Text vyšiel pôvodne v denníku The Washington Post.
Medzinárodná koalícia orgánov činných v trestnom konaní v jedenástich krajinách v utorok oznámila, že prevzala kontrolu nad počítačmi a softvérom najrozšírenejšej skupiny spôsobujúcej útoky s pomocou ransomvéru. Obete týchto útokov tak majú nádej, že nebudú nútené zaplatiť výkupné za obnovenie údajov ukradnutých z ich počítačových systémov.
Infraštruktúra zhabaná ransomvérovému gangu LockBit zahŕňala stovky elektronických kľúčov potrebných na obnovu ukradnutých údajov, ako aj stránku na darkwebe, kde LockBit nechal uniknúť údaje obetí podvodu, ktoré odmietli zaplatiť výkupné v kryptomene.
Operáciu Cronos viedla Národná kriminálna agentúra (NCA) Spojeného kráľovstva a zapojila sa do nej aj FBI a policajné sily ďalších krajín. Koalícia použila stránku zločineckej skupiny a napodobnila jej predchádzajúce operácie - spustila únik informácií o LockBit, pričom zverejnila časovač odpočítavajúci únik súborov, ktoré ešte len prídu, vrátane súboru týkajúceho sa anonymného frontmana gangu.
„Je to krásne. NCA a FBI agresívne trollujú LockBit,“ povedal Don Smith, viceprezident spoločnosti Secureworks, ktorá koalícii povolila opätovné zverejnenie analýzy o hackerskej skupine na ich vlastnej stránke.
V článku sa dočítate:
- ako funguje ransomvér,
- koľko obetí má ransomvér na svedomí,
- kde zatkli členov LockBit,
- prečo sa LockBit ospravedlnil.
Prevádzkovaný z Ruska
Kriminálnici, ktorí sa nabúrajú do interných sietí cieľových organizácií, používajú ransomvér na zašifrovanie tamojších údajov a ich znefunkčnenie. Za dešifrovací kľúč požadujú peniaze a niekedy je s výkupným spojené aj nezverejnenie ukradnutých údajov. Podľa ministerstva spravodlivosti bol škodlivý softvér LockBit použitý na vylákanie výkupného vo výške viac ako 120 miliónov dolárov od viac ako dvetisíc obetí.
Prvý náznak prevzatia hackerskej stránky LockBit sa objavil v pondelok neskoro večer, keď sa na nej objavilo oznámenie: „Táto stránka je teraz pod kontrolou Národnej kriminálnej agentúry Spojeného kráľovstva, ktorá úzko spolupracuje s FBI a medzinárodnou policajnou jednotkou operácie Cronos.“
Britskí a americkí úradníci uviedli, že získali kontrolu nad dvesto finančnými účtami, na ktorých sa nachádza nezverejnené množstvo kryptomeny, zdrojový kód programovania používaný na šifrovanie údajov a záznamy elektronických rozhovorov s pobočkami spoločnosti LockBit, ktoré uskutočnili skutočné hackerské útoky.
Jeden obvinený účastník bol zatknutý na Ukrajine a ďalší v Poľsku, obaja sú teraz vo väzbe v USA. Obžaloba bola vznesená aj proti ďalším dvom, o ktorých sa predpokladá, že sa nachádzajú v Rusku.
Podľa odhadov spoločnosti Secureworks bol malvér LockBit zodpovedný za približne štvrtinu všetkých útokov ransomvéru za posledné dva roky. Všeobecne sa predpokladá, že LockBit je prevádzkovaný z Ruska, hoci jeho prípadné väzby na ruskú vládu sú neisté.
Podľa americkej agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry bol v roku 2022 najrozšírenejším ransomvérom na svete.
Hacknutie hackerov
LockBit zverejnil údaje ukradnuté leteckému gigantu Boeing a rozrušil finančné trhy útokom na divíziu finančných služieb veľkej čínskej banky ICBC. Tento nástroj minulý rok použili aj na ochromenie britskej pošty, čím sa na týždeň narušil medzinárodný vývoz balíkov. Zasiahol mnohé americké mestá, školské systémy a okresy, nedávno aj okres Fulton v Georgii, kde bývalý prezident Donald Trump čelí obvineniam súvisiacim s jeho údajnou snahou zvrátiť voľby v roku 2020.
Predstavitelia okresu Fulton v stredu uviedli, že niektoré jeho služby vrátane technológií používaných v justičnom systéme zostávajú narušené viac ako dva týždne po útoku - čo si vyžaduje, aby sa niektoré stretnutia konali osobne, a nie telefonicky alebo na iných komunikačných platformách.
Generálny riaditeľ NCA Graeme Biggar označil LockBit za „najškodlivejšiu kyberzločineckú skupinu“ na svete. „Vďaka našej úzkej spolupráci sme hackli hackerov; prevzali sme kontrolu nad ich infraštruktúrou, zmocnili sa ich zdrojového kódu a získali kľúče, ktoré pomôžu obetiam dešifrovať ich systémy. Od dnešného dňa je LockBit zablokovaný,“ uviedol vo vyhlásení.
Úrady neprezradili, ako sa im podarilo zmocniť sa stránky spoločnosti LockBit, ale jedna osoba blízka tejto operácii uviedla, že to mohlo trvať až rok. Vzhľadom na to, že skupiny ransomvéru zasahujú kritickú infraštruktúru a ročne od nej vymáhajú až jednu miliardu dolárov, pričom mnohé z nich pôsobia spoza ruských hraníc, sa technologické zásahy stali najvyššou prioritou, pričom v nich niekedy pomáhajú spravodajské a vojenské agentúry, ako aj orgány činné v trestnom konaní.
V minulosti sa policajtom podarilo rozbiť niektoré zločinecké skupiny alebo ich oslabiť. Keďže však niektoré z popredných skupín fungujú decentralizovaným spôsobom a v podstate ponúkajú svoje služby na prenájom kyberzločincom, ktorí sa snažia preniknúť do rôznych organizácií a ukradnúť im dáta, aj iné ransomvérové skupiny boli schopné ponúknuť podobné služby.
V tomto prípade sa vyšetrovatelia vyhrážajú samotným hackerom, známym tiež ako pridružené spoločnosti či pobočky, pričom ich na zaistenej stránke varujú, že čoskoro ich môžu kontaktovať, a vyzývajú ich, aby sa ozvali ako prví.
Najplodnejšia skupina súčasnosti
Spoločnosť LockBit sa stala špičkou v oblasti ransomvéru vďaka tomu, že svojim pridruženým spoločnostiam, ktoré si ponechávajú približne 80 percent výkupného, poskytla nezvyčajnú voľnosť pri vyjednávaní s cieľmi a samotnom zverejňovaní ulúpených údajov. Iné ransomvérové gangy plnia tieto úlohy v mene hackerov.
Táto hlbšia spolupráca medzi LockBitom a pobočkami mohla vyšetrovateľom pomôcť preniknúť do siete. Koalícia uviedla, že získala kontrolu aj nad 28 servermi patriacimi pridruženým spoločnostiam.
„LockBit je jednou z najvýznamnejších ransomvérových hrozieb a mnohí by tvrdili, že je to najplodnejšia skupina súčasnosti,“ uviedol v e-maile Jason Nurse, expert na kybernetickú bezpečnosť z univerzity v anglickom Kente. „Tieto skupiny sú dobre financované, fungujú ako firma a sú mimoriadne opatrné vo svojom prístupe,“ dodal.
V roku 2022 spoločnosť LockBit vydala ospravedlnenie po tom, ako bol jej ransomvér použitý na napadnutie detskej nemocnice. Nemocnici ponúkla kód na odomknutie jej systémov - a údajne vydala politické usmernenia, ktoré zakazujú zločincom používať jej softvér pri útokoch, „v rámci ktorých by poškodenie súborov mohlo viesť k smrti“.
Voľný model pobočiek však znamená, že každých niekoľko mesiacov niekto aj tak nainštaloval LockBit na citlivý cieľ, uviedli výskumníci.
Britské orgány činné v trestnom konaní už skôr varovali pred prílišným sústredením sa na riešenie jednotlivých variantov ransomvéru. Rušenie jednotlivých variantov ransomvéru „sa podobá liečbe príznakov choroby a má len obmedzený význam, ak sa nerieši základná choroba“, uviedla NCA.
Britskí a americkí predstavitelia však dúfajú, že LockBit a jeho pobočky aspoň dočasne rozpustia svoje operácie z obavy, že orgány ich budú schopné identifikovať aspoň tie pobočky, ktoré sa nachádzajú mimo Ruska a Číny.
