LockBit был самым распространенным вариантом программы-вымогателя в мире
В результате значительного прорыва в борьбе с киберпреступностью правоохранительные органы 10 стран пресекли преступную деятельность группы программ-вымогателей LockBit на всех уровнях, серьезно подорвав их возможности и авторитет.
LockBit широко признана самой распространенной и вредоносной программой-вымогателем в мире, наносящей ущерб на миллиарды евро.
Эта международная зачистка проводится после сложного расследования, проводимого Национальным агентством Великобритании по борьбе с преступностью в рамках международной целевой группы, известной как “Операция Кронос”, координируемой на европейском уровне Европолом и Евроюстом.
Многомесячная операция привела к компрометации основной платформы LockBit и другой критически важной инфраструктуры, которая позволяла осуществлять их преступную деятельность. Это включает в себя отключение 34 серверов в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, Соединенных Штатах и Соединенном Королевстве.
Кроме того, двое участников LockBit были арестованы в Польше и Украине по запросу французских судебных органов. Судебные власти Франции и США также выдали три международных ордера на арест и пять обвинительных актов.
Власти заморозили более 200 криптовалютных счетов, связанных с преступной организацией, подчеркивая стремление разрушить экономические стимулы, стимулирующие атаки программ-вымогателей.
Национальное агентство по борьбе с преступностью Великобритании теперь взяло под контроль техническую инфраструктуру, которая позволяет работать всем элементам сервиса LockBit, а также их сайт утечки в темной Сети, на котором они ранее размещали данные, украденные у жертв атак вымогателей.
В настоящее время огромное количество данных, собранных в ходе расследования, находится в распоряжении правоохранительных органов. Эти данные будут использоваться для поддержки текущих международных оперативных мероприятий, направленных на выявление лидеров этой группировки, а также разработчиков, филиалов, инфраструктуры и криминальных активов, связанных с этой преступной деятельностью.
Самая вредоносная программа-вымогатель в мире
LockBit впервые появилась в конце 2019 года, сначала назвав себя программой-вымогателем ABCD. С тех пор она быстро росла и в 2022 году стала самой распространяемой программой-вымогателем во всем мире.
Группа действует по принципу “программа-вымогатель как услуга”, что означает, что основная команда создает вредоносное ПО и запускает его веб-сайт, одновременно лицензируя его код аффилированным лицам, которые запускают атаки.
Присутствие атак LockBit заметно по всему миру: сотни аффилированных лиц наняты для проведения операций с вымогателями с использованием инструментов и инфраструктуры LockBit. Выплаты были разделены между основной командой LockBit и аффилированными лицами, которые получали в среднем три четверти собранных платежей.
Группа программ-вымогателей также печально известна тем, что экспериментирует с новыми методами оказания давления на своих жертв с целью получения выкупа. Тройное вымогательство – один из таких методов, который включает традиционные методы шифрования данных жертвы и угрозы их утечки, но также включает распределенные атаки типа “Отказ в обслуживании” (DDoS) в качестве дополнительного уровня давления.
На переход банды к тройному вымогательству частично повлияла DDoS-атака, с которой они сами столкнулись, что лишило их возможности публиковать украденные данные. В ответ LockBit улучшила свою инфраструктуру для противодействия таким атакам.
В настоящее время эта инфраструктура находится под контролем правоохранительных органов, и правоохранительные органы выявили более 14 000 мошеннических учетных записей, ответственных за эксфильтрацию или инфраструктуру, и направили их на удаление.
Координирующая роль Европола
В ней участвуют страны по всему миру, и Европол, в котором находится крупнейшая в мире сеть офицеров связи из государств–членов ЕС, сыграл центральную роль в координации международной деятельности.
Европейский центр Европола по борьбе с киберпреступностью (EC3) организовал 27 оперативных совещаний и четыре технических недельных спринта для разработки зацепок в рамках подготовки заключительного этапа расследования.
Европол также оказал аналитическую, крипто-отслеживающую и судебно-медицинскую поддержку расследованию, а также способствовал обмену информацией в рамках Совместной целевой группы по борьбе с киберпреступностью (J-CAT), размещенной в его штаб-квартире. Кроме того, на этапе проведения операции на командный пункт в Лондоне были направлены три эксперта Европола.
В общей сложности по этому делу через защищенный информационный канал Европола SIENA был произведен обмен более чем 1000 оперативными сообщениями, что делает его одним из самых активных расследований EC3.
Дело было возбуждено в Eurojust в апреле 2022 года по запросу французских властей. Агентство провело пять координационных совещаний для содействия судебному сотрудничеству и подготовки к совместным действиям.
Инструменты расшифровки доступны по программе No More Ransom
При поддержке Европола японская полиция, Национальное агентство по борьбе с преступностью и Федеральное бюро расследований сосредоточили свой технический опыт на разработке инструментов дешифрования, предназначенных для восстановления файлов, зашифрованных программой-вымогателем LockBit.
Эти решения были предоставлены бесплатно на портале “Больше никаких вымогательств”, доступном на 37 языках. На сегодняшний день более 6 миллионов жертв по всему миру воспользовались программой No More Ransom, которая содержит более 120 решений, способных расшифровывать более 150 различных типов программ-вымогателей.
Сообщите об этом в полицию
Это расследование показывает, что правоохранительные органы обладают возможностями пресекать действия киберпреступников, наносящих большой вред, и снижать угрозу программ-вымогателей. Однако постоянное взаимодействие с жертвами и частным сектором является ключом к продолжению нами этой работы.
Первый шаг к отправлению киберпреступников за решетку – сообщать о киберпреступлениях, когда они происходят. Чем раньше люди сообщают, тем быстрее правоохранительные органы могут оценить новые методологии и ограничить ущерб, который они могут причинить.
Сообщить о киберпреступности можно так же просто, как нажать кнопку в веб-браузере. Европол составил список веб-сайтов, сообщающих о киберпреступлениях в государствах-членах ЕС.
Надежные меры кибербезопасности также являются ключевыми. Европол подготовил несколько советов о том, как предотвратить заражение ваших электронных устройств программами-вымогателями.
Оперативная группа Cronos
Это мероприятие является частью продолжающейся согласованной кампании международной оперативной группы Cronos по выявлению и пресечению программ-вымогателей LockBit. В состав этой целевой группы входят следующие органы.:
- France: National Gendarmerie (Gendarmerie Nationale – Unité nationale cyber C3N)
- Германия: Государственное бюро уголовных расследований Шлезвиг-Гольштейн (LKA Schleswig-Holstein), Федеральное управление уголовной полиции (Bundeskriminalamt)
- Нидерланды: Национальная полиция (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) и прокуратура Зеландии-Западного-Брабанта
- Швеция: Шведское полицейское управление
- Австралия: Федеральная полиция Австралии (AFP)
- Канада: Королевская канадская конная полиция (RCMP)
- Япония: Национальное полицейское агентство (警察庁)
- Великобритания: Национальное агентство по борьбе с преступностью (NCA), Юго-Западное региональное подразделение по борьбе с организованной преступностью (South West ROCU)
- Соединенные Штаты: Министерство юстиции США (DOJ), Федеральное бюро расследований (ФБР) Ньюарк
- Швейцария: Федеральное управление полиции Швейцарии (fedpol), Прокуратура кантона Цюрих, Кантональная полиция Цюриха
Успешная акция стала возможной благодаря поддержке следующих стран:
- Финляндия: Национальная полиция (Poliisi)
- Poland: Central Cybercrime Bureau Cracow (Centralne Biuro Zwalczania Cyberprzestępczości – Zarząd w Krakowie)
- Новая Зеландия: полиция Новой Зеландии (Nga Pirihimana O Aotearoa)
- Ukraine: Prosecutor General`s office of Ukraine (Офіс Генерального прокурора України), Cybersecurity Department of the Security Service of Ukraine (Служба безпеки України), National Police of Ukraine (Національна поліція України)