Национальное агентство по борьбе с преступностью Великобритании (NCA) во вторник подтвердило, что оно получило исходный код LockBit, а также разведданные, относящиеся к его деятельности и их филиалам, в рамках специальной оперативной группы под названием Операция Cronos.
"Некоторые данные в системах LockBit принадлежали жертвам, которые заплатили выкуп субъектам угрозы, что свидетельствует о том, что даже когда выкуп выплачивается, это не гарантирует, что данные будут удалены, несмотря на то, что преступники обещали", - сказало агентство.
Также было объявлено об аресте двух участников LockBit в Польше и Украине. Более 200 криптовалютных аккаунтов, связанных с группой, были заморожены. В США также были обнародованы обвинительные акты в отношении двух других граждан России, которые, как утверждается, осуществляли атаки LockBit.
Артур Сунгатов и Иван Геннадьевич Кондратьев (он же Bassterlord) обвиняются в использовании LockBit против многочисленных жертв по всей территории Соединенных Штатов, включая предприятия по всей стране в обрабатывающей и других отраслях промышленности, а также жертв по всему миру в полупроводниковой и других отраслях промышленности.
Разработка происходит после международной кампании по дезорганизации, нацеленной на LockBit, которую NCA назвала "самой вредоносной киберпреступной группировкой в мире".
В рамках усилий по ликвидации агентство заявило, что взяло под контроль сервисы LockBit и внедрилось во все его преступное предприятие. Это включает в себя административную среду, используемую аффилированными лицами, и общедоступный сайт утечки, размещенный в темной паутине.
Кроме того, 28 серверов, принадлежащих аффилированным компаниям LockBit, также были демонтированы, и с конфискованных серверов LockBit было извлечено более 1000 ключей дешифрования.
С момента своего дебюта в конце 2019 года LockBit использует схему "программа-вымогатель как услуга" (RaaS), в рамках которой шифровальщики лицензированы аффилированным лицам, которые проводят атаки в обмен на сокращение доходов от выкупа.
Атаки проводятся по тактике, называемой двойным вымогательством, с целью кражи конфиденциальных данных перед их шифрованием, при этом злоумышленники оказывают давление на жертв, требуя произвести платеж, чтобы расшифровать их файлы и предотвратить публикацию их данных.
"Группа программ-вымогателей также печально известна тем, что экспериментирует с новыми методами оказания давления на своих жертв с целью получения выкупа", - сказал Европол.
"Тройное вымогательство - один из таких методов, который включает традиционные методы шифрования данных жертвы и угрозы их утечки, но также включает распределенные атаки типа "отказ в обслуживании" (DDoS) в качестве дополнительного уровня давления".
Краже данных способствует специальный инструмент для удаления данных под кодовым названием StealBit. Инфраструктура, связанная с программным обеспечением, с тех пор была конфискована властями трех стран.
По данным Евроюста и Министерства юстиции США, считается, что атаки LockBit затронули более 2500 жертв по всему миру и принесли более 120 миллионов долларов незаконной прибыли. Также через No More Ransom стал доступен инструмент дешифрования, позволяющий бесплатно восстанавливать файлы, зашифрованные программой-вымогателем.
"Благодаря нашему тесному сотрудничеству мы взломали хакеров; взяли под контроль их инфраструктуру, изъяли их исходный код и получили ключи, которые помогут жертвам расшифровать их системы", - сказал генеральный директор NCA Грэм Биггар.
"На сегодняшний день LockBit заблокирован. Мы подорвали возможности и, что наиболее важно, доверие к группе, которая зависела от секретности и анонимности. LockBit может попытаться восстановить свое преступное предприятие. Однако мы знаем, кто они и как действуют."
