Megzavarták a világ legnagyobb ransomware csoportjának működését

Nemzetközi akció keretén belül sikerült birtokba venni a világ legnagyobb vállalataira célzó Lockbit ransomware csoport weboldalát, illetve megzavarni a csoport működését  – jelentette be a brit Nemzeti Bűnügyi Ügynökség (NCA), ami későbbre ígért tájékoztatást azzal kapcsolatban, hogy milyen mértékben sikerült beavatkozni az akció keretén belül.

Az NCA az amerikai szövetségi nyomozóiroda (FBI) és az Europol munkatársaival működött együtt a műveletben, amiben Németország, Franciaország, Japán, Svájc, Kanada, Ausztrália, Svédország, Hollandia és Finnország bűnüldöző hatóságai is részt vettek. A LockBittől eltulajdonított dark weben található weboldal szerint a csoport honlapja jelenleg az Egyesült Királyság Nemzeti Bűnüldözési Ügynökségének ellenőrzése alatt áll, addig azt lehetett olvasni rajta, hogy a csoport „Hollandiában található, teljesen apolitikus és csak a pénz érdekli” - bár a szakértők szerint orosz szálakkal rendelkező csoportról van szó.

A Lockbit állítólag a Tox nevű titkosított üzenetküldőn keresztül osztotta meg, hogy az FBI beavatkozott a PHP programozási nyelvvel működő szerverei működésébe, de vannak még tartalékszervereik, amikhez nem sikerült hozzányúlniuk a hatóságoknak. Mikor még a csoport tulajdonában volt, a Lockbit webhelye az áldozatul esett szervezeteket listázta, a nevük mellett digitális órákat megjelenítve, amelyek azt mutatták, hogy hány nap maradt még számukra a váltságdíj kifizetéséig.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A Cisa amerikai kiberbiztonsági ügynökség szerint a Lockbit 2020 óta legalább 1700 amerikai szervezetet támadott meg, a pénzügyi szolgáltatóktól kezdve az iskoláig és kormányzati szervekig minden iparágat érintve. A Lockbit és partnerei az elmúlt hónapokban néhány nagyobb szervezetet is megtámadtak, a csoport jellemzően bizalmas adatok kiszivárogtatásával fenyegetőzik váltságdíj meg nem fizetése esetén.

Tavaly januárban a csoport bocsánatot kért, miután partnere kibertámadást intézett Kanada legnagyobb gyermekkórháza ellen. A torontói Hospital for Sick Children (SickKids) rendszerét december 18-án érte ransomware-támadás, aminek következtében az intézmény nem tudott hozzáférni az ellátás szempontjából kritikus belső rendszereihez, így a betegfelvétel ideje és a várólista jelentősen megnövekedett. Novemberben a Boeingtől szivárogtattak ki 43 GB fájlt, köztük IT-felügyeleti szoftverek konfigurációs biztonsági mentéseit, valamint különféle monitoring és auditálási eszközök naplófájljait. 

Sok ransomware csoporthoz hasonlóan a LockBit is ransomware-as-a-service üzleti modell szerint működik, tehát a kártevőt a fejlesztők bérbe adják a partnereknek, akik különféle szervezetek hálózatait próbálják feltörni, sikeres támadás esetén pedig a LockBit kódjával titkosítják az adatokat. A váltságdíj kifizetése esetén a partnerek jutalékot fizetnek a fejlesztőknek. A LockBitet először 2019-ben azonosították a biztonsági szakemberek, aminek 2.0-ás változatát tavaly adták ki készítői.

Jon DiMaggio, az Analyst1, egy amerikai kiberbiztonsági cég vezető biztonsági stratégája szerint a Lockbit a zsarolóprogramok „Walmartjaként” működik, és étségtelenül napjaink legnagyobb ransomware csoportja. A Malwarebytes Threat Intelligence 2023. augusztusában közzétett jelentése szerint a zsarolóvírus-támadások túlnyomó része mögött továbbra is a LockBit állt, melynek mostanra közel száz "fiókszervezete" van, ugyanakkor márciusban és júniusban toronymagasan előzött a CLOP, mely két különböző zero-day sebezhetőségen keresztül hajtott végre gyors ütemben jelentős mennyiségű sikeres támadást.

A kiszivárogtatott webhelyek friss adatai alapján a Lockbit 25%-os részesedéssel rendelkezik a zsarolóprogramok piacán, legnagyobb "riválisa"a Blackcat 8,5% körüli részesedéssel.