Τα Έξι πράγματα που πρέπει να γνωρίζετε για την κατάργηση του LockBit – Σοκαριστικές αποκαλύψεις!

Μια σαρωτική επιχείρηση επιβολής του νόμου υπό την ηγεσία της Εθνικής Υπηρεσίας Εγκλήματος του Ηνωμένου Βασιλείου αυτή την εβδομάδα κατέλυσε το LockBit, τη διαβόητη συμμορία ransomware που συνδέεται με τη Ρωσία, η οποία για χρόνια έχει προκαλέσει όλεθρο σε επιχειρήσεις, νοσοκομεία και κυβερνήσεις σε όλο τον κόσμο.

Η ενέργεια οδήγησε τον ιστότοπο διαρροής του LockBit, την κατάσχεση των διακομιστών του, την πραγματοποίηση πολλαπλών συλλήψεων και την εφαρμογή κυρώσεων από την κυβέρνηση των ΗΠΑ σε μια από τις πιο σημαντικές επιχειρήσεις που έγιναν εναντίον μιας ομάδας ransomware μέχρι σήμερα.

Είναι επίσης, αναμφίβολα, μια από τις πιο καινοτόμες καταστροφές που έχουμε δει, με τις αρχές του Ηνωμένου Βασιλείου να ανακοινώνουν την κατάσχεση της υποδομής του LockBit στον ιστότοπο διαρροής του ίδιου του ομίλου, που τώρα φιλοξενεί μια σειρά από λεπτομέρειες σχετικά με τις εσωτερικές λειτουργίες της συμμορίας — με την υπόσχεση για περισσότερα να έρθω.

Να τι μάθαμε μέχρι τώρα.

Το LockBit δεν διέγραψε τα δεδομένα των θυμάτων — ακόμα κι αν πλήρωσαν

Εδώ και καιρό υπάρχει η υποψία ότι η πληρωμή της απαίτησης λύτρων από έναν χάκερ είναι ένα στοίχημα και όχι μια εγγύηση ότι τα κλεμμένα δεδομένα θα διαγραφούν. Ορισμένα εταιρικά θύματα το έχουν πει, λέγοντας ότι «δεν μπορούν να εγγυηθούν» ότι τα δεδομένα τους θα διαγραφούν.

Η κατάργηση του LockBit μας επιβεβαίωσε ότι αυτό ισχύει. Η NCA αποκάλυψε ότι ορισμένα από τα δεδομένα που βρέθηκαν στα κατασχεμένα συστήματα της LockBit ανήκαν σε θύματα που είχαν πληρώσει λύτρα στους παράγοντες απειλών, «αποδεικνύοντας ότι ακόμη και όταν καταβάλλονται λύτρα, δεν εγγυάται ότι τα δεδομένα θα διαγραφούν, παρά τα όσα οι εγκληματίες έχουν υποσχεθεί», η

ανέφερε σε ανακοίνωσή της η NCA

.

Ακόμη και οι συμμορίες ransomware αποτυγχάνουν να επιδιορθώσουν τα τρωτά σημεία

Ναι, ακόμη και οι συμμορίες ransomware καθυστερούν να επιδιορθώσουν σφάλματα λογισμικού. Σύμφωνα με την ερευνητική ομάδα κακόβουλου λογισμικού

vx-υπόγειο

επικαλούμενη τον LockBitSupp, τον φερόμενο ως ηγέτη της επιχείρησης LockBit, οι αρχές επιβολής του νόμου εισέβαλαν στους διακομιστές της λειτουργίας ransomware χρησιμοποιώντας μια γνωστή ευπάθεια στη δημοφιλή

γλώσσα

κωδικοποίησης ιστού PHP.

Η ευπάθεια που χρησιμοποιείται για να παραβιάσει τους διακομιστές της είναι

παρακολουθείται ως CVE-2023-3824

ένα ελάττωμα απομακρυσμένης εκτέλεσης που διορθώθηκε τον Αύγουστο του 2023, δίνοντας στο LockBit μήνες για να διορθώσει το σφάλμα.

«Το FBI f****d up διακομιστές μέσω PHP, οι εφεδρικοί διακομιστές χωρίς PHP δεν μπορούν να αγγιχτούν», αναφέρει το μεταφρασμένο μήνυμα του LockBitSupp στο vx-underground, αρχικά γραμμένο στα ρωσικά.

Η κατάργηση ransomware διαρκεί πολύ

Σύμφωνα με την ευρωπαϊκή υπηρεσία επιβολής του νόμου Europol, η κατάργηση του LockBit, γνωστή επίσημα ως «

Επιχείρηση

Cronos», ήταν χρόνια σε

εξέλιξη

. Το πρακτορείο

αποκαλύφθηκε την Τρίτη

ότι η έρευνά της για τη διαβόητη συμμορία ransomware ξεκίνησε τον Απρίλιο του 2022, πριν από περίπου δύο χρόνια μετά από αίτημα των γαλλικών αρχών

Έκτοτε, η Europol είπε ότι το Ευρωπαϊκό της Κέντρο για το Έγκλημα στον κυβερνοχώρο, ή EC3, οργάνωσε περισσότερες από δύο δωδεκάδες επιχειρησιακές συναντήσεις και τέσσερα τεχνικά σπριντ διάρκειας μιας εβδομάδας για να αναπτύξει τα στοιχεία της έρευνας πριν από την τελική φάση της έρευνας: την κατάργηση αυτής της εβδομάδας.

Το LockBit έχει χακάρει περισσότερους από 2.000 οργανισμούς

Είναι γνωστό εδώ και καιρό ότι το LockBit, το οποίο εισήλθε για πρώτη φορά στην ανταγωνιστική σκηνή του εγκλήματος στον κυβερνοχώρο το 2019, είναι μία από τις, αν όχι οι πιο παραγωγικές συμμορίες ransomware.

Η επιχείρηση της Τρίτης το επιβεβαιώνει, και τώρα το Υπουργείο Δικαιοσύνης των ΗΠΑ έχει αριθμούς για να το υποστηρίξει. Σύμφωνα με το DOJ, η LockBit έχει διεκδικήσει πάνω από 2.000 θύματα στις ΗΠΑ και παγκοσμίως και έχει λάβει περισσότερα από 120 εκατομμύρια δολάρια σε

πληρωμές

λύτρων.

Οι κυρώσεις που στοχεύουν ένα βασικό μέλος του LockBit ενδέχεται να επηρεάσουν άλλα ransomware

Ένα από τα κορυφαία μέλη του LockBit που κατηγορήθηκαν και επιβλήθηκαν κυρώσεις την Τρίτη είναι

ένας

Ρώσος υπήκοος, ο Ivan Gennadievich Kondratiev, ο οποίος αξιωματούχοι των ΗΠΑ ισχυρίζονται ότι εμπλέκεται σε άλλες συμμορίες ransomware.

Σύμφωνα με το Υπουργείο Οικονομικών των ΗΠΑ

, ο Kondratiev έχει επίσης δεσμούς με τις REvil, RansomEXX και Avaddon. Ενώ το RansomEXX και το Avaddon είναι λιγότερο γνωστές παραλλαγές, το REvil ήταν μια άλλη παραλλαγή ransomware με βάση τη Ρωσία που κέρδισε τη φήμη για χακαρίσματα υψηλού προφίλ, κάνοντας εκατομμύρια σε πληρωμές λύτρων παραβιάζοντας τον γίγαντα παρακολούθησης δικτύου των ΗΠΑ Kaseya.

Ο Κοντράτιεφ ήταν επίσης

ονομάστηκε

ένας ηγέτης μιας πρόσφατα αποκαλυφθείσας υποομάδας LockBit που ονομάζεται «National Hazard Society». Λίγα άλλα είναι γνωστά για αυτήν τη θυγατρική LockBit, αλλά η NCA υποσχέθηκε να αποκαλύψει περισσότερα τις επόμενες ημέρες.

Οι κυρώσεις ουσιαστικά απαγορεύουν στα θύματα του ransomware του Kondratiev που εδρεύουν στις ΗΠΑ να του πληρώνουν τα λύτρα που ζητά. Δεδομένου ότι ο Kondratiev έχει χέρια σε τουλάχιστον πέντε διαφορετικές συμμορίες ransomware, οι κυρώσεις είναι πιθανό να κάνουν τη ζωή του πέντε φορές πιο δύσκολη.

Οι Βρετανοί έχουν αίσθηση του χιούμορ

Μερικοί άνθρωποι (δηλαδή εγώ, ένας Βρετανός) θα υποστήριζαν ότι το γνωρίζαμε ήδη, αλλά το τσίμπημα του LockBit μας έδειξε ότι οι αρχές του Ηνωμένου Βασιλείου έχουν αίσθηση του χιούμορ.

Όχι μόνο το NCA έχει κοροϊδέψει το LockBit μιμούμενο τον σκοτεινό ιστότοπο διαρροής της συμμορίας για τις δικές του αποκαλύψεις που σχετίζονται με το LockBit. Βρήκαμε διάφορα πασχαλινά αυγά κρυμμένα στον κατασχεθέντα πλέον ιστότοπο LockBit. Το αγαπημένο μας είναι τα διάφορα ονόματα αρχείων για τις εικόνες του ιστότοπου, τα οποία περιλαμβάνουν τα “oh dear.png”, “doesnt_look_good.png” και “this_is_really_bad.png”.