Охота на LockBit — короля вымогательского ПО c Dark Web

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.002
Репутация
9.858
Реакции
15.133
RUB
1.045
Сделок через гаранта
18
LockBit — компания, предоставляющая услуги по продаже вымогательского ПО, за годы своей деятельности она и ее филиалы совершили ряд серьезных атак на крупнейшие мировые компании, включая Royal Mail, SpaceX и Boeing. LockBit и его бизнес терроризировали мир, выманив у жертв не менее $500 млн в качестве выкупа и нанеся миллиардные убытки.

image


Это история о самой известной в мире группе разработчиков вымогательского ПО и отчаянной охоте на человека, стоящего за ней. Ему нравилось быть суперзлодеем — он словно играл в видеоигру.

Начало​


Вернемся чуть назад в конец 2010- го, когда эта новая бизнес-модель начала появляться в dark web. Ransomware — это вредоносное ПО, предназначенное для кражи и блокировки файлов на компьютере, а затем требующее денег для их разблокировки — всегда в криптовалюте.

image


Вспомним об XSS, одном из старейших русскоязычных хакерских форумов и площадок. Примерно в это время XSS стал домом для многих компаний, занимающихся разработкой вымогательского ПО, но 16 января 2020 года у них появился новый конкурент. На форуме появился человек под ником «LockBit» в качестве продавца ПО, но была проблема: никто не слышал о нем ранее. У LockBit не было репутации. Поэтому, чтобы снизить градус недоверие, они сделали довольно необычную вещь — внесли на сайт депозит в размере 10,5 BTC (тогда их стоимость составляла $100 000).

image


На XSS действовала система условного депонирования, и это был способ продемонстрировать другим пользователям, что они не будут обманывать потенциальных покупателей, потому что в противном случае можно было бы подать заявление о мошенничестве, и владельцы XSS возместили бы жертве сумму депозита.

image


Когда LockBit пришли на форум, то сразу же положили деньги на депозит, уже ведя свой бизнес почти год. Кстати деятельность они начали в 2019 году с проекта под названием ABCD ransomware. Изначально это не было ransomware-as-a-service. Однако на XSS они открыли его как ransomware-as-a-service и начали набирать аффилиатов.

В данном случае ссылаясь на этот пост, рекламирующий новую программу-вымогатель, которая, судя по всему, находится в разработке с 2019 года. В посте перечисляется длинный набор функций, с сильным акцентом на скорость шифрования. Что еще более интересно, LockBit не просто хотела продать программное обеспечение в рамках разовых сделок — она искала партнеров: людей, которые будут использовать программу-вымогатель для заражения компаний или частных лиц, требовать с жертв деньги, а затем делиться прибылью с LockBit. По сути, аффилированные лица выполняли грязную работу.

image


Это было новым явлением в мире вредоносного ПО.

Раньше вредоносные программы такого рода продавались по тысяче долларов за штуку, но хакеры на XSS быстро поняли, что, подобно крупному бизнесу, гораздо выгоднее сделать их ПО доступным практически для всех, а затем просто получать долю от нелегальной прибыли. В случае с LockBit плата составляет 20 %.

Есть еще одна вещь, на которую хотелось бы обратить внимание в этом посте: правило, гласящее, что LockBit нельзя использовать в странах СНГ — таких, как Россия, Казахстан, Армения. Это обычное правильно которое часто используют киберпреступники. Разрешено легально взламывать кого угодно, лишь бы это не были кто-то на их собственной территории. Но также киберпреступники делают такие заявления для того, чтобы попытаться сбить следователей с толку.

Тот, кто создал LockBit, понял, что для успеха проекта нужно привлечь пользователей, но реклама нелегального сервиса — не совсем простое дело. Примерно в это время они создают новую личность — это будет лицо LockBit — под названием «Support LockBit» и регистрируют под этим именем новые аккаунты на самых популярных в России хакерских форумах, включая XSS.

image


LockBit Support становится активным участником происходящих там дискуссий, публикует информационный контент, взаимодействует с другими пользователями, пытаясь привлечь к себе внимание и завоевать репутацию. Однако одной активности на форуме было недостаточно. У LockBit Support явно были свободные деньги, поэтому в ход пошла уникальная маркетинговая кампания: Summer Paper Contest, приглашающая участников писать статьи о хакерских советах, трюках и историях с денежным вознаграждением в тысячи долларов.

image


В рамках Summer Paper Contest другие хакеры и преступники могли представить новые идеи эксплойтов или новые способы взлома целей. И это сработало. Спонсируя подобные мероприятия, организация укрепляет свой имидж и авторитет в сообществе, оценивая других преступников. Этот шаг стал значительным достижением на форуме и первым успешным маркетинговым ходом LockBit, который привлек внимание как авторов, так и потенциальных партнеров.

image


Однако для достижения настоящего успеха LockBit необходима была уникальная маркетинговая кампания, способная привлечь внимание международных газет. Для реализации этой идеи, впрочем, потребовалось время. На тот момент LockBit имел небольшую пользовательскую базу, которые обнаружили серьезные недостатки в системе.

В самом начале своего существования LockBit почти потерпела крах — они были очень близки к тому, чтобы испортить свою репутацию до такой степени, что их бы вообще вытеснили с рынка. Через два месяца после большой маркетинговой кампании пользователь по имени Waxford уставший от некачественного ПО LockBit подал на них арбитражный иск — это как отчет о мошенничестве.

image


Эти программы-вымогатели при заражении направляют вас в службу поддержки, размещенную в сети Tor, где вы напрямую общаетесь с хакером, чтобы заключить сделку. Ниже изображение чата LockBit.

image


После нескольких месяцев работы в качестве партнера Waxford не получил ни одного процента, хотя заразил множество жертв. Покопавшись, он обнаружил, что LockBit на самом деле не шифрует файлы на сетевых дисках. Очень редко жертвами программ-вымогателей становятся отдельные люди — зачастую это компании. У компаний есть большие деньги, но компании используют файлообменные сети, так что это было большой проблемой. А если файлы не шифруются, то и платить незачем.

Теперь пользователь на форуме требовала от LockBit 10 BTC в качестве компенсации. Для LockBit это было не очень приятно, но то, как они с этим разбирались, было еще хуже. Они прямо отказались брать на себя ответственность, сказали, что он должен был протестировать программное обеспечение, прежде чем развертывать его, и отклонили претензию. 10 BTC в сентябре 2020 года все еще стоили $100 000.

Но все стало намного хуже, потому что куча других участников пришли поддержать претензии Waxford. Теперь, с испорченой репутацией и крошечной базой пользователей, LockBit нужна была новая стратегия.

Через 2 недели появилось объявление о найме разработчика, разбирающегося в Active Directory. Active Directory — это то, что управляет общим доступом к файлам в системах Windows и правами пользователей во внутренних сетях компании, и LockBit, очевидно, искала кого-то, кто хорошо в этом разбирается, чтобы можно было исправить проблему и использовать ее в своих целях. Это ознаменовало начало разработки LockBit 2.0. Мир еще не знал об этом, но вскоре будет выпущена самая популярная программа-вымогатель в истории. Но даже LockBit не знал, что, когда разработка новой версии будет подходить к концу, вскоре представится идеальная возможность для ее релиза.

image


Утром 6 мая 2021 года компания Colonial Pipelines, поставляющая 45 % топлива на Восточное побережье Америки, стала жертвой атаки вымогателей. Люди сходили с ума, проблема охватила 17 штатов, а Джо Байден объявил чрезвычайное положение, заявив, что это прямая угроза национальной безопасности. Не видя другого выхода и желая исправить ситуацию как можно быстрее, компания Colonial Pipelines заплатила выкуп в 75 BTC, что на тот момент равнялось $4,4 млн, одной из самых известных на то время групп, занимающихся разработкой программ-вымогателей, DarkSide.

Но 13 мая, всего через день после восстановления топливной инфраструктуры, сайт DarkSide полностью прекратил работу. Они зашли слишком далеко. В качестве ответной операции ФБР удалось взломать инфраструктуру DarkSide, захватить ее активы и даже вернуть часть выкупа компании Colonial Pipelines. Но были плохие новости — США обвинили Россию, и уже на следующий день владелец XSS опубликовал на форуме сообщение, в котором объявил новое правило: больше никаких программ-вымогателей.

image


Если взглянуть на это сообщение, то в нем в основном излагаются личные убеждения автора: он говорит, что форум предназначен для обучения и получения знаний, что не совсем правда. Но далее он пишет, что новички открывают СМИ, видят там какие-то безумные виртуальные миллионы долларов. Они ничего не хотят, не хотят ничему учиться. Они ничего не программируют. Они даже просто не думают. Вся суть их бытия сводится к «зашифроваться, получить деньги».

Но в реальности это не было запрещено. Эти форумы в большой степени являются конкурсом популярности. Для LockBit это был двойной успех, так как, помимо того, что он стал частью «клуба плохих мальчиков», на рынке стало на одного игрока меньше. Филиалы DarkSide теперь искали новый дом, а LockBit был всего в месяце от выпуска своей новой версии, которая вскоре будет использоваться для вымогательства сотен миллионов долларов.

LockBit 2.0​

Самая большая новая функция в LockBit 2.0 называлась «StealBit». На самом деле эту функцию предлагала DarkSide. Вместо того чтобы просто шифровать данные компании, StealBit теперь сохраняет их копию и отправляет ее на серверы LockBit. Партнеры могли установить особые требования к файлам, которые они хотели бы получить, и причина этого проста: дополнительные рычаги воздействия. Если у компании был план аварийного восстановления данных в случае атаки вымогателя, значит, платить было не за что. Но если сначала похитить все конфиденциальные файлы, то вымогатели могут угрожать утечкой информации, если компания не заплатит. Это может быть конфиденциальная информация о клиентах или внутренние секреты компании.

image


В ноябре 2023 года LockBit слил файлы компании Boeing, и это подводит нас ко второй части апдейта. В LockBit 2.0 появился новый блестящий веб-сайт, на котором размещались эти запросы на вымогательство, а также доска текущих жертв и обратный отсчет времени, когда данные будут обнародованы, если они не заплатят. Разумеется, сайт был размещен в сети Tor, и, да, он служил хорошим стимулом для того, чтобы заставить жертв платить, не только потому, что создавал ощущение срочности, но и потому, что подтверждал реальность угроз. Но это создало и другой феномен: люди из мира кибербезопасности стали следить за страничкой LockBit, чтобы увидеть, когда новые жертвы были скомпрометированы. Именно об этом и был этот пост в Twitter, и это способствовало росту популярности LockBit, что также способствовало привлечению все большего числа аффилированных лиц — порочный круг.

image


Такое внимание — это именно то, чего хотела компания LockBit. Но есть и другая сторона роста популярности, теперь они так, же интересны людям, которые закрыли DarkSide всего за месяц до этого.

image


В июле 2021 года появилась новость о том, что компания Accenture пострадала от взлома. LockBit 2.0 похитил 6 терабайт конфиденциальных данных компании и ее клиентов. Это большая проблема, потому что Accenture — крупнейшая компания, предоставляющая ИТ-услуги и консалтинг. Из этого следовало, что они работали с тремя четвертями компаний из списка Fortune Global 500. А благодаря сайту LockBit все узнали, что именно произошло, и какую цену просят за ключи дешифровки: $50 млн, которые нужно отправить в криптовалюте до 11 августа. В противном случае все украденные секреты компании станут достоянием общественности.

image


В любой нормальной компании созвали бы экстренное совещание и предупредили своих клиентов, но Accenture замалчивала инцидент, утверждая, что похищенные данные не были, цитата, «достаточно чувствительными (sensitive enough.)». Более того, они отказывались платить, и LockBit это не слишком понравилось. Чтобы повысить ставки, LockBit атаковала Bangkok Airways и Ethiopian Airways — клиентов Accenture, и все равно Accenture отказалась платить. В результате LockBit опубликовала в открытом доступе 2384 файла — это далеко не те 6 терабайт данных, о хищении которых они заявляли. Несмотря на то что выкуп так и не был получен, наверняка в штаб-квартире LockBit текли реки шампанского, потому что дебют версии 2.0 не мог состояться лучше. По сути, это была лучшая рекламная кампания на сегодняшний день. Все больше и больше аффилиатов присоединялись к ПО, и в мире сервиса вымогательства LockBit вошел в четверку крупнейших игроков.

image


В ноябре 2021 года они вновь достигли большого успеха. Один из известных лидеров, RaaS-компания BlackMatter, прекратила свою деятельность. Будучи в дружеских отношениях с владельцем LockBit, они рекомендовали своим партнерам перейти на платформу LockBit. Чувак получил целую базу пользователей бесплатно! Но этого было недостаточно. В результате у LockBit осталось два основных конкурента: REvil и Conti. Если бы удалось уничтожить их, LockBit получил бы всех их пользователей.

Уничтожение конкрентов​

Давайте вернемся в прошлое. Июль 2019 года, Мемориальная больница Спринг-Хилл. Уставшая от стресса мать Террани Кидд провела мучительные часы, пытаясь родить своего ребенка. Наконец ее прекрасный малыш Нико появился на свет. Все вроде бы было нормально, вот только сотрудники больницы не сказали ей, что их компьютеры не работают уже 8 дней. Они стали жертвами хакерской атаки, в результате которой записи пациентов оказались недоступны. Но что еще важнее, персонал оказался отрезан от оборудования для мониторинга сердцебиения плода в родильном зале. В результате через 9 месяцев Нико трагически скончался.

image


И вот теперь, в конце 2021 года, новость о судебном иске попала в заголовки газет. Больница заявила, цитата: «Нико получила тяжелую черепно-мозговую травму, поскольку медицинский персонал не заметил, что пуповина была обмотана вокруг ее шеи», потому что, цитата: «отсутствие доступа к критически важным ресурсам и информации было вызвано кибератакой». Наблюдая за этим, специалисты LockBit решили: «Эй, что может быть лучше для атаки на REvil — обвинить их в том, что именно они ответственны за это».

Видите ли, в мире киберпреступности, где не действуют никакие юридические нормы, все же существует своего рода уголовный кодекс. Многие группы отказываются атаковать больницы, а LockBit обвиняет REvil в том, что именно они стоят за этой атакой, надеясь, что люди с моральными принципами не станут с ними работать. Вместо этого они будут работать с LockBit.

Это ужасно, зная, что LockBit в дальнейшем будет взламывать больницы, в том числе детские. Так что мотивом всего этого была чисто компрометирующая кампания — кампания, которая будет продолжаться и дальше.

В конечном итоге атаку совершил даже не REvil, а кто-то другой, но об этом стало известно только через шесть месяцев. Если посмотреть на то, что обнаружило ФБР, то это была утилита Ryuk, которая была уникальной и контролировалась Wizard Spider, известным сегодня как Conti. Вскоре после этого REvil успешно взломала компанию Kaseya, поставщика программного обеспечения для MSP, и в результате получила доступ к 1500 компаниям, которые использовали программное обеспечение Kaseya, и заразила их программой-вымогателем.

image


Это была главная цель, но атака потерпела сокрушительное поражение, поскольку ФБР каким-то образом удалось предоставить жертвам бесплатные ключи для дешифровки. Миллионы долларов потенциального выкупа ушли на ветер.

Самое интресное, как же ФБР получило ключи расшифровки REvil? Они каким-то образом получили доступ к бэкенду — бэкенду, к которому должно было иметь доступ только руководство REvil. У REvil был честный ответ на этот вопрос: они заявили, что кто-то взломал их серверы, а затем раздал ключи пострадавшим компаниям. Сторонники LockBit тут же начали выдвигать предположения, что это чушь, что в REvil проникло ФБР и что никто не должен с ними работать. LockBit хотела, чтобы REvil исчезла, и вот-вот их самое заветное желание должно было исполниться.

14 января 2022 года Федеральная служба безопасности России провела обыски по 25 адресам, связанным с 14 членами REvil, изъяв 20 люксовых автомобилей и $5,5 млн наличными и криптовалютой, по всей видимости, после получения информации от США. Это случилось после того, как в нескольких странах была проведена операция по взлому и выводу из строя серверов REvil.

image


Но оставалась еще одна компания, гигант на рынке вымогательского ПО, которую LockBit не могла победить, как бы ни старалась: Conti. Conti занимала лидирующие позиции на рынке с 2020 года. Это был известный российский провайдер RaaS-услуг (ransomware-as-a-service), который сам отвечал за атаки на больницы, правительства и компании из списка Fortune 500. Компания была влиятельной, и LockBit не могло их свергнуть — пока они сами не сделали это.

Новый этап​


На следующий день после 24 февраля 2024 года Conti опубликовал сообщение, в котором поддержал военные действия и пригрозил всем, кто встанет на пути России. Затем LockBit опубликовал свой собственный пост, утверждая, что они аполитичны и заинтересованы только в деньгах. Внезапно Conti заменили свой пост на новый, заявив, что на самом деле они не поддерживают ни одно правительство и осуждают текущую ситуацию с войной. Что-то произошло внутри компании, но было уже слишком поздно для обратного хода.

image


Через три дня журналисты, занимающиеся вопросами кибербезопасности, начали получать неожиданные письма от украинского филиала группы Conti, занимающейся разработкой вымогательского ПО. В письме говорилось: «Обещаем, что это очень, очень интересно», и содержался файл с 60 000 сообщений, URL-адресами утечки приватных данных и биткойн-адресами из внутренней переписки Conti. Но это было еще не все. Далее этот человек слил кое-что еще более серьезное: исходный код шифратора, дешифратора и конструктора программ-вымогателей Conti.

image


Эта утечка вызвала серьезный кризис доверия в группе и сделала ее очень уязвимой для действий правоохранительных органов. Поэтому спустя три месяца оставшееся руководство Conti приняло решение о ликвидации бренда. Имя Conti было официально уничтожено, а ее публичная инфраструктура, включая сайты для переговоров о выкупе и утечке данных жертв, была навсегда отключена.

image


Для LockBit это был идеальный момент, чтобы захватить полный контроль над рынком, но они столкнулись с проблемой: Программное обеспечение Conti обладало более продвинутыми функциями. Чтобы захватить базу пользователей, LockBit нужно было быстро внедрить эти возможности в свое собственное ПО.

Месяц спустя, после падения Conti, LockBit выпустила крупное обновление для ПО с выкупом, подозрительно быстрое — LockBit 3.0, не уступающее по своим возможностям павшему гиганту. Аналогичным образом был запущен еще один маркетинговый трюк — на этот раз предлагалось от 500 до $1000 тому, кто сделает татуировку с логотипом LockBit и напишет об этом в социальных сетях. Трудно поверить, но многие согласились на это предложение.

image


Через месяц LockBit и его филиалы проводили почти по две крупные атаки в день, обогнав всех конкурентов. Они официально заняли первое место. LockBit удалось осуществить свою мечту, и, помимо этого компания оказалась в центре внимания разработчиков, которые радостно начали изучать новый код. Результаты их изучения оказались более чем странными: некоторые из новых функций LockBit использовали код DarkSide.

Как такое возможно? Помните, на DarkSide повесили дело о взломе Colonial Pipeline. После того как ФБР закрыло их, DarkSide провела ребрендинг, превратившись в BlackMatter. Но и это в итоге не помогло, и один из разработчиков, не смирившись с постоянными неудачами, стал искать более стабильного партнера. Он подумал, что LockBit будет таким партнером, но в процессе работы над 3.0 выяснилось, что код они просто взяли у своего предыдущего работодателя. Это привело к бурному обмену сообщениями на форуме между DarkSide и LockBit. DarkSide обвиняли LockBit в том, что те украли их разработчика.

image


21 сентября таинственный аккаунт в Twitter сделал сообщение, в котором утверждалось, что он взломал серверы LockBit и украл их билдер. Он предназначен исключительно для аффилиатов. В считанные часы специалисты по кибербезопасности скачали его и декомпилировали для анализа и изучения.

image


Но на самом деле LockBit не был взломан. Понимаете, за 11 дней до того, как Али опубликовал эту утечку, VX Underground сделала свой собственный пост. Неизвестный пользователь по имени Proton связался с нами и предоставил доступ к билдам LockBit 3.0. После этого VX Underground связались со службой поддержки LockBit через чат TOX и спросили, является ли утечка подлинной и как она могла произойти. Ответ? Утечка была на 100% реальной, и они знают, кто виновник утечки. Это новый разработчик, которого они наняли для 3.0.

image


В продолжение темы, LockBit признается, что наняла разработчика, а вся история с покупкой или не покупкой исходного кода BlackMatter была не более чем сказкой, чтобы спасти задницу разработчика от мести его предыдущего работодателя. Но теперь все пошло наперекосяк. Возможно, потому, что LockBit опубликовал сообщение, в котором, по сути, говорилось, что они знают настоящую личность разработчика и могут разрушить его жизнь, если захотят. Подобные сообщения позволили специалистам сделать вывод о том, на какие банды ранее работал разработчик.

Совершенно очевидно, что этот человек хотел остаться в тени, потому, безусловно, он был расстроен. Ничего подобного не произошло бы, если бы с этим парнем обошлись достойно. LockBit тратит так много времени на обслуживание клиентов — получает доход от своих аффилированных лиц, узнает, что они хотят изменить, что им нравится или не нравится, — но затем, вместо того чтобы развивать и поддерживать основных людей, которые работали на него, он просто обманул их.

image


Довольно забавно, что в версии 3.0 была введена программа вознаграждения за ошибки, и кто-то прислал баг, присутствовавший в BlackMatter, но который уже был исправлен. А поскольку разработчик скопировал код, LockBit обвинила его. В LockBit 3.0 было много кода BlackMatter, и та бага, которая была в BlackMatter, все еще присутствовал здесь. Кто-то обнаружил ошибку, и пришлось заплатить вознаграждение — $50 000.

LockBit, вычитала эти $50 000 из денег разработчика и не выплатила ему полагающуюся сумму полностью. Эта ситуация очень разозлила разработчика и LockBit начала угрожать ему, на, что парень сказал: «Ладно, я ухожу». Затем разработчик слил код, создав два разных фейковых аккаунта, но к данной истории это не имеет особого отношения.

Главное, что код оказался в открытом доступе. Реальный ущерб заключался в том, что теперь этим мог воспользоваться кто угодно. Многие аффилиаты просто начали работать самостоятельно.

LockBit заявлял, что процент успешных аттак не был таким же, как при использовании их «лицензионной» программы. Плюс ко всему это внесло большую путаницу в работу специалистов по изучению и реагированию на хакерские аттаки, так как теперь, увидев атаку LockBit, специалисты должны были понять, действительно ли это LockBit или просто одинокий волк, использующий утечку кода. Для LockBit это был двойной удар. Помимо слива информации, теперь у них не было разработчика для поддержки программного обеспечения.

Вот тут-то все и пошло кувырком. В декабре один из аффилиатов атаковал детскую больницу SickKids в Торонто и вывел из строя ее внутренние системы. Через два дня служба поддержки LockBit отреагировала на это, бесплатно предоставила SickKids ключи для дешифровки и забанила аффилиата за «нарушение условий предоставления услуг», поскольку они не разрешают атаки на медицинские учреждения. Но это была ложь. В этом случае он действительно вернул ключ организации, но не потому, что заботился об этих детях. Позже история повторилась с больницей Святого Антония.

image


В этой больнице также было детское онкологическое отделение. За полгода до этого другой аффилат аттковал французскую больницу под названием CHSF. Операции откладывались, визиты к врачам отменялись, а когда выкуп в $10 млн не был получен, произошла утечка конфиденциальных данных. LockBit ничего не предприняла, скорее всего, потому, что в то время эта ситуация не получила широкой огласки в СМИ.

image


Мы знаем, что если атака ransomware ПО достаточно масштабна, она может буквально уничтожить любого. Так было в случае с DarkSide и REvil. Аналогично, LockBit часто отрицал, что его аффилированные лица имеют отношение к этим атакам.

image


В январе 2023 года кто-то взломал Royal Mail, украл гигабайты конфиденциальных данных, а затем зашифровал их, запросив за это умопомрачительную цену в $80 млн. Для Royal Mail это стало огромной проблемой. Без своих систем они были вынуждены прекратить все международные поставки. Крайний срок, когда они должны были преклонить колено и заплатить, был назначен на 9 февраля. Эта новость стала поводом для громких заголовков в новостях.

image


Тем временем служба поддержки LockBit сообщила, что это была как бы слитая версия билдера с неизвестным содержимым (что бы это ни значило), и что эта атака была «направлена на дискредитацию нашего честного имени» и не дала расшифровщик после оплаты. Они утверждали, что платить выкуп не нужно. Что-то здесь не сходится. Подливая масла в огонь, специалисты обнаружили, что на самом деле это точно было сделано с помощью программного обеспечения LockBit, поскольку Royal Mail была направлена на официальную страницу для переговоров с LockBit.

image


Когда об этом стало известно, LockBit все равно отказалась брать на себя какую-либо ответственность. Это отличный пример использования им этого факта в качестве оправдания, когда ситуация накалилась до предела. Он прикрывался слитыми кодом, когда это было необходимо: «Это был не я; это был партнер, который ушел в одиночное плаванье и использовал мой слитый билдер». Но когда LockBit считал, что это принесет ему прибыль и он сможет получить деньги, то внезапно оказывалось, что это он. И так было несколько раз.

image


Сначала переговорщик из Royal Mail просто пытается сбить цену. Затем он затягивает их на несколько дней, а потом просит расшифровать этот небольшой файл, очевидно, связанный с доставкой медицинских товаров. Но, похоже, это была ложь. На самом деле в этом небольшом файле содержались важные для Royal Mail данные, и они надеялись, что LockBit их расшифрует. LockBit на это не повелся.

image


Тем не менее, переговорщик продолжал тянуть время, а LockBit все дальше и дальше. Наконец, 6 февраля им надоело. Небольшая часть файлов Royal Mail была выложена в сеть с угрозой обнародовать остальные, если выкуп в размере 80 миллионов долларов не будет выплачен в течение следующих 50 часов. И снова Royal Mail отказалась. Тогда они прекратили все контакты, и 9 февраля LockBit слил файлы, но они не содержали ничего существенного. В них не было ни конфиденциальной информации о клиентах, ни финансовой информации. Royal Mail была права; они назвали блефом действия LockBit.

image


В новостях стали появляться статьи о происходящем. В июне обнаружили, что страницы, с которой можно было скачать эти файлы, больше нет в сети.

Есть еще один интересный случай — Maximum Industries. Это аэрокосмическая компания, производящая детали для SpaceX. Кто-то из LockBit взломал их и украл все их данные, включая тысячи секретных инженерных схем. Это, конечно, вызвало большой резонанс в Twitter, но, несмотря на угрозы, SpaceX и Maximum Industries отказывались платить. Поэтому, когда пришло время утечки файлов, которые, как они утверждали, были украдены, им нечего было выкладывать. Похоже, что LockBit начали говорить о том, что у них есть данные, которых на самом деле нет, а это значит, что в дальнейшем жертвы будут реже платить, предвидя блеф.

С выходом LockBit 3.0 многие аспекты атаки были автоматизированы, не требующие ручного управления клавиатурой как раньше, соответсвенно это значительно упростило атаку. К нему хлынул огромный поток аффилиатов, и именно это сделало его «Walmart of ransomware». Но из-за такого роста и объема ему стало трудно справляться со всеми мелкими проблемами, которые возникали, и они переросли в гораздо более серьезные.

Всего месяц спустя, 12 апреля 2023 года, специалист по кибербезопасности по имени DarkTracer опубликовал пост, в котором обвинил LockBit в том, что сервис стал более ленивым.

image


LockBit Support это не понравилось. Поэтому вместо того, чтобы отмахнуться, LockBit продолжил атаку на DarkTracer, взломал их сайт и опубликовал их данные. Надо признать, это был довольно быстрый ответ. Но он взломал DarkTrace, а не DarkTracer, который в твиттере рассказывал об услугах LockBit. В гневе поддержка LockBit случайно нацелилась на другую компанию, занимающуюся кибербезопасностью.

image


С учетом этих проблем, некоторые партнеры ушли, но все равно было так много желающих занять эти места, что это не оказало существенного влияния на работу.

В один моменрт все стало совсем тухло, и с LockBit начали бороться другие группы, занимающиеся ПО для вымогательства. Jдин из пользователей написал на Exploit (один из лучших российских подпольных форумов), спрашивая, где найти утечку билдера 3.0, чтобы использовать его самостоятельно. Неожиданно ему ответила служба поддержки LockBit, предложив просто присоединиться к их партнерской программе. Но не успел пользователь ответить, как Baddie, известный участник группы Royal Ransomware, вступил в разговор, задав вопрос, в котором прозвучал упрек. Он спросил у службы поддержки LockBit, почему они просят разработчиков предоставить им доступ к своим билдерам.

image


LockBit ответила отговорками, но Baddie на это не купился. Вместо этого он напрямую обвинил службу поддержки LockBit в попытке украсть код вымогательского ПО конкурентов, чтобы включить его в свой собственный.

image


Это был явный упрек, подразумевающий, что LockBit дошла до такого отчаяния, что прибегает к копированию кода конкурирующих групп разработчиков программ-вымогателей. И Baddie был прав. Как мы уже знаем, что версия 3.0, по сути, была копией, но в тот же месяц, когда было опубликовано это сообщение, LockBit выпустила новую версию под названием LockBit Big Green.

image


Это произошло через семь месяцев после выхода проблемной версии 3.0, и, поскольку разработчик ушел, поддерживать 3.0, скорее всего, стало сложно. Они не могли добавлять в нее новые функции, поэтому вместо того, чтобы попытаться решить эту проблему, LockBit, похоже, выпустила новую версию, Green, которая могла похвастаться еще большим количеством функций. Но когда эксперты проанализировали ее, они обнаружили, что это, по сути, ребрендинговая версия вымогательского ПО СONTI.

image


Вскоре после падения СONTI произошла утечка исходного кода, и вот он, ребрендинг под названием LockBit. После появления этой новости служба поддержки LockBit начала быстро менять свою позицию, заявив, что его целью было включить в панель все лучшие варианты ransomware, предоставив аффилиатам возможность выбирать, какие из них использовать. И даже спросил, что еще им нужно для счастья, пообещав «радовать их бесконечно».

image


Правда состояла в том, что пользователи не испытывали восторга с версии 2.0. В то время как служба поддержки LockBit продолжала отчаянно пытаться создать впечатление, что они самые результативные, но это было совсем не так. С февраля по июнь 2023 года украденные данные вообще не публиковались на сайте. Ссылки на скачивание либо полностью исчезли, либо просто вели в никуда. Первыми это заметили партнеры, многие из которых предпочли работать с другими провайдерами ransomware. В конце концов, служба поддержки LockBit заявила, что проблемы были решены после найма тестировщика, и свалила вину на большие файлы, загружаемые аффилиатами. Но проблема по-прежнему существовала.

Жадность порождает проблемы​


image


Если вы взломаете компанию, а ПО для получения выкупа все испортит, аффилиаты будут в ярости, потому что только что потеряли кучу денег. И одному из них предстояло изменить всю траекторию развития LockBit. 30 января 2024 года пользователь по имени Mitch подал арбитражный иск XSS на службу поддержки LockBit. Это был отчет о мошенничестве. Mitch — посредник первого уровня. Эти ребята проникают в сети, находят слабые места, но вместо того, чтобы использовать их, они просто продают скомпрометированный доступ тому, кто больше заплатит, обычно это группам людей которые занимаются вымогательством.

image


В данном случае Mitch предоставил доступ LockBit, и теперь за свои услуги он требовал $4 млн — часть того, что компания LockBit заработала на атаке. Но, разумеется, LockBit отказывалась платить. Дело было настолько специфическим, что владелец XSS Admin решил рассмотреть иск и вынести окончательный вердикт, и он оказался не в пользу LockBitsupport. Admin требовал поделиться с Mitch 10 % прибыли. LockBit, конечно же, в своем стиле, отказался. И вот какая реакция была у Admin'а: «К сожалению, ответчик отклонил требование. Дело закрыто». Support LockBit был забанен.

image


Но на русских хакерских форумах есть правило: если тебя забанили на одном, то забанят на всех. Видя это, Exploit тоже забанил его на своем форуме, присвоив ему тот же статус: мошенник.

image


После того как его забанили на самых популярных хакерских форумах, он в качестве последней попытки попытался обжаловать свой бан на менее популярном форуме Ramp. Этот форму почти полностью посвящен хакерскому ПО. Он попросил владельца Ramp пересмотреть свое решение и ничего не делать с его статусом на двух других форумах. Это означало, что как минимум, он мог бы оставаться на этом форуме, хотя и с гораздо меньшим влиянием ввиду его малой популярности. Но, в итоге, это не имело значения, учитывая события, которые произойдут всего несколько дней спустя.

Разоблачение​


Позднее, 19 февраля, людей, пытавшихся зайти на сайт LockBit, встречало удивительное изображение: логотип LockBit в окружении 11 шариков с надписью: «Этот сайт теперь под контролем правоохранительных органов». VX Underground быстро обратился в чат Tox за ответом. Сотрудники LockBit ответили просто: «FBI pwned me». Правоохранительные органы каким-то образом воспользовались уязвимостью в сервере LockBit и полностью захватили его.
Чтобы привлечь еще большее внимание СМИ, в этом сообщении содержалось приглашение для посетителей вернуться в 11:30 по Гринвичу на следующий день, чтобы узнать новые подробности. Это официально ознаменовало начало операции «Cronos» — скоординированной работы ФБР, Европола и NCA по уничтожению LockBit раз и навсегда.

image


На следующий день сайт был обновлен и стал выглядеть почти так же, как и раньше, за исключением того, что все утечки карточек компании были заменены на объявления правоохранительных органов, пресс-релизы, инструменты восстановления и ключи дешифрования, а также заголовок: «Этот сайт теперь находится под контролем оперативной группы Kronos». Тем временем на странице, куда обычно заходили партнеры, чтобы войти в систему, их встречало следующее леденящее душу предупреждение: «Правоохранительные органы получили информацию о жертвах, которых вы атаковали, о вымогаемых суммах, похищенных данных и многом другом. Поблагодарите службу поддержки LockBit за эту ситуацию. Возможно, мы скоро свяжемся с вами».

image


Только представьте себе, сколько противоречивых мыслей могло вознинуть у аффилатов. Вы — партнер, вы — преступник, вы не хотите, чтобы кто-то знал, кто вы, и вы доверяете LockBit предоставить вам эту анонимность. Теперь все ваши данные утекли к третьей стороне. Буквально, в прямом смысле, партнеры чувствовали себя жертвами.

Вернувшись на главную страницу, выделилась одна карточка: «Кто такой LockBitSupport?» — вопрос на $10 млн, сопровождавшийся обратным отсчетом в стиле вымогателей. Здесь ФБР жестко троллило, унижая поддержку LockBit в его собственном стиле.

image


В январе, как раз перед тем, как LockBit support забанили за XSS, он написал этот пост, в котором сказал, что разочарован тем, что ФБР до сих пор не назначило никакой награды за раскрытие его досье и арест. Точно так же он назначил награду за свою голову — $1 млн. тому, кто узнает его настоящее имя.

Весь мир кибербезопасности будет ждать ответа на этот вопрос до 23 февраля, а тем временем операция «Кронос» только начиналась.

Полиция начала арестовывать аффилированных лиц. Сначала это был дуэт отца и сына из Украины, обвиненный в атаках на французские медицинские учреждения. На следующий день спецназ Польши арестовывают одного из филиалов в собственном доме.

image


За первую неделю были арестованы три члена группировки, и можно быть уверенным, что многие другие дрожали от страха, потому что ФБР опубликовало список из 193 человек, подозреваемых в активной деятельности группировки, — информацию, которую, по их словам, они получили, взломав сервер LockBit. И ФБР также упомянули, что получили данные о выплатах. Чтобы оценить масштаб операции LockBit, правоохранительные органы объединились с компанией Chainalysis — именно эти специалисты раскрыли дело Mt. Gox.

image


То, что они обнаружили, было ошеломляющим. С июля 2022 года, когда был запущен LockBit 2.0, по февраль 2024 года — всего за 18 месяцев — более 30 000 биткоин-адресов собрали криптовалюту на сумму $120 млн. Но это только 20-процентная комиссия администратора LockBit, то есть всего за 18 месяцев аффилированные лица выманили более $600 млн. Еще сложнее измерить ущерб, который это нанесло компаниям, буквально исчисляемый миллиардами.

По мере того как количество арестов росло, все внимание переключилось на следующий важный вопрос: собирается ли ФБР наконец раскрыть личность «человека за 100 миллионов долларов»? Счетчик просмотров в правом нижнем углу поста «Вопрос на 10 миллионов долларов» быстро вырос до 30 000, так как ожидание раскрытия личности LockBit support росло. Это очень много, учитывая, что сайт был размещен в сети Tor.

Затем, по мере приближения даты, ФБР повысило ставки, предложив реальное вознаграждение в размере до 15 миллионов долларов за информацию об администраторах и аффилированных лицах LockBit.
image


Они даже создали аккаунт в Telegram под названием «FBI Support», чтобы поощрять осведомителей. Но несмотря на все это, поддержка LockBit выглядела спокойной. Он связался с VX Underground и поделился своими мыслями по поводу сложившейся ситуации.

image


Во-первых, он заявил, что федералы ошиблись с арестом — люди на самом деле не имеют никакого отношения к LockBit. Во-вторых, он предположил, что федералы на самом деле не знают, кто он такой, и что теперь он готов заплатить до $20 млн тому, кто сможет установить его настоящую личность. И последнее, он пренебрег техническими навыками ФБР, объяснив взлом сайта собственной ленью, заявив, что не обновил PHP. В старой версии, которая использовалась на сайте, была критическая уязвимость, поэтому его было легко взламать.

Но когда день Х наконец настал, ФБР продлило обратный отсчет еще на несколько часов, вероятно, чтобы привлечь внимание. Поскольку, когда он достиг нуля и страница обновилась, произошло, возможно, одно из крупнейших событий в истории борьбы с организованной преступностью в Интернете. Появились два новых сообщения, в которых говорилось, что поддержка Lockbit живет не в США и не в Нидерландах и что он водит Mercedes, а не Lamborghini. Это были опровержения фальшивой информации, которую он ранее распространял о себе в сети.

image


Затем ФБР заявило, что знает, кто он, где находится и сколько стоит, намекая на то, что он даже сотрудничал с правоохранительными органами. Но не было ни фотографий, ни имен, ничего, кроме нескольких пустых пунктов банальной информации о поддержке Lockbit.

image


Такой результат, похоже, лишь подтверждал предположения группы поддержки Lockbit о том, что все это было просто психологической операцией, что у федералов действительно ничего нет на него. Уже на следующий день сайт Lockbit был восстановлен с помощью резервных серверов. Одновременно с этим служба поддержки Lockbit опубликовала этот невероятно длинный ответ, в котором подробно изложила свою версию истории. Он начинает с того, что из-за своей лени, после «многих лет купания в деньгах», он не обратил особого внимания на проблему, решив, что она является чем-то пустяковым.

image


Итак, в 6:00 утра 19 февраля он заметил, что сайт выдает ошибку 502 Bad Gateway. Однако он смог быстро решить эту проблему, просто перезапустив веб-серверы. На самом деле все оказалось не так просто. К 20:00 на сайте появилась еще одна ошибка-404 Not Found, и, покопавшись в ней, он заметил, что вся информация на жестких дисках сервера была полностью стерта. Кто-то, кто получил доступ, сделал это. Далее он пишет, что случайно наткнулся на то, что, по его мнению, ФБР использовало для получения доступа к его серверам. Понимаете, у него стояла устаревшая версия PHP; из-за своей лени он не обновил ее до последней версии, а это большой минус, потому что там была известная уязвимость. Он подозревает, что ФБР воспользовалось этим, чтобы получить доступ, так как у него была масса других серверов, но только те, на которых работала эта версия PHP, были фактически захвачены.

Теперь он вернул серверы в сеть, и на них была установлена последняя версия PHP, так что больше проблема не должно повториться. Далее он даже хвалит агента, который нашел эту уязвимость, интересуется, сколько ему заплатили за работу, и говорит, что если меньше миллиона долларов, то ему стоит просто пойти работать на него. А в конце он делится некоторыми личными соображениями: «Все действия ФБР направлены на то, чтобы разрушить репутацию моей партнерской программы. Они хотят, чтобы я ушел и бросил свою работу. Они хотят запугать меня, потому что не смогут найти и устранить меня. Меня невозможно остановить. Я очень рад, что ФБР взбодрило меня, зарядило энергией и заставило отвлечься от развлечений и траты денег. Очень трудно сидеть за компьютером с сотнями миллионов долларов. Единственное, что мотивирует меня на работу, — это сильные соперники в ФБР. Есть спортивный интерес и желание соревноваться.
Поэтому я готов рисковать жизнью ради своей работы. Вот такой должна быть яркая, насыщенная и интересная жизнь. Ни агенты ФБР, ни их помощники не смогут меня напугать или остановить».
И вот поддержка Lockbit снова в полной боевой готовности, готовая на все, чтобы восстановить свой авторитет. На восстановленном сайте Lockbit появился свежий список новых жертв — в том числе и ФБР. Нет смысла говорить, что какое-то время над ФБР смеялся весь интернет, потому что это был чертовски слабый компромат. Но похоже, что ФБР просто нужно было время, чтобы превратить имеющуюся у них информацию в полноценную информационную бомбу. Именно тогда, когда казалось, что дело заглохло, Министерство юстиции США выпустило эту сенсацию: обвинительное заключение против основателя Lockbit. У них было не просто имя — у них было лицо.

Знакомьтесь: Дмитрий, он же Lockbit Support, вдохновитель Lockbit — 31-летний россиянин, живущий, казалось бы, обычной жизнью. Он водит Mercedes, играет в бильярд и, возможно, даже занимается садоводством. А знаем мы все это потому, что в одно мгновение OSINT-сообщество Twitter заработало на полную катушку. В обвинительном заключении были раскрыты два его адреса электронной почты. С ума сойти — один из крупнейших хакеров использует iCloud. И этих писем оказалось более чем достаточно, чтобы раскрыть почти все о его жизни. В январе 2023 года Яндекс был взломан, и теперь эксперты копались в данных о его заказах. Очень важно, что в результате утечки был раскрыт номер его телефона, который вел к его профилю VK, — который на тот момент был полностью публичным.

image


Они также обнаружили, что он зарегистрировал компанию в июле 2021 года. Это начало расцвета Lockbit 2.0, и, вполне возможно, это прикрытие для отмывания денег. Это просто странный блог о тканях и одежде, полный, казалось бы, сгенерированных постов. Но самое главное — это адрес и отзыв, который он оставил на своем «Мерседесе» с указанием номерного знака. Также есть несколько блогов, связанных с садоводством, которые кто-то разместил под его известным ником — возможно, он любитель садоводства.

image


Они даже нашли его первый профиль в VK. Похоже, в подростковом возрасте этот парень был фанатом Counter-Strike 1.6 и даже предлагал помощь в запуске серверов для этой игры, когда ему было 14 лет. Возможно, это и стало началом его технического таланта.

image


Это продолжается и продолжается. Есть анкета на сайте знакомств, где он говорит, что у него «средний доход». Пост о том, что он сам стал жертвой программы-вымогателя, возможно, послужил мотивом для начала всей этой истории.

image


Все это говорит о том, что в течение одного дня вся его жизнь оказалась на виду. И вот, отчаявшись, он обратился к VX Underground, заявив, что ФБР блефует, что ему жаль этого Дмитрия, поскольку они взяли не того парня, и теперь он собирается взять вину на себя. Чтобы еще больше подкрепить эту мысль, он опубликовал сообщение, в котором объявил конкурс: $1000 тому, кто свяжется с этим бедным Дмитрием, потому что это не может быть он, и он очень хочет знать, все ли у него хорошо.

image


И многие люди говорили: «Возможно, это не он, потому что у Lockbit была бы лучшая безопасность, чем у этого парня». Но когда у вас есть имя предпологаемого злодея, и вы от него отталкиваетесь — это гораздо проще. Если бы у него не было хорошей анонимности, люди бы уже давно выяснили, кто он такой. В реальности никто и не догадывался, пока не обнародовали его имя. Соответсвенно, у него был хороший OPSEC.

На данный момент предположений, как правоохранительные органы вычислили его нет. Они не предоставили никаких доказательств. Если посмотреть на обвинительные заключения по другим злодеям, занимающимся распространением выкупного ПО: доказательства в основном никогда не публикуются, так как они хранятся до того дня, пока человек окажется в суде, чтобы использовать их против него и привлечь его к ответственности. Поэтому ФБР обычно не делятся этой информацией с общественностью. Но мы можем быть уверены, что у них есть секретные инструменты, которые они использовали, и о которых мы никогда не узнаем, чтобы на 100% подтвердить, что это он.

Одной из версий приичины разблочения, была криптовалюта. Что LockBit, начал продавать крипту. Но VX Underground, заявил, что это не так. «Он почти не трогал ее». LockBit представлял себя на форумах как гангстер из фильма, понимаете, а в реальности он никогда не был помешан на материальных вещах. Для него было важно прославиться в российском киберпреступном мире. Ему нравилось быть суперзлодеем. Он хотел этой криминальной славы. И скорее всего это для него важнее, чем деньги.

Тем временем федералы объявили за Дмитрия награду в $10 млн/ за любую информацию, которая приведет к его аресту. Как все перевернулось. У них есть его полное имя, его лицо, и если это так, то почему он не арестова.

Дело вот в чем: для Дмитрия главное — не США. США не могут тронуть хакера, который находится в России. Российская Конституция защищает их; они не выдают своих граждан. А если хакеры очень известны, то правительство даже может позволить им продолжать хакерскую деятельность в обмен на то, что они будут действовать от их имени. У них хорошие отношения с киберпреступниками, потому что они знают, что могут использовать их таланты для шпионажа. Так, VX Underground недавно сообщил, что Дмитрий теперь работает на ФСБ.

Но Россия — не единственное место, где обитают филиалы Lockbit. Многие банды, занимающиеся распространением вымогательского ПО, гораздо более глобальны, чем мы можем думать. У них есть члены по всему миру. Возможно, причиной поражения Дмитрия стало то, что он позволял присоединяться к Lockbit всем желающим. И, с большой вероятностью, слишком многие из этих аффилированных лиц живут в странах, которые экстрадируют в США. Например, в прошлом году они объявили о поимке одного из членов группировки Lockbit, проживавшего в Канаде, — Михаила Васильева. Ему было предъявлено несколько обвинений в связи с его связью с бандой, и на данный момент он ожидает экстрадиции в США, чтобы предстать перед судом. Другой человек, о котором известно, — это парень по имени Михал. Это гражданин Польши, который был арестован за вымогательство у 49 различных компаний с помощью Lockbit. Сейчас он содержится под стражей на Кипре и, скорее всего, будет экстрадирован в США.

 
  • Теги
    антивирусная защита информационная безопасность
  • Сверху Снизу