Η εισβολή των Fed στο LockBit: Τι συμβαίνει μετά;

Μέρες μετά από αυτό

Η διαβόητη ομάδα

ransomware

LockBit με έδρα τη Ρωσία, η οποία έμεινε εκτός σύνδεσης από

μι

α σαρωτική επιχείρηση επιβολής του νόμου που διαρκεί πολλά χρόνια, επέστρεψε στον σκοτεινό ιστό με έναν νέο ιστότοπο διαρροής με πολλά νέα θύματα.

Σε μια περίπλοκη, οριακή δήλωση που δημοσιεύθηκε το Σάββατο, ο εναπομείνας διαχειριστής του LockBit κατηγόρησε τη δική του αμέλεια για τη διακοπή της περασμένης εβδομάδας. Μια παγκόσμια προσπάθεια επιβολής του νόμου ξεκίνησε μια επιχείρηση που κατέλαβε την

υποδομή

της συμμορίας ransomware εκμεταλλευόμενη μια ευπάθεια στους δημόσιους ιστότοπους του LockBit, συμπεριλαμβανομένου του σκοτεινού ιστότοπου διαρροής που χρησιμοποιούσε η συμμορία για τη δημοσίευση κλεμμένων δεδομένων από τα θύματα.

Η «Επιχείρηση Cronos», όπως την ονόμασαν οι ομοσπονδιακοί, είδε επίσης την κατάργηση 34 διακομιστών σε όλη την Ευρώπη, το Ηνωμένο Βασίλειο και τις ΗΠΑ, την κατάσχεση περισσότερων από 200 πορτοφολιών κρυπτονομισμάτων και τη σύλληψη δύο φερόμενων μελών του LockBit στην Πολωνία και την Ουκρανία.

Μόλις πέντε ημέρες αργότερα, η LockBit ανακοίνωσε ότι οι δραστηριότητές της είχαν ξαναρχίσει, ισχυριζόμενος ότι έκανε

επα

ναφορά από αντίγραφα ασφαλείας που δεν επηρεάστηκαν από την κατάργηση της κυβέρνησης. Στη δήλωσή του, ο διαχειριστής του LockBit

απε

ίλησε ότι θα ανταποκριθεί λέγοντας ότι θα στόχευε τον κυβερνητικό τομέα.

Ένας εκπρόσωπος της Εθνικής Υπηρεσίας Εγκλήματος, η οποία ηγήθηκε της Επιχείρησης Cronos, είπε στο TechCrunch τη Δευτέρα μετά την επιστροφή του LockBit ότι η επιχείρηση κατάργησης «διείσδυσε επιτυχώς και ανέλαβε τον έλεγχο των συστημάτων του LockBit και μπόρεσε να θέσει σε κίνδυνο ολόκληρη την εγκληματική τους λειτουργία».

«Τα συστήματά τους έχουν πλέον καταστραφεί από την NCA και είναι η εκτίμησή μας ότι το LockBit παραμένει εντελώς σε κίνδυνο», ανέφερε η NCA.

Οι αρχές επιβολής του νόμου που διεκδικούν τη συντριπτική νίκη ενώ ο προφανής αρχηγός της LockBit παραμένει ελεύθερος, απειλώντας με αντίποινα και στοχεύοντας νέα θύματα θέτει τους δύο σε αντιπαράθεση — προς το παρόν. Με περισσότερα από δώδεκα νέα θύματα να έχουν διεκδικηθεί από την θρασύτατη επανέναρξη του, ο θάνατος του LockBit μπορεί να ήταν υπερεκτιμημένος.

Καθώς το παιχνίδι της γάτας με το ποντίκι μεταξύ των ομοσπονδιών και των εγκληματιών συνεχίζεται, το ίδιο συμβαίνει και με τις μάχες — και τις τολμηρές αξιώσεις και από τις δύο πλευρές.

Ενώ το NCA υποσχέθηκε μια μεγάλη αποκάλυψη του μακροχρόνιου αρχηγού της συμμορίας, ο οποίος ακούει στο όνομα “LockBitSupp”, η υπηρεσία αποκάλυψε λίγα πράγματα για τον διαχειριστή σε μια ανάρτηση στον παραβιασμένο ιστότοπο σκοτεινής διαρροής του LockBit την Παρασκευή.

«Ξέρουμε ποιος είναι. Ξέρουμε πού μένει. Ξέρουμε πόσο αξίζει. Το LockBitSupp έχει συνεργαστεί με την Επιβολή του Νόμου :)», έγραφε το αόριστα διατυπωμένο μήνυμα της NCA.

Οι υπηρεσίες επιβολής του νόμου των ΗΠΑ πρόσφεραν επίσης ανταμοιβή πολλών εκατομμυρίων δολαρίων για λεπτομέρειες που «οδηγούν στον εντοπισμό ή τον εντοπισμό οποιουδήποτε ατόμου ή ατόμων που κατέχουν βασική ηγετική θέση» στη συμμορία LockBit — υποδηλώνοντας ότι οι αρχές είτε δεν έχουν αυτές τις πληροφορίες είτε δεν μπορεί ακόμα να το αποδείξει.

Με τον προφανή διαχειριστή LockBitSupp να είναι ακόμα σε δράση – το τελευταίο κομμάτι του παζλ LockBit που απομένει – είναι απίθανο το LockBit να φύγει. Οι συμμορίες ransomware είναι γνωστό ότι ανασυγκροτούνται γρήγορα και επαναπροσδιορίζονται, ακόμη και μετά από διαταραχές επιβολής του νόμου που ισχυρίζονται ότι τις κατέστρεψαν οριστικά.

Πάρτε μια άλλη συμμορία ransomware με έδρα τη Ρωσία: η ALPHV, γνωστή και ως BlackCat, δέχθηκε πέρυσι ένα παρόμοιο πλήγμα όταν οι υπηρεσίες επιβολής του νόμου κατέλαβαν τον ιστότοπο διαρροής του σκοτεινού ιστού και κυκλοφόρησαν κλειδιά αποκρυπτογράφησης, ώστε τα θύματα να αποκτήσουν ξανά πρόσβαση σε κλεμμένα αρχεία. Λίγες μέρες αργότερα, η ALPHV ανακοίνωσε ότι «αποκατάσχεσε» τον ιστότοπο διαρροής και ισχυρίστηκε ότι το FBI είχε κλειδιά αποκρυπτογράφησης μόνο για 400 περίπου εταιρείες – αφήνοντας περισσότερα από 3.000 θύματα των οποίων τα δεδομένα παραμένουν κρυπτογραφημένα.

Τη στιγμή της γραφής, ο ιστότοπος διαρροής του ALPHV παραμένει σε λειτουργία — και συνεχίζει να προσθέτει νέα θύματα σχεδόν καθημερινά.

Άλλες συμμορίες ransomware, όπως οι Hive και Conti, αντιμετώπισαν παρόμοια δράση επιβολής του νόμου τα τελευταία χρόνια, αλλά λέγεται ότι απλώς μετονομάστηκαν και επανασχηματίστηκαν με διαφορετικά ονόματα. Τα μέλη του Conti λέγεται ότι λειτουργούν υπό τις νέες ομάδες Black Basta, BlackByte και Karakurt, ενώ τα πρώην μέλη του Hive μετονομάστηκαν ως νέα επιχείρηση ransomware που ονομάστηκε Hunters International.

Η κατάργηση του LockBit, αν και χαιρετίστηκε από πολλούς ως μια από τις πιο σημαντικές των τελευταίων ετών, είναι απίθανο να είναι πολύ διαφορετική – και τα σημάδια είναι ήδη εκεί.

Στη μακροσκελής ανάρτησή του, η LockBit ισχυρίστηκε ότι η επιβολή του νόμου απέκτησε μόνο μια χούφτα αποκρυπτογραφητές, συνέλαβε λάθος άτομα και απέτυχε να καταργήσει όλους τους ιστότοπους υπό τον έλεγχό της. Η LockBit υποσχέθηκε επίσης ότι υπό το φως της επιχείρησης, θα αναβαθμίσει την ασφάλεια της υποδομής της, θα απελευθερώσει χειροκίνητα αποκρυπτογραφητές και θα συνεχίσει το πρόγραμμα συνεργατών της.

«Κανένα FBI με τους βοηθούς του δεν μπορεί να με τρομάξει και να με σταματήσει, η σταθερότητα της υπηρεσίας είναι εγγυημένη από χρόνια συνεχούς δουλειάς», συνέχισε η φασαρία του LockBit. «Θέλουν να με τρομάξουν γιατί δεν μπορούν να με βρουν και να με εξαφανίσουν, δεν μπορεί να με σταματήσουν».

Η NCA είπε στο TechCrunch ότι η υπηρεσία «αναγνώρισε ότι η LockBit πιθανότατα θα επιχειρούσε να ανασυγκροτήσει και να ξαναχτίσει τα συστήματά της», αλλά αναγνώρισε ότι το έργο της υπηρεσίας συνεχίζει να διαταράσσει την ομάδα.

«Έχουμε συγκεντρώσει τεράστιο όγκο πληροφοριών σχετικά με αυτούς και αυτούς που σχετίζονται με αυτούς, και το έργο μας για να τους στοχεύσουμε και να τους διαταράξουμε συνεχίζεται», δήλωσε ο εκπρόσωπος της NCA, Ρίτσαρντ Κρόου.

Η παραδοχή των αρχών επιβολής του νόμου ότι εξακολουθεί να εργάζεται για να αναστατώσει τη συμμορία μας λέει όλα όσα πρέπει να γνωρίζουμε: το LockBit δεν έχει πεθάνει ακόμα και πιθανότατα δεν ήταν ποτέ.