США предлагают вознаграждение в размере 15 миллионов долларов за выслеживание лидеров программы-вымогателя LockBit

[Teacher]

Государственный департамент США объявил денежное вознаграждение в размере до 15 миллионов долларов за информацию, которая может привести к выявлению ключевых лидеров группы программ-вымогателей LockBit и аресту любого лица, участвующего в операции.

"С января 2020 года участники LockBit совершили более 2000 атак на жертв в Соединенных Штатах и по всему миру, что привело к дорогостоящим сбоям в операциях и уничтожению или эксфильтрации конфиденциальной информации", - сказал Госдепартамент.

"Было выплачено более 144 миллионов долларов выкупа в связи с событиями, связанными с программой-вымогателем LockBit".

Разработка стала результатом масштабной операции правоохранительных органов под руководством Национального агентства по борьбе с преступностью Великобритании (NCA), уничтожившей LockBit, связанную с Россией банду вымогателей, которая действовала более четырех лет, нанося ущерб бизнесу и объектам критически важной инфраструктуры по всему миру.

Операции "Вымогательство как услуга" (RaaS), такие как LockBit и другие, работают путем вымогательства у компаний путем кражи их конфиденциальных данных и их шифрования, что делает это прибыльной бизнес-моделью для российских групп электронной преступности, которые действуют безнаказанно, пользуясь тем фактом, что они находятся вне юрисдикции западных правоохранительных органов.

Основные разработчики, как правило, используют сеть аффилированных лиц, которых нанимают для проведения атак с использованием вредоносного программного обеспечения и инфраструктуры LockBit. Известно, что аффилированные лица, в свою очередь, покупают доступ к интересующим объектам с помощью брокеров начального доступа (IAB).

"LockBit стала самой плодовитой группой программ-вымогателей с тех пор, как Conti покинула сцену в середине 2022 года", - сказал технический директор Sophos Честер Вишневски.

"Частота их атак в сочетании с отсутствием ограничений на то, какой тип инфраструктуры они наносят ущерб, также сделали их самыми разрушительными за последние годы. Все, что нарушает их деятельность и сеет недоверие среди их филиалов и поставщиков, является огромной победой правоохранительных органов".

Также известно, что LockBit стала первой группой программ-вымогателей, объявившей о программе вознаграждения за ошибки в 2022 году, предлагая вознаграждение в размере до 1 миллиона долларов за обнаружение проблем безопасности в программном обеспечении веб-сайта и шкафчика.

"Деятельность LockBit расширилась благодаря постоянному предоставлению новых функций продукта, хорошей поддержке клиентов и иногда маркетинговым трюкам, которые включали оплату людям за нанесение татуировок с логотипом группы", - сказал Intel 471.

"LockBit изменила сценарий, позволив своим аффилированным лицам получить выкуп и доверив им выплатить его часть. Это вселило в партнеров уверенность в том, что они не потеряют при выплате, тем самым привлекая больше аффилированных лиц ".

Подразделение SecureWorks по борьбе с угрозами (CTU), которое отслеживает группу под названием Gold Mystic, заявило, что с июля 2020 по январь 2024 года расследовало 22 взлома с участием программы-вымогателя LockBit, некоторые из которых основывались исключительно на краже данных с целью вымогательства у жертв.

Компания по кибербезопасности далее указала, что практика LockBit по передаче контроля своим аффилированным лицам для ведения переговоров о выкупе и выплатах позволила синдикату за эти годы расшириться и привлечь несколько аффилированных лиц.

Ликвидация LockBit последовала за многомесячным расследованием, которое началось в апреле 2022 года и привело к аресту трех филиалов в Польше и Украине, предъявлению обвинений в США двум другим предполагаемым участникам, а также конфискации 34 серверов и 1000 ключей дешифрования, которые могут помочь жертвам восстановить свои данные без какой-либо оплаты.

Среди арестованных - 38-летний мужчина из Варшавы и дуэт "отец и сын" из Украины. По оценкам, в период с 31 января 2022 года по 5 февраля 2024 года LockBit наняла около 194 аффилированных лиц, при этом участники использовали специальный инструмент для извлечения данных, известный как StealBit.

"StealBit - это пример попытки LockBit предложить своим филиалам полный сервис "одного окна"", - сказали в NCA, добавив, что исполняемый файл используется для экспорта данных через собственную инфраструктуру филиала перед StealBit в вероятной попытке избежать обнаружения.

Тем не менее, изменчивая структура этих брендов RaaS означает, что их закрытие может не оказать решающего влияния на преступное предприятие, позволяя им перегруппироваться и появиться под другим именем. Если недавняя история подобных блокировок является каким-либо показателем, пройдет совсем немного времени, прежде чем они проведут ребрендинг и продолжат с того места, на котором остановились.

"Всесторонняя деградация инфраструктуры LockBit, вероятно, приведет к кратковременному прекращению деятельности сотрудников LockBit, прежде чем они возобновят работу – либо под именем LockBit, либо под альтернативным баннером", - сказал ZeroFOX.

"Даже если мы не всегда добиваемся полной победы, как это произошло с QakBot, создание помех, разжигание их страха быть пойманными и усиление трений, связанных с управлением их преступным синдикатом, все равно является победой", - добавил Вишневски. "Мы должны продолжать объединяться, чтобы еще больше повышать их расходы, пока не сможем посадить их всех туда, где им самое место – в тюрьму".