Dokonując ważnego przełomu w walce z cyberprzestępczością, organy ścigania z 10 krajów znacząco wpłynęły na grupę cyberprzestępczą LockBit – informuje Europol. Zatrzymań dokonano również na terytorium Polski. Sukces nie oznacza jednak całkowitego unieszkodliwienia grupy, twierdzą eksperci Check Point Research.
LockBit jest powszechnie uznawany za najbardziej wszechstronne i szkodliwe oprogramowanie ransomware na świecie, powodujące szkody warte miliardy euro. Zorganizowana akcja policji była następstwem złożonego dochodzenia prowadzonego przez brytyjską Narodową Agencję ds. Przestępczości w ramach międzynarodowej grupy zadaniowej znanej jako „Operacja Cronos”, koordynowanej na poziomie europejskim przez Europol i Eurojust.
Trwająca wiele miesięcy operacja doprowadziła do naruszenia głównej platformy LockBit i innej infrastruktury krytycznej, która umożliwiła ich przestępcze przedsięwzięcie. Obejmuje to zamknięcie 34 serwerów w Holandii, Niemczech, Finlandii, Francji, Szwajcarii, Australii, Stanach Zjednoczonych i Wielkiej Brytanii.
Na wniosek francuskich organów sądowych zatrzymano dwie osoby powiązane z LockBit w Polsce i na Ukrainie. Francuskie i amerykańskie władze sądownicze wydały także trzy międzynarodowe nakazy aresztowania i pięć aktów oskarżenia. W ramach operacji zamrożono ponad 200 kont kryptowalutowych powiązanych z członkami organizacji.
– To zły czas dla LockBit. Grupa niedawno została usunięta z dwóch rosyjskich podziemnych forów poświęconych cyberprzestępczości ze względu na wątpliwą etykę operacyjną, z kolei ostatnie działania władz Wielkiej Brytanii i USA zmniejszą zdolność Lockbit do rekrutacji i utrzymania partnerów. Z drugiej strony gangi zajmujące się oprogramowaniem ransomware są niezwykle odporne i w najbliższej przyszłości grupa może pojawić się pod innym szyldem. Zagrożenie ze strony Lockbit oraz innych grup zajmujących się ransomware wciąż trwa, zatem organizacje muszą nadal być niezwykle uważne – komentuje sytuację Sergey Shykevich, menedżer grupy ds. analizy zagrożeń w firmie Check Point Software Technologies
LockBit operuje niemal na całym świecie, a setki partnerów rekrutuje się do przeprowadzania operacji ransomware przy użyciu narzędzi i infrastruktury LockBit. Płatności okupu zostały podzielone pomiędzy główny zespół LockBit i podmioty stowarzyszone, które otrzymały średnio trzy czwarte zebranych okupów.
Grupa ransomware słynie również z eksperymentowania z nowymi metodami wywierania presji na ofiary, aby zapłaciły okup. Jedną z takich metod jest potrójne wymuszenie, które obejmuje tradycyjne metody szyfrowania danych ofiary i grożenia ich wyciekiem, ale obejmuje także ataki typu Distributed Denial-of-Service (DDoS) jako dodatkową warstwę nacisku.
Źródło: Europol, Check Point Research
