Analiza ISBiznes.pl: LockBit zlikwidowany, ale może wrócić w innej postaci

Największa witryna i centrum usługowe cyberprzestępczości LockBit zostało w całości przejęte w trakcie wspólnej operacji Europolu i 11 organów ścigania z Europy przy współpracy policji polskiej i ukraińskiej. Być może ta sieć „usług dla cyberkryminalistów” jest częścią rosyjskiej operacji sabotażowo-dywersyjnej przeciw Zachodowi.

LockBit powstał jako pewnego rodzaju „spółka usługowa” dla gangów cyberkryminalnych. Oferowała oprogramowanie w modelu Ransomware-As-Service, dostęp dla grup przestępczych znajdował się poprzez portal pod adresem w domenie .onion znajdujący się w sieci Tor. Obecnie witryna ta została przejęta i po jej załadowaniu widoczny jest komunikat „Witryna jest teraz pod kontrolą organów ścigania”.

Odpowiedzialna za kontrolę nad witryną oraz całym środowiskiem administracyjnym LockBit jest obecnie brytyjska Narodowa Agencja ds. Przestępczości (NCA).

„Możemy potwierdzić, że usługi LockBit zostały przejęte w wyniku działań międzynarodowych organów ścigania – jest to operacja która się rozwija” – taki komunikat znajduje się na stronie razem z informacją, że NCA współpracowała z FBI i „międzynarodową grupą zadaniową”, a cała akcja nosiła kryptonim Operacja Cronos.

Wyłączone serwery, uzyskany kod źródłowy

Na stronie znajdują się także logo Europolu oraz organów ścigania z Australii, Niemiec, Holandii, Japonii, Francji i Szwajcarii, a także Kanady, Szwecji i Finlandii. Według informacji jakie uzyskała ISBiznes.pl w akcji współpracowały też policje Polski i Ukrainy. Środowisko operacyjne grupy LockBit, jak wskazują wstępne ustalenia, zostało całkowicie przejęte. Pozostawiono ten sam układ witryny tylko zamiast „portfolio” grupy czy nazw i logo firm, które doświadczyły udanych ataków ransomware z jej strony bądź ze strony cybergangów z nią współpracujących wyświetlają się szczegóły działań LockBit. Zamknięty został też blog Grupy – jedno z głównych źródeł „pomocy” przy ransomware dla grup przestępczych.

Zespół Cronos podał także informację, że 34 serwery LockBit zostały wyłączone w Holandii, Niemczech, Finlandii, Francji, Szwajcarii, Australii, USA i Wielkiej Brytanii. Wśród nich znajdowały się trzy działające w USA, które były odpowiedzialne za hostowanie szkodliwego oprogramowania StealBit pochodzącego od grupy LockBit, służącego do wydobywania danych, wykorzystywanego przez cyberprzestępców „stowarzyszonych” z LockBit. Ponadto zamrożono ponad 200 kont kryptowalutowych, zaś po przejęciu kontroli nad backendem całej operacji Grupy zebrano, jak stwierdził Europol, „wielką ilość danych”. Za kontakty z ofiarami w każdym kraju Unii Europejskiej odpowiadają lokalne władze policyjne, NCA zajmuje się firmami z Wlk. Brytanii, zaś zaatakowanym firmom w USA poleca się wizytę na nowym dedykowanym portalu FBI, aby sprawdziły czy ich pliki można odszyfrować. Ponadto na portalu Europolu „No More Ransom” zostaną dodane narzędzia deszyfrujące, które będą dostępne w 37 językach.

„Uzyskano także kod źródłowy platformy LockBit i ogromną ilość danych wywiadowczych na temat jej działań oraz osób, które z nią współpracowały i korzystały z jej usług, aby wyrządzić szkody organizacjom na całym świecie” – stwierdzono w komunikacie.

„Ta operacja pokazuje zarówno naszą zdolność, jak i zaangażowanie w obronę cyberbezpieczeństwa i bezpieczeństwa narodowego przed wszelkimi złośliwymi podmiotami, które chcą wpłynąć na nasz sposób życia. Będziemy nadal współpracować z naszymi sojusznikami, aby identyfikować, zakłócać i powstrzymywać zagrożenia cybernetyczne oraz pociągnąć sprawców do odpowiedzialności” – powiedział dyrektor FBI Christopher A. Wray.

LockBit działał przez 4 lata i był pierwszą organizacją tego typu odpowiedzialną dużej mierze za wielkie rozprzestrzenienie się ataków ransomware, będąc jednym z pionierów oprogramowania ransomware jako usługi. Oferował „pewne, sprawdzone” oprogramowanie ransomware współpracującym gangom, które je rozsyłały, negocjowały z zaatakowanymi ofiarami i wysyłały potem część pozyskanych w ten sposób funduszy Grupie jako „opłatę za dzierżawę” oprogramowania. W 2023 roku zaczęły się utarczki, bo model biznesowy nie działał już tak dobrze. Skończyło się na nowej wersji ransomware i zapewnieniu „podmiotom współpracującym”, bo tak nazywali je hackerzy z LockBit, większego udziału w zyskach.

Przestępczy interes miał się jednak nieźle skoro, jak wykryły władze USA, Grupa i jej „stowarzyszeni” cyberprzestępcy przeprowadzili do połowy 2023 roku 1700 ataków w samych Stanach Zjednoczonych, zaś w niektórych krajach byli odpowiedzialni za ¼ ataków ransomware w ogóle. Ofiarami ataków padły m.in. szpital dziecięcy, sieć fastfoodowa Subway, firma Infosys i około 1000 małych i średnich przedsiębiorstw.

LockBit był przy tym najpłodniejszym gangiem jeśli chodzi o tworzenie oprogramowania ransomware. Było ono na tyle skuteczne, że ataki wygenerowały 120 mln dolarów okupów, liczone w wartości kryptowalut, bowiem tylko w ten sposób, by uniknąć namierzenia przez organy ścigania, przestępcy wyłudzali opłaty za rzekomo „pewne” odszyfrowanie plików. Jednak, jak twierdzili specjaliści z firmy bezpieczeństwa Fortinet, pełne odszyfrowanie plików zaszyfrowanych tym ransomware udawało się przy użyciu klucza otrzymanego od cyberprzestępców tylko w około ¼ przypadków. Jak widać, nie bardzo starali się o swoją markę jako „wiarygodnych kontrahentów”. Gangi związane z Lockbit często szantażowały swoje ofiary nawet po wpłaceniu okupu – żądały „drugiej raty” za to, że cały fakt zakażenia i wpłacenia okupu zostanie utrzymany w tajemnicy. Znaleziono także dowody na to, że ofiary zapłaciły okup, jak więc widać, ofiary nie mogą ufać tego typu grupom przestępczym, które obiecują, że po zapłaceniu okupu, usuną ich dane.

Rosyjscy łącznicy i zarządzający

Pierwszymi zatrzymanymi w sprawie LockBit byli Michaił Wasiliew i Rusłan Magomedowicz Astamirow. Pierwszy został aresztowany jeszcze w 2022 roku, drugi w 2023 r. Obaj oczekują na proces w USA w związku z opracowywaniem przez nich nowych wersji ransomware. Cztery inne osoby zatrzymały policje w Polsce i w Ukrainie.

Nie udało się zatrzymać dwóch innych zdemaskowanych członków gangu pełniących prawdopodobnie rolę zarządczą w Grupie – obywateli Rosji – Artura Sungatowa i Iwana Kondratiewa. Akt oskarżenia przeciwko nim przygotował Departament Sprawiedliwości Stanów Zjednoczonych (DoJ), oskarżający ich o kierowanie atakami ransomware przeciwko podmiotom w USA. Jeśli jednak nie wyjadą do krajów, które mają podpisaną z USA umowę o ekstradycji, prawdopodobnie nigdy nie staną przed sądem. Jak oświadczyli przedstawiciele DoJ, wiele osób „powiązanych z tą sprawą”, czyli po prostu przestępców przebywa obecnie w Korei Północnej, Iranie, Rosji i Chinach.

Jak twierdzą analitycy, może to oznaczać, że jeśli grupa ta znowu zbierze się razem, LockBit odrodzi się znowu jako witryna Ransomware-As-Service, ale „pod inną nazwą i w innym kącie Dark Web”, bowiem gangi ransomware często dla zatarcia śladów po udanych akcjach znikają na około pół roku po czym odradzają się jako „nowe” i pod innymi nazwami. Dla ich całkowitego zniszczenia konieczne jest zatrzymanie całego kierownictwa takiego przestępczego biznesu.

Jak stwierdził dyrektor generalny NCA Graeme Biggar, istotnie LockBit  może próbować odbudowy swojej działalności.

„Wiemy jednak, kim są i jak działają. Jesteśmy nieustępliwi i nie ustaniemy w naszych wysiłkach ukierunkowanych na tę grupę i wszystkie osoby z nimi powiązane” – dodał.

23 lutego Operacja Cronos ma się zakończyć ujawnieniem personaliów LockBitSupp, czyli przywódcy całej Grupy. Wcześniej on sam „rzucił wyzwanie” – jeśli ktokolwiek odkryje jego prawdziwe personalia i prześle je do niego mailem wówczas otrzyma 1 mln dolarów. 24 lutego cała Operacja zakończy się likwidacją witryny.

Jednak część Grupy, która nie została jeszcze namierzona przez organa śledcze w trakcie Operacji Cronos oraz „zarząd” przebywający prawdopodobnie w Rosji nadal wymieniają informacje z administratorami sieci złośliwego oprogramowania vx-underground. Według nich szkody wyrządzone LockBit przez Operację Cronos „nie są tak wielkie”, przejęcie danych „dotyczyło tylko serwerów z elementami PHP”, kopie zapasowe zostały zachowane, czyli powrót do działalności będzie możliwy.

„LockBit sprawdził się w przeszłości jako odporny wariant oprogramowania ransomware, który przetrwał główne wycieki danych. Nie wiemy jeszcze jaki wpływ te usunięcia (przez Operację Cronos-red.) będą miały na jego operacje. Sam LockBit twierdzi, że problem dotyczył tylko serwerów z elementami PHP, dane są bezpieczne, a serwery kopii zapasowych pozostały nienaruszone, co, jeśli to prawda, prawdopodobnie oznacza, że Lockbit mógłby dość szybko odzyskać siły” – powiedział Tim West, dyrektor ds. wywiadu w WithSecure.

Czym może być LockBit

Szefostwo Grupy LockBit twierdzi, że organom ścigania udało się włamać na ich serwery przy wykorzystaniu luki w zabezpieczeniach PHP związanej z przepełnieniem bufora CVE-2023-3824, która może prowadzić do zdalnego wykonania kodu i możliwa jest odbudowa całej sieci.

Byłaby to kompromitacja organów ścigania podobna do tej kiedy FBI chcąc zamknąć sieć ransomware ALPHV/BlackCat doprowadziła do tego, że przestępcy odzyskali w kilka dni kontrolę nad całą infrastrukturą. Jednak Tim West uważa, że LockBit nie jest świadomy skali w jakiej cała sieć została przejęta i mimo prób „rozpoczęcia biznesu od nowa” nie odzyska on dawnego znaczenia i sprawności.

Możliwe jest jeszcze inne wyjaśnienie pewności siebie osób zawiadujących Grupą LockBit – że jest ona fragmentem większej operacji wywiadu rosyjskiego przeciwko Zachodowi. Jak ujawnił polski analityk wojskowy, w końcu 2022 r. I zastępca szefa administracji prezydenckiej S. Kirijenko stanął na czele „Komitetu Wpływów Specjalnych”, który koordynuje rosyjskie działania przeciwko Zachodowi. Współpracuje on z wywiadem wojskowym (GRU), który przeprowadził reformę na dużą skalę. Gen. A. Awerianow, dowódca jednostki specjalnej dywersji i sabotażu w tym sabotażu elektronicznego JW 29155, został awansowany na zastępcę szefa GRU i utworzył nową „Służbę Operacji Specjalnych” (JW 54654). Jej personel nie korzysta z telefonów komórkowych, jest szkolony w niejawnych placówkach poza jednostką i pochodzi spoza sił zbrojnych, co utrudnia jego identyfikację. Służba ta werbuje współpracowników za pośrednictwem firm-przykrywek i umieszcza w nich swoich nielegałów. Zapewnia stypendia studentom z krajów Azji, afrykańskich i Bałkanów (w tym ostatnim przypadku najczęściej chodzi o Serbów) i często szkoli ich na hackerów oraz specjalistów sabotażu i działań kryminalnych w cyberprzestrzeni. Służby te są skupione na wykradaniu danych zachodnich firm, sianiu chaosu oraz stosowaniu działań kryminalnych w cyberprzestrzeni wobec firm zachodnich i znanych postaci życia politycznego, kulturalnego i naukowego Zachodu.

„Bezczelność i absolutny brak obaw przed dostaniem się w ręce amerykańskiego wymiaru sprawiedliwości ze strony zarządzających LockBitem, struktura oraz pewność odrodzenia całego, jak to nazywają, biznesu a także cele i formy ataku – kierowane niemal tylko przeciw firmom zachodnim i obliczone na dezorganizację, doskonale wpisują się w nowe podejście rosyjskich służb, jak służba wywiadu zagranicznego SWR i wojskowego GRU do operacji przeciwko Zachodowi. Ma to być sianie maksymalnej destrukcji, uniemożliwienie normalnego działania i uzyskanie wrażenia, że w Sieci rosyjscy hackerzy są wszędzie i są w stanie zdestabilizować każdą firmę. W tym momencie Sungatow i Kondratiew po prostu są łącznikami – interfejsami pomiędzy oficerami prowadzącymi z ramienia wywiadu, prawdopodobnie jest to GRU, choć może tu współpracować SWR – a wynajętymi informatykami oraz ludźmi, którzy odpowiadają lokalnie za zarządzanie strukturami. Jeśli tak jest to LockBitSupp jest albo mitem, albo osobą podstawioną, czyli słupem. Jeśli mam rację, to cała struktura nadzorowana przez wywiad odrodzi się za niedługo, ale oczywiście pod innym brandem, choć podobna w założeniach. Walka z takimi strukturami jest bowiem jak walka z perzem” – powiedział ISBiznes.pl analityk wojskowy.