Съдържание
Ключови изводи
- Усилията на правоприлагащите органи прекъснаха инфраструктурата и партньорската мрежа на LockBit, но други групи за рансъмуер са готови да се намесят.
- Организациите, участващи в премахването на LockBit, започнаха да пускат инструменти за дешифриране за жертвите, но възстановяването не е гарантирано.
- Въпреки смъртта на LockBit, се появяват нови групи за рансъмуер, като пет забележителни типа са готови да заемат мястото му.
През последните години LockBit беше една от най-известните банди за ransomware, изнудвайки стотици милиони долари и опустошавайки огромни количества данни в процеса.
Но сега комбинираните усилия на правоприлагащите органи значително нарушиха инфраструктурата на LockBit, свалиха уебсайта му и разкриха неговата партньорска мрежа и криптовалутни холдинги. За съжаление, това не означава, че рансъмуерът си взема почивка, тъй като има купища други типове рансъмуер, които чакат да запълнят празнината.
Какво е LockBit рансъмуер?
Рансъмуерът е един от най-лошите типове зловреден софтуер, който заключва вашата машина и изисква плащане, за да освободи данните ви невредими.
LockBit е престъпна група, която управлява, оперира и разпространява рансъмуер със същото име. Рансъмуерът LockBit е известен и е засегнал десетки хиляди фирми, организации и обикновени хора по целия свят, потенциално печелейки милиарди долари в процеса.
LockBit е особено опасен, тъй като се саморазпространява – тоест може да се разпространява сам, което го прави почти уникален сред видовете ransomware. Поради това спирането на атака на рансъмуер LockBit е изключително трудно, тъй като рансъмуерът може да идентифицира други уязвими цели без човешко взаимодействие.
Освен това групата LockBit редовно пуска актуализации за своя ransomware, добавяйки нови функции и променяйки функционалността му, отговаряйки на заплахи срещу неговата ефикасност. LockBit 3.0 беше последната голяма актуализация, стартирана през юни 2022 г.
Какво се случи с LockBit?
На 19 февруари 2024 г. правоприлагащите органи, включително ФБР, Националната агенция за борба с престъпността на Обединеното кралство и Европол, разкриха, че комбинирана операция е нарушила сериозно организацията на LockBit.
„Операция Cronos“ заключи собствениците и филиалите на LockBit (да, LockBit имаше партньорска мрежа, използваща своя рансъмуер и плащащ процент на разработчиците, използвайки рансъмуер като модел на услуга) от собствената си мрежа, сваляйки около 11 000 домейна и сървъри в процеса. Двама разработчици на LockBit също бяха арестувани, докато други потребители на LockBit също бяха арестувани като част от същата операция.
Според CISA, LockBit атаките съставляваха повече от 15 процента от всички атаки на ransomware в САЩ, Обединеното кралство, Канада, Австралия и Нова Зеландия през 2022 г., което е феноменална цифра. Но с основния административен акаунт и платформа на LockBit под контрола на властите, способността му да стартира и контролира своята мрежа е ефективно унищожена.
Кога ще станат достъпни инструментите за дешифриране на LockBit?
Движейки се бързо, някои от организациите, участващи в премахването на LockBit, вече започнаха да пускат инструменти за декриптиране на LockBit и да предоставят ключове за декриптиране на LockBit за жертвите.
- САЩ/ФБР: Свържете се с ФБР, за да получите ключове Жертви на LockBit
- UK/NCA: Свържете се с NCA, за да получите ключове чрез този имейл: [email protected]
- Други/Европол, учтив (NL) Следвайте инструкциите за декриптиране на Lockbit 3.0 на Без повече откуп
Няма гаранция, че успешно ще възстановите файлове, шифровани с LockBit, но си струва да опитате, особено след като LockBit не винаги изпраща правилния ключ за декриптиране, дори след получаване на плащане на откуп.
5 вида рансъмуер, които ще заменят LockBit
LockBit беше отговорен за огромно количество рансъмуер, но далеч не е единствената работеща група за рансъмуер. Смъртта на LockBit вероятно ще създаде краткотраен вакуум, в който да се преместят други групи за рансъмуер. Имайки това предвид, ето пет различни вида рансъмуер, за които да следите:
- ALPHV/BlackCat: Друг ransomware като модел на услуга, ALPHV/BlackCat компрометира стотици организации по целия свят. Той е особено забележителен като един от първите видове рансъмуер, написан изцяло на езика за програмиране Rust, което му помага да се насочва към хардуера както на Windows, така и на Linux.
- Cl0p: Организацията Cl0p работи поне от 2019 г. и се смята, че е изнудила над 500 милиона долара под формата на откуп. Cl0p обикновено ексфилтрира чувствителни данни, които след това се използват за натиск върху жертвите си да платят откуп, както за освобождаване на криптирани данни, така и за спиране на изтичането на чувствителни данни.
- Play/PlayCrypt: Един от по-новите видове ransomware, Play (известен също като PlayCrypt) се появи за първи път през 2022 г. и е забележителен със своето файлово разширение „.play“, използвано по време на неговите атаки на ransomware. Подобно на Cl0p, групата Play също е известна със своите тактики за двойно изнудване и използва широк спектър от уязвимости, за да разкрие своите жертви.
- Royal: Въпреки че Royal работи с рансъмуер като модел на услуга, той не споделя своята информация и код по същия начин, както другите групи за рансъмуер. Въпреки това, подобно на други групи, Royal прилага тактики за многократно изнудване, като краде данни и ги използва за изнудване на откупи.
- 8Base: 8Base внезапно се появи в средата на 2023 г. със скок в активността на рансъмуер, включващ няколко вида изнудване, заедно с тесни връзки с други големи групи за рансъмуер, като RansomHouse.
Проучване на Malwarebytes показва, че докато LockBit беше един от най-плодотворните типове рансъмуер, първите десет организации за рансъмуер са отговорни за 70 процента от всички атаки на рансъмуер. Така че, дори и без LockBit, рансъмуерът абсолютно чака време.
Напълно готов ли е LockBit Ransomware?
Колкото и невероятна да е новината за смъртта на LockBit, не, рансъмуерът LockBit не е напълно в земята. Ars Technica съобщава за нови LockBit атаки дни след свалянето и това е поради няколко причини.
Първо, въпреки че инфраструктурата на LockBit е свалена, това не означава, че кодът на ransomware не съществува. Версия на изходния код на LockBit изтече през 2022 г. и това може да доведе до новите атаки. Освен това LockBit имаше огромна мрежа, обхващаща множество страни. Докато нейната база от операции беше съсредоточена в Русия, организация с такъв размер и сложност определено има резервни копия и методи за връщане онлайн, дори ако възстановяването й отнеме малко време.
Без съмнение не сме виждали последния ransomware LockBit.