownie jako jedna z najbardziej aktywnych operacji ransomware, ale niektórzy eksperci spekulowali, że była to zasłona dymna zaprojektowana w celu ukrycia prawdziwego stanu przestępczego przedsiębiorstwa. Pod koniec lata ataki ze strony LockBit znacznie zmalały, a ostatnim roszczeniem było włamanie do Rezerwy Federalnej USA, chociaż wyciekłe dane należały do znacznie mniejszej firmy świadczącej usługi finansowe.

Badacze ds. bezpieczeństwa zauważyli, że pod koniec września strony internetowe LockBit z wyciekami były niedostępne. Chociaż niektóre pojawiły się później, nie były aktualizowane od maja, co sygnalizuje możliwość wewnętrznego załamania. W poście NCA na jednej z tych stron internetowych podkreślono, że operacja Cronos poważnie zaszkodziła LockBit, a wielu partnerów opuściło grupę na rzecz innych platform Ransomware-as-a-Service (RaaS).

NCA w swoim oświadczeniu wskazała, że niedawne roszczenia ofiar grupy LockBit były w dużej mierze przesadzone lub po prostu sfabrykowane, co jeszcze bardziej nadszarpnęło i tak już słabą reputację grupy.

Co dalej z globalnym cyberbezpieczeństwem?

Zlikwidowanie LockBit oznacza zwycięstwo w trwającej wojnie z ransomware, ale walka jest daleka od zakończenia. Syndykaty cyberprzestępcze nadal się dostosowują, a w miarę zbliżania się organów ścigania organizacje te prawdopodobnie rozbiją się i rozwiną, co potencjalnie utrudni ich śledzenie.

Gdy grupy ransomware, takie jak LockBit, upadają, społeczność cyberbezpieczeństwa musi zachować czujność, przewidując kolejną falę zagrożeń cyfrowych. Przy nasilających się globalnych represjach przyszłość ransomware na dużą skalę może być niepewna, ale jedno jest jasne: organy ścigania są gotowe i chętne do zakłócania tych przestępczych przedsięwzięć, aresztowanie po aresztowaniu.