Η αστυνομία συλλαμβάνει μέλη του LockBit ransomware, απελευθερώνει αποκρυπτογράφηση σε παγκόσμια καταστολή

Ενημέρωση 20 Φεβρουαρίου, 07:21 EST:


Το άρθρο ενημερώθηκε με περισσότερες λεπτομέρειες σχετικά με τη λειτουργία.

Οι αρχές επιβολής του νόμου συνέλαβαν δύο χειριστές της συμμορίας ransomware LockBit στην Πολωνία και την Ουκρανία, δημιούργησαν ένα εργαλείο αποκρυπτογράφησης για δωρεάν ανάκτηση κρυπτογραφημένων αρχείων και κατέσχεσαν πάνω από 200 κρυπτοπορτοφόλια μετά από χάκαρισμα των διακομιστών της συμμορίας κυβερνοεγκλήματος σε μια διεθνή επιχείρηση καταστολής.

Οι γαλλικές και οι αμερικανικές δικαστικές αρχές εξέδωσαν επίσης τρία διεθνή εντάλματα σύλληψης και πέντε κατηγορίες με στόχο άλλους παράγοντες απειλών LockBit.

Δύο από τις κατηγορίες αποσφραγίστηκαν από το Υπουργείο Δικαιοσύνης των

ΗΠΑ


εναντίον δύο Ρώσων υπηκόων

Artur Sungatov και Ivan Gennadievich Kondratiev (γνωστός και ως Bassterlord), για τη συμμετοχή τους σε επιθέσεις LockBit.

Οι προηγούμενες κατηγορίες εναντίον των ηθοποιών ransomware του Lockbit περιλαμβάνουν

Μιχαήλ Βασίλιεφ

(Νοέμβριος 2022),

Ρουσλάν Μαγκομέντοβιτς Ασταμίροφ

(Ιούνιος 2023),

Μιχαήλ Παβλόβιτς Ματβέεφ

γνωστός και ως Wazawaka (Μάιος 2023)

Επιχείρηση Cronos

Η παγκόσμια καταστολή του LockBit συντονίστηκε από την Επιχείρηση Cronos, μια ομάδα εργασίας με επικεφαλής την Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου (NCA) και συντονίζεται στην Ευρώπη από την Europol και την Eurojust. Η έρευνα ξεκίνησε τον Απρίλιο του 2022 στη Eurojust, μετά από αίτημα των γαλλικών αρχών.

«Η πολύμηνη λειτουργία είχε ως αποτέλεσμα τον συμβιβασμό της κύριας πλατφόρμας και άλλων κρίσιμων υποδομών της LockBit που επέτρεψαν την εγκληματική τους επιχείρηση», δήλωσε σήμερα η Europol.

«Αυτό περιλαμβάνει την κατάργηση 34 διακομιστών στην Ολλανδία, τη Γερμανία, τη Φινλανδία, τη Γαλλία, την Ελβετία, την Αυστραλία, τις

Ηνωμένες Πολιτείες

και το Ηνωμένο Βασίλειο.

“Αυτή η υποδομή βρίσκεται τώρα υπό έλεγχο των αρχών επιβολής του νόμου και περισσότεροι από 14.000 αδίστακτοι λογαριασμοί που ευθύνονται για την εκκένωση ή την υποδομή έχουν εντοπιστεί και παραπεμφθεί για κατάργηση από τις αρχές επιβολής του νόμου.”

Η Europol είπε στο BleepingComputer ότι αυτοί οι απατεώνες λογαριασμοί χρησιμοποιήθηκαν από μέλη του LockBit για να φιλοξενήσουν εργαλεία και λογισμικό που χρησιμοποιούνται σε επιθέσεις και για να αποθηκεύσουν δεδομένα που είχαν κλαπεί από εταιρείες.

Στο πλαίσιο της επιχείρησης Cronos, οι αρχές επιβολής του νόμου ανακτήθηκαν επίσης

πάνω από 1.000 κλειδιά αποκρυπτογράφησης

από τους κατασχεθέντες διακομιστές LockBit. Χρησιμοποιώντας αυτά τα κλειδιά αποκρυπτογράφησης, η ιαπωνική αστυνομία, η NCA και το

Ομοσπονδιακό Γραφείο Ερευνών

(FBI) ανέπτυξαν ένα εργαλείο αποκρυπτογράφησης LockBit 3.0 Black Ransomware με την υποστήριξη της Europol.

Αυτός ο δωρεάν αποκρυπτογραφητής είναι πλέον διαθέσιμος μέσω του

Πύλη «No More Ransom».

. Το BleepingComputer επικοινώνησε με την Europol για να μάθει εάν ο αποκρυπτογραφητής βοηθά τα θύματα του LockBit μόνο μετά από μια συγκεκριμένη ημερομηνία, αλλά δεν ήταν άμεσα διαθέσιμη απάντηση.

Προς το παρόν, είναι άγνωστο πόσα κρυπτονομίσματα ήταν αποθηκευμένα στα 200 κατασχεμένα πορτοφόλια. Ωστόσο, μπορεί να είναι δυνατό για τα θύματα που πλήρωσαν αιτήματα λύτρων να ανακτήσουν ορισμένες από τις

πληρωμές

ransomware τώρα, όπως έκανε προηγουμένως το FBI για την Colonial Pipeline και διάφορους οργανισμούς υγειονομικής περίθαλψης.

Europol

λέει

ότι έχουν συγκεντρώσει έναν «τεράστιο όγκο» δεδομένων σχετικά με τη λειτουργία LockBit, τα οποία θα χρησιμοποιηθούν σε συνεχείς επιχειρήσεις που στοχεύουν τους ηγέτες του ομίλου, καθώς και τους προγραμματιστές και τις θυγατρικές του.

Κατασχέθηκε η υποδομή LockBit

Ως μέρος αυτής της κοινής δράσης, η NCA έχει αναλάβει τον έλεγχο των διακομιστών LockBit που χρησιμοποιούνται για τη φιλοξενία δεδομένων που έχουν κλαπεί από τα δίκτυα των θυμάτων σε επιθέσεις διπλού εκβιασμού και τις σκοτεινές ιστοσελίδες διαρ

ροής

της συμμορίας.

Οι σκοτεινοί ιστότοποι του LockBit καταργήθηκαν χθες, παρουσιάζοντας πανό κατάσχεσης που αποκάλυπταν ότι η αναστάτωση προήλθε από μια συνεχιζόμενη διεθνή δράση επιβολής του νόμου.

Το πάνελ συνεργατών της ομάδας ransomware κατασχέθηκε επίσης από την αστυνομία, εμφανίζοντας τώρα ένα μήνυμα στους συνεργάτες αφού συνδεθούν ότι οι πληροφορίες, ο πηγαίος κώδικας LockBit, οι συνομιλίες και τα στοιχεία των θυμάτων κατασχέθηκαν επίσης.

«Έχουμε τον πηγαίο κώδικα, τα στοιχεία των θυμάτων στα οποία έχετε επιτεθεί, το χρηματικό ποσό που εκβιάσατε, τα δεδομένα που έχουν κλαπεί, συνομιλίες και πολλά, πολλά άλλα», αναφέρει το μήνυμα.

“Μπορεί να επικοινωνήσουμε μαζί σας πολύ σύντομα. Καλή σας μέρα. Με εκτίμηση, Η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, το FBI, η Europol και η Επιχείρηση Cronos Law Enforcement Task Force.”

Ποιος είναι το LockBit;

Η επιχείρηση LockBit ransomware-as-a-service (RaaS) εμφανίστηκε τον Σεπτέμβριο του 2019 και έκτοτε έχει συνδεθεί ή έχει αναλάβει επιθέσεις σε πολλούς οργανισμούς υψηλού προφίλ παγκοσμίως, όπως η Boeing, η UK Royal Mail, η Continental αυτοκινητοβιομηχανία και η Ιταλική Υπηρεσία Εσωτερικών Εσόδων.

Σε μια κοινή συμβουλευτική που κυκλοφόρησε τον Ιούνιο, οι αμερικανικές αρχές κυβερνοασφάλειας και οι συνεργάτες παγκοσμίως υπολόγισαν ότι η LockBit είχε εκβιάσει τουλάχιστον 91 εκατομμύρια δολάρια από αμερικανικούς οργανισμούς μετά από 1.700 επιθέσεις από το 2020.

Σήμερα, το Υπουργείο Δικαιοσύνης των ΗΠΑ

είπε

η συμμορία είχε πάνω από 2.000 θύματα και εισέπραξε περισσότερα από 120 εκατομμύρια δολάρια σε πληρωμές λύτρων μετά από απαιτήσεις συνολικού ύψους εκατοντάδων εκατομμυρίων δολαρίων.

Πιο πρόσφατα, η Bank of America προειδοποίησε τους πελάτες για παραβίαση δεδομένων μετά την παραβίαση του τρίτου παρόχου υπηρεσιών Infosys McCamish Systems (IMS) σε μια επίθεση την οποία ανέλαβε η LockBit.

Τα τελευταία χρόνια, οι διεθνείς επιχειρήσεις επιβολής του νόμου οδήγησαν επίσης στην κατάσχεση διακομιστών και σκοτεινών ιστοσελίδων που χρησιμοποιούνται από το ALPHV (BlackCat) και το Hive ransomware.