Международна операция разби водеща хакерска група, нова изгрява от Русия
Lockbit е имала 25% дял от пазара на криптовируси, Winter Vivern таргетира критична национална инфраструктура
Lockbit, известна група за киберпрестъпления, която използва т.нар. криптовируси и заключва данните на жертвите си за откуп, е била разбита в рамките на рядко срещана по мащаба си международна операция на правоприлагащите органи на САЩ и Обединеното кралство.
Операцията е проведена от Националната агенция за борба с престъпността на Великобритания (NCA), Федералното бюро за разследване на САЩ, Европол и коалиция от международни полицейски агенции, се посочва в публикация на уебсайта на хакерската група, цитирана от Reuters.
"Този сайт вече е под контрола на Националната агенция за борба с престъпността на Обединеното кралство, която работи в тясно сътрудничество с ФБР и международната работна група на правоприлагащите органи "Операция Кронос", се казва в поста.
От NCA и Министерството на правосъдието на САЩ потвърждават, че са разбили бандата и добавят, че операцията "продължава и се развива".
Длъжностни лица в САЩ, където Lockbit е поразил повече от 1700 организации в почти всички отрасли - от финансовите услуги и хранително-вкусовата промишленост до училищата, транспорта и държавните ведомства, определят групата като източник на най-голямата заплаха, свързана с криптовирусите, в света.
Потърсени от Reuters за коментар през приложение за криптирани съобщения, от Lockbit казват, че имат резервни сървъри, които не са засегнати от действията на правоприлагащите органи.
През последните месеци Lockbit и нейните филиали са хакнали някои от най-големите световни организации. Бандата печели пари, като краде поверителни данни и заплашва да ги изнесе, ако жертвите не платят откуп. Филиалите на организацията са изградени от нейни съмишленици от престъпни групи, които Lockbit набира, за да извършват атаки, използвайки нейните инструменти.
Криптовирусите представляват злонамерен софтуер, който криптира данни, а Lockbit печели пари, като принуждава жертвите да платят за декриптиране или отключване на тези данни с цифров ключ.
През миналата година плащанията на откупи в криптовалута са достигнали рекордните 1,1 милиарда долара
Съществуването на тази хакерска група е разкрито през 2020 г., когато едноименният зловреден софтуер е намерен в рускоезични форуми за киберпрестъпления, което кара много анализатори по сигурността да смятат, че бандата е базирана в Русия.
Тя обаче не е декларирала подкрепа за нито едно правителство и нито едно правителство не я е причислило официално към своите инструменти. На вече несъществуващия си сайт в тъмната мрежа групата заявява, „че се намира в Нидерландия, че е напълно аполитична и се интересува само от пари".
"Те са Walmart на групите за откуп, управляват го като бизнес - това ги прави различни", казва Джон ДиМаджо, главен стратег по сигурността в Analyst1, базирана в САЩ компания за киберсигурност. "Те вероятно са най-голямата група за рансъмуер днес."
През ноември миналата година Lockbit публикува вътрешни данни от Boeing, един от най-големите изпълнители на отбранителни и космически проекти в света. В началото на 2023 г. британската Кралска поща беше изправена пред сериозни смущения след атака на групата.
„Изключително значима“
Според vx-underground, уебсайт за изследвания в областта на киберсигурността, Lockbit е коментирала в изявление на руски език, споделено в Tox, приложение за криптирани съобщения, че ФБР е ударило нейните сървъри, които работят на програмния език PHP.
В X, известна преди като Twitter, vx-underground споделя скрийншоти, показващи, че контролният панел, използван от филиалите на Lockbit за извършване на атаки, е заменен със съобщение от правоприлагащите органи: "Разполагаме с изходен код, подробности за жертвите, които сте атакували, размера на исканите откупи, откраднатите данни, чатове и много, много още. Възможно е съвсем скоро да се свържем с вас. Желая ви приятен ден".
Преди да бъде свален, уебсайтът на Lockbit показваше постоянно нарастваща галерия от организации-жертви, която се актуализираше почти ежедневно. До имената им имаше цифрови часовници, които показваха броя на дните, оставащи до крайния срок, даден на всяка от тях за предоставяне на откупа.
Дон Смит, вицепрезидент на Secureworks, подразделение на Dell Technologies, също е категоричен, че Lockbit е „най-плодовитият и доминиращ оператор на криптовируси на силно конкурентния подземен пазар“.
"Lockbit е имала 25% дял от пазара на криптовируси. Най-близкият им съперник е Blackcat с около 8,5%, а след това той наистина започва да се фрагментира", казва Смит. „Те превъзхождаха с много всички останали групи и днешното действие е от голямо значение."
Нова руска група атакува критичната инфраструктура на Запада
Тази добра новина от полето на киберсигурността обаче беше помрачена от друга – нова руска хакерска група, известна като Winter Vivern и открита през октомври, започва да изгрява на сцената. Тя е ориентирала дейноста си към цяла Европа, а броят на жертвите ѝ започва да става ясен в момента.
Winter Vivern е насочена главно към правителствена, военна и национална инфраструктура в Грузия, Полша и Украйна, сочи доклад на Recorded Future, в който се посочват и допълнителни цели, сред които посолството на Иран в Москва, посолството на Иран в Нидерландия и посолството на Грузия в Швеция.
Използвайки сложни техники за социално инженерство, APT (известна още като TAG-70, TA473 и UAC-0114) е използвала zero day експлойт в платформата Roundcube, за да получи неоторизиран достъп до целеви сървъри на поне 80 отделни организации, вариращи от транспортния и образователния сектор до организации за химически и биологични изследвания.
Смята се, че кампанията е била разгърната с цел събиране на разузнавателна информация за европейските политически и военни дела, потенциално с цел получаване на стратегически предимства или подкопаване на европейската сигурност и съюзи, твърдят авторите на доклада.
Групата е заподозряна и в провеждането на кампании за кибершпионаж, обслужващи интересите на Беларус и Русия, и е активна поне от декември 2020 г.
За разлика от Lockbit, Winter Vivern има геополитически мотиви за кибершпионаж. Октомврийската ѝ кампания например е свързана с предишна дейност на TAG-70 срещу правителствени пощенски сървъри в Узбекистан, за които е съобщено за първи път през февруари 2023 г. Очевидна мотивация за насочването към Украйна пък е войната с Русия.
"В контекста на продължаващата война в Украйна компрометираните имейл сървъри могат да разкрият чувствителна информация относно военните усилия и планирането на Киев, нейните взаимоотношения и преговори с държавите партньори, тъй като тя търси допълнителна военна и икономическа помощ. Те могат да разкрият и трети страни, сътрудничещи с украинското правителство в частен план, както и пукнатини в коалицията, подкрепяща Украйна", се отбелязва в доклада.
Същевременно съсредоточаването върху иранските посолства в Русия и Нидерландия може да е свързано с мотива да се оценят текущите дипломатически ангажименти и външнополитически позиции на Иран, особено като се има предвид подкрепата на Техеран за Москва.
По подобен начин шпионажът, насочен към грузинското посолство в Швеция и грузинското министерство на отбраната, вероятно произтича от сходни външнополитически цели, особено след като Грузия съживи стремежа си към членство в Европейския съюз и присъединяване към НАТО след нахлуването на Русия в Украйна в началото на 2022 г.
Други забележителни цели включват организации, участващи в логистичната и транспортната индустрия, което е показателно с оглед на украинския контекст, тъй като стабилните логистични мрежи се оказаха от решаващо значение и за двете страни за поддържане на способността им да воюват.