Οι αρχές επιβολής του νόμου συνέλαβαν δύο χειριστές της συμμορίας ransomware LockBit στην Πολωνία και την Ουκρανία, δημιούργησαν ένα εργαλείο αποκρυπτογράφησης για δωρεάν ανάκτηση κρυπτογραφημένων αρχείων και κατέσχεσαν πάνω από 200 κρυπτοπορτοφόλια μετά από χάκαρισμα των διακομιστών της συμμορίας κυβερνοεγκλήματος σε μια διεθνή επιχείρηση καταστολής.
Οι γαλλικές και οι αμερικανικές δικαστικές αρχές εξέδωσαν επίσης τρία διεθνή εντάλματα σύλληψης και πέντε κατηγορίες με στόχο άλλους παράγοντες απειλών LockBit.
Δύο από τις κατηγορίες αποσφραγίστηκαν από το Υπουργείο Δικαιοσύνης των ΗΠΑ εναντίον δύο Ρώσων υπηκόων, του Artur Sungatov και του Ivan Gennadievich Kondratiev (γνωστός και ως Bassterlord), για τη συμμετοχή τους σε επιθέσεις LockBit.
Η παγκόσμια καταστολή του LockBit συντονίστηκε από την Operation Chronos, μια ειδική ομάδα με επικεφαλής την Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου (NCA) και τον συντονισμό στην Ευρώπη από την
Europol
και την Eurojust. Η έρευνα ξεκίνησε τον Απρίλιο του 2022 στη Eurojust, μετά από αίτημα των γαλλικών αρχών.
«Η πολύμηνη λειτουργία είχε ως αποτέλεσμα τον συμβιβασμό της κύριας πλατφόρμας και άλλων κρίσιμων υποδομών της LockBit που επέτρεψαν την εγκληματική τους επιχείρηση», δήλωσε σήμερα η Europol.
«Αυτό περιλαμβάνει την κατάργηση 34 διακομιστών στην Ολλανδία, τη
Γερμανία
, τη Φινλανδία, τη Γαλλία, την Ελβετία, την Αυστραλία, τις Ηνωμένες Πολιτείες και το Ηνωμένο Βασίλειο.
“Αυτή η υποδομή βρίσκεται τώρα υπό έλεγχο των αρχών επιβολής του νόμου και περισσότεροι από 14.000 αδίστακτοι λογαριασμοί που ευθύνονται για την εκκένωση ή την υποδομή έχουν εντοπιστεί και παραπεμφθεί για κατάργηση από τις αρχές επιβολής του νόμου.”
Η Europol είπε στο BleepingComputer ότι αυτοί οι απατεώνες λογαριασμοί χρησιμοποιήθηκαν από μέλη του LockBit για να φιλοξενήσουν εργαλεία και λογισμικό που χρησιμοποιούνται σε επιθέσεις και για να αποθηκεύσουν δεδομένα που είχαν κλαπεί από εταιρείες.
Στο πλαίσιο της Επιχείρησης Cronus, οι αρχές επιβολής του νόμου ανέκτησαν επίσης κλειδιά αποκρυπτογράφησης από τους κατασχεθέντες διακομιστές LockBit. Χρησιμοποιώντας αυτά τα κλειδιά αποκρυπτογράφησης, η ιαπωνική αστυνομία, η NCA και το Ομοσπονδιακό Γραφείο Ερευνών (FBI) ανέπτυξαν ένα εργαλείο αποκρυπτογράφησης LockBit με την υποστήριξη της Europol.
Αυτός ο δωρεάν αποκρυπτογραφητής είναι πλέον διαθέσιμος μέσω του
Πύλη «No More Ransom».
.
Το
BleepingComputer επικοινώνησε με την Europol για να μάθει εάν ο αποκρυπτογραφητής βοηθά τα θύματα του LockBit μόνο μετά από μια συγκεκριμένη ημερομηνία, αλλά δεν ήταν άμεσα διαθέσιμη απάντηση.
Προς το παρόν, είναι άγνωστο πόσα κρυπτονομίσματα ήταν αποθηκευμένα στα 200 κατασχεμένα πορτοφόλια. Ωστόσο, μπορεί να είναι δυνατό για τα θύματα που πλήρωσαν αιτήματα λύτρων να ανακτήσουν ορισμένες από τις πληρωμές ransomware τώρα, όπως έκανε προηγουμένως το FBI για την Colonial Pipeline και διάφορους οργανισμούς υγειονομικής περίθαλψης.
Η Europol λέει ότι έχει συγκεντρώσει έναν «τεράστιο όγκο» δεδομένων σχετικά με τη λειτουργία LockBit, τα οποία θα χρησιμοποιηθούν σε συνεχείς επιχειρήσεις που στοχεύουν τους ηγέτες του ομίλου, καθώς και τους προγραμματιστές και τις θυγατρικές του.
Κατασχέθηκε η υποδομή LockBit
Ως μέρος αυτής της κοινής δράσης, η NCA έχει αναλάβει τον έλεγχο των διακομιστών LockBit που χρησιμοποιούνται για τη φιλοξενία δεδομένων που έχουν κλαπεί από τα δίκτυα των θυμάτων σε επιθέσεις διπλού εκβιασμού και τις σκοτεινές ιστοσελίδες διαρροής της συμμορίας.
Οι σκοτεινοί ιστότοποι του LockBit καταργήθηκαν χθες, παρουσιάζοντας πανό κατάσχεσης που αποκάλυπταν ότι η αναστάτωση προήλθε από μια συνεχιζόμενη διεθνή δράση επιβολής του νόμου.
Banner κατάσχεσης ransomware LockBit (BleepingComputer)
Το πάνελ συνεργατών της ομάδας ransomware κατασχέθηκε επίσης από την αστυνομία, εμφανίζοντας τώρα ένα μήνυμα στους συνεργάτες αφού συνδεθούν ότι οι πληροφορίες, ο πηγαίος κώδικας LockBit, οι συνομιλίες και τα στοιχεία των θυμάτων κατασχέθηκαν επίσης.
«Έχουμε τον πηγαίο κώδικα, τα στοιχεία των θυμάτων στα οποία έχετε επιτεθεί, το χρηματικό ποσό που εκβιάσατε, τα δεδομένα που έχουν κλαπεί, συνομιλίες και πολλά, πολλά άλλα», αναφέρει το μήνυμα.
“Μπορεί να επικοινωνήσουμε μαζί σας πολύ σύντομα. Καλή σας μέρα. Με εκτίμηση, Η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, το FBI, η Europol και η Επιχείρηση Cronos Law Enforcement Task Force.”
Θέση διαρροής LockBit μετά την κατάσχεση (BleepingComputer)
Ποιος είναι το LockBit;
Η επιχείρηση LockBit ransomware-as-a-service (RaaS) εμφανίστηκε τον Σεπτέμβριο του 2019 και έκτοτε έχει συνδεθεί ή έχει αναλάβει επιθέσεις σε πολλούς οργανισμούς υψηλού προφίλ παγκοσμίως, όπως η
Boeing
, η UK Royal Mail, η Continental αυτοκινητοβιομηχανία και η Ιταλική Υπηρεσία Εσωτερικών Εσόδων.
Σε μια κοινή συμβουλευτική που κυκλοφόρησε τον Ιούνιο, οι αμερικανικές αρχές κυβερνοασφάλειας και οι συνεργάτες παγκοσμίως υπολόγισαν ότι η LockBit είχε εκβιάσει τουλάχιστον 91 εκατομμύρια δολάρια από αμερικανικούς οργανισμούς μετά από 1.700 επιθέσεις από το 2020.
Πιο πρόσφατα, η Bank of America προειδοποίησε τους πελάτες για παραβίαση δεδομένων μετά την παραβίαση του τρίτου παρόχου υπηρεσιών Infosys McCamish Systems (IMS) σε μια επίθεση την οποία ανέλαβε η LockBit.
Μια άλλη ύποπτη θυγατρική της LockBit συνελήφθη τον Ιούνιο και κατηγορήθηκε για ανάπτυξη του ransomware σε δίκτυα θυμάτων στις Ηνωμένες Πολιτείες και στο εξωτερικό μεταξύ Αυγούστου 2020 και Μαρτίου
2023
.
Τα τελευταία χρόνια, οι διεθνείς επιχειρήσεις επιβολής του νόμου οδήγησαν επίσης στην κατάσχεση διακομιστών και σκοτεινών ιστοσελίδων που χρησιμοποιούνται από το ALPHV (BlackCat) και το Hive ransomware.
VIA:
bleepingcomputer.com
