Jollier
Professional
- Messages
- 1,520
- Reaction score
- 1,494
- Points
- 113
LockBit - самая крупная организация хакеров, которая занимается вирусами - вымогателями. Хакеры, которые не интересуются "как взломать аккаунт" или "как взломать человека", а которые отдают всю работу остальным и пожимают плоды. Кто такие русские хакеры LockBit, как они заработали больше 500 млн долларов, какой у них кодекс, почему нападают на больницы, как работает их вирус и многое другое.
Сталкивались ли вы когда-то с письмом счастья? Если да, то вы скорее всего в курсе, что это злоумышленники, вымогающие деньги. Однако это детский бытовой уровень, который чаще всего решался просто переустановкой Windows с сохранением всех файлов. Куда серьезнее обстоят дела, которые заставляют понервничать очень серьезных дядечек, когда за дело берутся хакеры из группировки LockBit. На данный момент это самая крупная организация по вымоганию денег в сети.
На их счету уже более 500 миллионов долларов, полученных в ходе шантажа крупных компаний и десятки тысяч пострадавших. А на днях вышли итоги расследования, в ходе которого была раскрыта личность главаря организации LockBit. Поэтому сегодня, что такое LockBit и как один человек смог заставить работать на себя лучших из худших, собрав самую численную группировку хакеров в Даркнете? Зачем они атакуют больницы? Почему они не работают по СНГ?
И самое главное, как спецслужбам удалось раскрыть главаря группировки, кто он такой и почему за его голову предлагают 10 миллионов долларов. Слушайте внимательно, будет занимательно. Вот уже несколько лет LockBit является самой крупной кибергруппировкой в мире. Она атаковала тысячи организаций и людей по всему свету, взламывая их компьютеры, шифруя личные данные и требуя выкуп.
В основном жертвами LockBit являются не рядовые граждане, а крупные компании и правительственные организации. Самое интересное здесь то, что им для этого даже не приходилось всем этим заниматься. LockBit смогли автоматизировать процесс и передали всё на аутсорс, что помогло им обогнать все конкурирующие с ними группировки, и они стали настолько успешными, что это сыграло с ними злую шутку. Но давайте вернёмся немного назад, а именно в 2019 год, во времена, когда их вымогательское ПО называлось ABCD.
Данное название было взято из-за расширения, которое LockBit присваивал зашифрованным файлом .Abcd. Далее в 2020 году выпускают первое ПО под названием LockBit. Несмотря на свою работоспособность, программа не обрела популярности у хакеров, и об организации мало кто знал. А вот уже в 2021 году выходит новая версия программы вымогателя LockBit 2.0, которая разлетелась по всему Даркнету как вирусное видео в ТикТоке.
С тех пор вредоносное программное обеспечение группировки постоянно обновлялась и улучшалась. Но как именно работает их программа? Чаще всего вредоносное ПО попадает на сервер либо компьютер жертвы с помощью старой доброй социальной инженерии, это когда злоумышленник притворяется доверенным лицом и запрашивает у жертвы пароли от системы или просто отправляет фишинговую ссылку. Также они могут получить доступ путем перебора паролей.
При достаточных мощностях, либо если сеть жертвы сконфигурирована ненадлежащим образом, хакерам может понадобиться всего несколько дней, чтобы в неё проникнуть, а иногда и того меньше. Как только система заражена, программа Lockbit начинает действовать автономно. Она запрограммирована на использование так называемых инструментов постэксплуатации, которые позволяют повысить привилегии для получения уровня доступа, необходимого для успешной атаки, а также пользуются уже открытым в ходе перемещения доступом, чтобы собрать информацию о перспективности жертвы.
Именно на этом этапе LockBit выполняет все подготовительные действия перед началом шифрования, в частности, отключает защиту и другие элементы инфраструктуры, которые могут позволить восстановить систему. Цель внедрения – сделать невозможным или очень долгим самостоятельное восстановление систем, чтобы мотивировать жертву заплатить выкуп. Обычно организация готова пойти на сделку со злоумышленниками, когда уже отчаялась вернуться к нормальной работе своими силами.
Как только LockBit завершит подготовку, шифровальщик начинает распространяться по всем машинам, до которых может дотянуться. Как уже было сказано, LockBit немного нужно, чтобы завершить этот этап. Один элемент системы с высоким уровнем доступа может отдать другим элементам команду скачать и запустить LockBit. После этого все файлы системы будут зашифрованы. Жертва может получить к ним доступ только с помощью индивидуального ключа, сгенерированного собственным декриптором Lockbit. В процессе шифрования в каждой папке системы размещается простой текстовый файл с информацией о выкупе.
В таких файлах содержатся инструкции по восстановлению системы, а в некоторых версиях Lockbit встречаются и угрозы шантажа. После того, как все три этапа были завершены, дальнейшие шаги зависят от самой жертвы. Жертва может связаться со службой поддержки Lockbit и заплатить выкуп. Конечно, никто не может дать гарантии, что данные вам вернут. И это несмотря на то, что у Lockbit есть свой кодекс, который, кстати говоря, время от времени меняется.
Например, они заявляют, что не работают в странах СНГ. Скорее всего, это из-за того, что большая часть группировки базируется именно там, что они нацелены только на крупные корпорации и государственные органы, так как они мотивированы только финансово и никак политически. Также они уверяют, что при соблюдении условий с вашей стороны они обязуются выполнить их со своей. Для них репутация превыше всего. Большинство из этих пунктов уже нарушены, но почему? Ответив на этот вопрос, мы получим ответ ещё на один.
Как же им удалось стать такими популярными во всём мире? Но прежде чем ответить на них, помните видео про задержание владельца Альфа Бэй? Забавно, что он всё ещё был бы жив и на свободе, будь у него возможность моментально выключить или уничтожить систему в экстренный момент. Как это можно сделать с D2W OS? И это ещё далеко не всё. Возможность подключать цепи анонимности, а не включать и настраивать их по отдельности. Дополнительные профили для Telegram, работающие через сеть Tor.
Подготовленные браузеры для анонимного серфинга. Смена MAC-адреса в один клик или настройка автоматической смены. Анализ курса криптовалют и возможность с удобством следить за балансом и транзакциями своего кошелька. Техподдержка 24 на 7, открытый исходный код и готовность к аудиту. А еще управление своей анонимностью и безопасностью с помощью одной программы. Дэшборд. А теперь, как и обещал, почему локбит смогли добиться такой популярности и как это сыграло с ними злую шутку.
Уже в 2022 году вирус стал самым распространенным вредоносным ПО в мире. Главная причина этого – бизнес-модель хакеров, так называемая программа-вымогатель как услуга, Ransomware as a Service 1. Человек, который хотел бы заняться распространением вирусов вымогателей, покупал у администраторов LockBit, панель доступа, инструкции и новейшие версии вирусов, а в случае успешной атаки выплачивал процент выкупа администраторам. В случае с LockBit, администрация забирала себе до 20% выкупа, полученного с жертвы.
Предполагалось, что в случае, когда жертва платит выкуп, ее данные полностью удаляются с серверов LockBit. Но в результате операции Кронос, о которой мы поговорим чуть позже, выяснилось, что это не так. Как сообщил на пресс-конференции по итогам операции директор национального агентства Великобритании по борьбе с преступностью, на серверах группировки были обнаружены данные даже тех компаний, которые заплатили выкуп.
Да-да, кодекс к кодексам, а преступникам, как и полиции никогда верить нельзя. Вторая причина – это их пиар-компании. Да-да, вы не ослышались, это не стандартная группировка, которая стремится остаться в тени. Нет, скорее всего, наоборот, они прилагают много усилий для популяризации своего бренда. Практически как анонимус, однако этих точно не назовешь хактивистами, ведь прибыль здесь на первом месте. Например, одной из таких пиар-компаний было предложение за тысячи долларов сделать татуировку с их логотипом.
И это, как вы видите, пользовалось спросом. Еще одна компания, которая принесла большой успех не только среди хакеров из Даркнета, но и всех сильных программистов в мире, предложение о взломе их сайта и нахождении уязвимостей. За каждую уязвимость они были готовы отдать до одного миллиона долларов. И последняя и, возможно, главная причина их популярности — это всем знакомые компании, которые подверглись нападению, новости по которым вышли из Даркнета в свет, на полосы журналов и газет, на телевидении и огромные новостные сводки в интернете по всему миру.
Например, были похищены данные компании Boeing. Сама компания это подтвердила, добавив, что взлом системы никак не влияет на безопасность полетов и поэтому отказалась платить выкуп. В итоге Логбит обнародовала на своем сайте в Даркнете около 50 гигабайт информации. Большая часть этих данных представляет собой резервные копии различных систем Boeing, новейшая из которых датирована 22 октября 2023 года, а также логи инструментов мониторинга и аудита.
В 2024 году Банк оф Америка уведомляет клиентов о том, что в прошлом году одного из его поставщиков взломали, и в результате личная информация пользователей оказалась похищена. Утечке подверглась личная информация клиентов, включая имена, адреса, номера социального страхования, даты рождения, а также финансовые данные, включая номера счетов и банковских карт.
Также из коммерческих организаций стоит отметить атаки и шантаж таких организаций, как всем известный Subway, где было похищено сотни гигабайт данных TSMC, крупнейшего в мире контрактного производителя микросхем. В том же 2023 году LockBit взломала компанию Maximum Industries, производящую детали для SpaceX, и похитила 3000 проприетарных чертежей, созданных инженерами Илона Маска.
По данным Минюста США, в число пострадавших от LockBit входит британский поставщик медицинских услуг Advanced, консалтинговая фирма Accenture, международная промышленная компания Tels Group, немецкий производитель шин и автомобильной электроники Continental и многие другие. Но что насчет некоммерческих организаций? И тут всё не так гладко, как прописано в кодексе. Одна из самых известных и грязных атак была проведена еще в 2022 году, когда 19 декабря детская больница СикКидз из Торонто сообщила о кибератаке, которая привела к сбою в работе внутренних систем больницы.
Причем инцидент также затронул телефонные линии и отдельные веб-страницы медицинского учреждения. В СикКидз признали, что дети и их родители сталкиваются с задержкой в постановке диагнозов и, соответственно, лечении. Приносим свои извинения за этот эпизод и бесплатно отдаем дешифратор. Атаковавший больницу, партнер нарушил наши правила, после чего мы заблокировали его. Больше он не будет принимать участие в нашей программе. Но вот уже в конце 2023 года Локбит атаковали сеть немецких больниц КХО.
Кибератакой были затронуты три больницы, входящие в сеть КХО. Важно отметить, что каждая из них играет ключевую роль в предоставлении медицинских услуг в своем регионе. Поэтому атака на их IT-системы может иметь серьёзные последствия для людей, оказавшихся в критической ситуации. Также были отключены службы скорой помощи в этих больницах, что могло привести к критическим задержкам в оказании неотложной медицинской помощи.
Уже в 2024 году была атакована американская больница Святого Антония с требованием выплатить 900 тысяч долларов в течение двух дней. В общей сложности, по данным аналитиков, только за 2023 год LockBit атаковал почти 70 больниц по всему миру. Да уж, не очень-то и работает кодекс, когда речь идёт о больших деньгах. Но не только медицинские учреждения и большие компании попали под удар организации.
Так, например, в 2023 году канадское правительство сообщило, что сразу два его подрядчика подверглись хакерской атаке, и в результате была раскрыта конфиденциальная информация в размере полтора терабайта, принадлежащая неопределенному количеству государственных служащих, начиная с 1999 года. Также их жертвами стали Королевская почта Великобритании, небольшой городок Сент-Мэрис в Антарио и даже пенсионный фонд госслужащих Южной Африки, что затруднило работу организации и привело к нарушению выплат пенсий. Как вы видите, Робин Гудом тут и не пахнет.
У нас с вами остался главный вопрос – кто стоит за всем этим? Как вы понимаете, такая деятельность не могла остаться незамеченной для правоохранительных органов. Таким образом, власти многих стран, таких как Англия, США, Австралия, Канада, Германия и многие другие объединились, чтобы вычислить организаторов локбит. И уже в 2022 году это дало первые результаты. Минюст США сообщил об аресте в Канаде 33-летнего россиянина Михаила Васильева. Он хоть и не был отцом-основателем организации, но тем не менее являлся одним из главных операторов-вымогателей в структуре на тот момент.
Он получил всего 4 года заключения. Ну, а власти рассчитывали, что деятельность компании прекратится хотя бы на время, но, как и в случае с мифической гидрой, на месте отрезанной головы вырастает две, и организация продолжила набирать обороты и популярность. Далее было задержано еще два члена группировки из России – Михаил Матвеев и 20-летний Руслан Астамиров из Чечни. Это снова не даёт результата. И тогда ФБР и правоохранительные органы разных стран создают программу Кронос, которую возглавили правоохранители США.
Она была нацелена на взлом сайта LockBit и основателя известного под следующими никнеймами – ЛокБитСап и ПутинКраб. И только в начале 2024 года это дало первые результаты. В результате операции, длившейся несколько месяцев, была скомпрометирована основная платформа Lockbit и другая критически важная инфраструктура, которая обеспечивала деятельность этой преступной организации. В ходе операции были захвачены 34 сервера в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, США и Великобритании.
Во время операции было выявлено более 14 тысяч учетных записей, связанных с кражей информации или инфраструктурой группы, которые использовались Lockbit для размещения различных инструментов и софта, используемых в атаках, а также для хранения файлов, украденных у компаний. Теперь данные об этих учетных записях переданы правоохранительным органам. Некоторые данные в системах Lockbit принадлежали жертвам, которые заплатили выкуп злоумышленникам.
Это свидетельствует о том, что даже если выкуп выплачивается, это еще не гарантирует, что данные действительно будут удалены, несмотря на обещания преступников. Уже было арестовано двое подозреваемых из Украины и Польши по запросу французских властей, их имена пока не раскрываются. По данным ЛокБитСап сбой в работе систем LockBit произошел, когда группа готовилась обнародовать конфиденциальную информацию, украденную в ходе разрушительной атаки на правительственные системы в округе Фултон, штат Джорджия.
Интересно, что округ Фултон восстановил свои системы, но чиновник округа Роб Питтс сообщил прессе через несколько часов после захвата инфраструктуры LockBit, что округ не заплатил выкуп. Банда LockBit заявила, что информация, украденная из округа Фултон, включала документы, связанные с делами против Дональда Трампа, которые могли бы повлиять на предстоящие выборы в США, если бы их утечка была раскрыта.
Получилось вскрыть сервера LockBit и вытащить оттуда всю информацию благодаря халатности руководства. Как сообщил основатель, он просто загулял и забыл обновить версию PHP. Да, безрассудное и небрежное отношение к компьютерной безопасности является проблемой как для компаний, ставших жертвами атак программ-вымогателей, так и для тех, кто их атакует.
Ну и самое интересное, что удалось узнать в ходе этой операции, это то, что именно Дмитрий Хорошев стоит за никнеймом LockBitSub, под которым на форумах он выступал как руководитель экосистемы вирусов-вымогателей, он является гражданином России. Также сообщили, что Дмитрий ездит на черном Мерседесе, и об этом он лично сообщал на форуме. По предварительной информации, Хорошев имел 20% от каждого выкупа, полученного от жертв, а сама компания за эти годы заработала более 500 миллионов долларов. Правоохранительные органы установили, что Хорошев хранил похищенные данные жертв даже после того, как группа ложно обещала удалить информацию при получении платежа.
Хорошеву предъявлены обвинения по 26 пунктам, связанным с мошенничеством, вымогательством и нанесением ущерба защищённым компьютером. Ему светит до 180 лет тюрьмы. Также Минюст США объявил награду в 10 миллионов долларов за любую информацию, которая поможет с арестом Дмитрия. Но и это ещё не всё. 10 мая 2024 года админ Локбит под ником Локбит Сап заявил в интервью для программы КликХир, что он не тот человек, кого недавно деанонимизировал Минюст США.
Локбит Сап утверждает, что ФБР сфабриковало дело против невиновного человека. Он выразил сожалению по поводу возможной судьбы Дмитрия Хорошего. ФБР блефует, я не Дмитрий, мне жаль настоящего Дмитрия. Он поплатится за мои грехи. Несмотря на ранее произведённый захват серверов и инфраструктуры группы международными правоохранительными органами в феврале этого года, локбитсап утверждает, что активность группировки не уменьшилась, а сезонное снижение хаков весной – обычное явление.
Админ локбит подчеркнул, что давление правоохранительных органов только мотивирует его и группировку работать усерднее. Также он озвучил цели на ближайший год – атаковать миллион компаний. Он выразил надежду на появление достойных конкурентов в сфере разработки вредоносного ПО, критикуя текущих конкурентов за недостаточный уровень мастерства.
В заключение интервью LockBitSub пояснил, что у других хакеров есть возможность обогатиться вместе с ним, подчеркнув, что ФБР и другие правоохранительные органы лгут и думают только о своей карьере, не заботясь о судьбе невинных людей. Вот такая вот история, достойная экранизации Netflix и HBO. А мой вам совет, не пренебрегайте безопасностью своих данных и не открывайте ссылки с неизвестных e-mails. В общем, держите голову в холоде, а пароли на листочке.
А ещё, скажу по секрету, в описании будет контакт человека, который занимается сливами обучающих материалов. Напиши ему, что пришёл за курсами, и получишь всю необходимую информацию. Плюс-минус 15 долларов, и ты получаешь доступ к базе, которая содержит больше 60 тысяч курсов. Примерный список категорий можешь видеть на экране. Все эти курсы продавались или продаются, и нередко за большие деньги, а ты можешь получить их за сущие копейки. Проект работает больше трёх лет, рекомендую.
На этом всё, читайте качественный контент и держитесь подальше от криминала, а я ухожу, ухожу красиво.
