Foto: Pixabay –

U koordiniranoj međunarodnoj operaciji agencije iz 10 zemalja preuzele su kontrolu nad dark web stranicama koje koristi LockBit, jedna od najplodnijih kriminalnih grupa koja je razvila zlonamjerni softver „ransomware“ i od hiljada žrtava širom svijeta izvukla milione dolara.

Najnovija akcija signalizira dublji pristup policijskih snaga hakerskim mrežama, mada stručnjaci tvrde da su, nakon sličnih akcija posljednjih godina, grupe ransomwarea nerijetko obnavljale svoje operacije, samo pod drugim imenima, pišu svjetski mediji.

Hakiranje hakera

U međunarodnoj operaciji policijskih snaga koje predvode britanska Nacionalna agencija za kriminal (NCA) i američki FBI uhapšeno je nekoliko članova LockBit-a, jedne od najozloglašenijih kriminalnih cyber grupa, javio je Reuters.

Sjedinjene Države su optužile dvojicu ruskih državljana za postavljanje LockBit ransomwarea protiv kompanija i grupa širom svijeta, dok je policija u Poljskoj i Ukrajini uhapsila dvojicu osumnjičenih.

NCA, Ministarstvo pravde SAD, FBI i Europol okupili su se 20. februara u Londonu kako bi objavili zaustavljanje bande, koja je ciljala preko 2.000 žrtava širom svijeta, primila više od 120 miliona dolara otkupnine i tražila stotine miliona dolara.

Britanska Nacionalna agencija za borbu protiv kriminala, sa Ministarstvom pravde SAD-a, FBI-jem i drugim agencijama za provođenje zakona preuzela je kontrolu nad web stranicama koje koristi banda LockBit.

„Hakirali smo hakere“, rekao je novinarima Graeme Biggar, direktor NCA. „Preuzeli smo kontrolu nad njihovom infrastrukturom, zaplijenili njihov izvorni kod i dobili ključeve koji će pomoći žrtvama“.

On je rekao da je u operaciji nazvanoj „Cronos“, međunarodna koalicija agencija iz 10 zemalja, pored hapšenja, zaplijenila 34 LockBitovih servera, zamrznula 200 računa u kriptovalutama i zatvorila 14.000 „rouge naloga“ koji su korišteni na mreži za pokretanje LockBitovih aktivnosti.

Prije nego što je uklonjena, naglasio je Reuters, LockBitova web stranica je prikazivala sve veću galeriju organizacija žrtava koja se gotovo svakodnevno ažurirala. Pored njihovih imena nalazili su se digitalni satovi koji su pokazivali broj dana preostalih do roka koji je dat svakoj organizaciji da izvrši isplatu otkupnine.

Operacija duga godinu dana

Operacija međunarodne koalicije agencija kojom je preuzeta kontrola nad kompjuterima i softverom u srcu najplodnije svjetske grupe za ransomware, žrtvama daje nadu da neće biti prisiljene plaćati otkupninu kako bi povratile ukradene podatke iz njihovih kompjuterskih sistema, napisao je Washington Post.

Koalicija je, prema pisanju lista, koristila sajt grupe da oponaša njenu prethodnu operaciju i počela da objavljuje informacije o LockBitu, postavljajući tajmer za odbrojavanje za fajlove koji tek dolaze, uključujući i jedan sa najavom informacija o anonimnom frontmenu grupe.

„NCA i FBI agresivno troluju LockBit“, rekao je Don Smith, potpredsjednik Secureworksa, čije su analize vlasti objavile na hakerskoj stranici.

LockBitov zlonamjerni softver odgovoran je za otprilike četvrtinu svih ransomware napada u posljednje dvije godine, procjenjuje Secureworks. Vjeruje se da se LockBitom upravlja iz Rusije, iako su njegove veze s ruskom vladom, ako ih ima, neizvjesne.

U 2022. godini, to je bio najrasprostranjeniji ransomware na svijetu, ukazuje list, dodajući da je Lockbit objavio podatke ukradene od avio giganta Boeinga i uznemirio finansijska tržišta napadom na odjel za finansijske usluge velike kineske banke, ICBC. Alat je, dodaje list, također korišten i protiv britanske pošte prošle godine, poremetivši međunarodni izvoz paketa na nedelju dana.

Pogodio je brojne američke gradove, školske sisteme i okruge, uključujući i okrug Fulton u Džordžiji. Zvaničnici okruga Fulton rekli su u srijedu, 21. februara, da su neke njihove usluge, uključujući tehnologiju koja se koristi u njenom pravosudnom sistemu, ostale poremećene više od dvije sedmice nakon napada.

Zvaničnici nisu otkrili kako su uspjeli zaplijeniti lokaciju LockBita, ali jedna osoba bliska operaciji rekla je da je za to trebalo čak godinu dana, napisao je Washington Post.

S obzirom na to da grupe ransomwarea pogađaju kritičnu infrastrukturu i iznuđuju čak milijardu dolara godišnje, a mnogi djeluju unutar granica Rusije, uklanjanja uz pomoć tehnologije postala su glavni prioritet, ponekad uz pomoć obavještajnih i vojnih agencija, kao i organa za provođenje zakona.

LockBit je postao vodeća ransomware operacija dajući svojim filijalama, koji drže oko 80 posto otkupnina, neobičnu slobodu da pregovaraju sa svojim metama i sami objave ukradene podatke. Druge ransomware bande obavljaju takve poslove u ime hakera. Ta dublja saradnja između LockBita i podružnica možda je pomogla istražiteljima da prodru u mrežu, napisao je list.

Igra mačke i miša

LockBit i njegove podružnice nanijeli su milijarde dolara štete i izvukli desetine miliona u otkupninu od svojih žrtava. Njihov ransomware je korišten protiv širokog spektra ciljeva, od malih poduzeća i pojedinaca do velikih korporacija, pošte pa čak i dječje bolnice, ističe Agencija France-Presse.

LockBit ransomware, poznat kao „Ransomware as a Service“ ili RaaS, prvi put je primijećen 2020. godine i zaradio je novac putem plaćanja unaprijed i pretplate za softver, ili od dijela otkupnine, prema Američkoj agenciji za cyber sigurnost i sigurnost infrastrukture (CISA).

Potencijalno ogromne isplate ohrabrile su cyber kriminalce. „Preplavljen novcem, ekosistem ransomwarea je napredovao 2023. i nastavio da razvija svoje taktike“, navodi kompanija za cyber sigurnost MalwareBytes u izvještaju objavljenom ovog mjeseca.

LockBit je privukao i pažnju policijskih snaga naročito nakon napada na kanadsku bolnicu za bolesnu djecu u Torontu 2022., poremetivši rezultate laboratorija i snimanja. LockBit se navodno izvinio za taj napad.

„Iako su programeri LockBita stvorili pravila koja propisuju da se njihov ransomware neće koristiti protiv kritične infrastrukture, jasno je da podružnice LockBita uglavnom zanemaruju ova pravila“, napisala je Stacey Cook, analitičarka firme za cyber sigurnost Dragos, u izvještaju objavljenom prošle godine.

Sve veća vidljivost LockBita i sve češći napadi njegovih podružnica značili su da su policijske agencije pojačale svoje napore da, kako ističe AFP, osvoje ovu igru mačke i miša.

Britanska NCA je saopštila da je najnovija akcija kompromitovala LockBitov „cijeli zločinački poduhvat“, dok stručnjaci smatraju da ovo možda jeste „kraj LockBita kao brenda“, ali da bi se njihove operacije mogle nastaviti, samo pod drugim imenom.

Značajan, iako kratkotrajan uticaj

Najnovija akcija međunarodnih agencija sugeriše njihovu dugotrajnu infiltraciju unutar LockBita, koja je omogućila policiji da dođe do hakerskog „izvornog koda“ i signalizira dublji pristup snaga za provođenje zakona hakerskim mrežama. Ipak, ističe CNN, najnovija zapljena dark web stranice može prisiliti cyber kriminalce da postave novu kompjutersku infrastrukturu za ucjenjivanje žrtava.

Analitičari vjeruju da LockBit ima članove ili kriminalne partnere u istočnoj Evropi, Rusiji i Kini, dok je njihov ransomware bio vrlo raširen u posljednjih godinu dana, daleko nadmašujući druge varijante ransomwarea.

Državni i privatni istražitelji širom svijeta pomno će proučavati LockBitove sljedeće poteze, naglasio je CNN.

Dobro finansirane grupe ransomwarea često ponovo izgrađuju svoju kompjutersku infrastrukturu nakon poremećaja u provođenju zakona i nerijetko preimenuju svoje alate za hakiranje u nastojanju da ograniče štetu po ugledu u kriminalnom podzemlju.

Mada je u dosadašnjim operacijama došlo do značajnih hapšenja i zapljene miliona dolara vrijednih otkupnina, ekonomija ransomwarea i dalje napreduje, ukazuje CNN dodajući da su cyberkriminalci prošle godine iznudili rekordnih 1,1 milijardu dolara otkupnine od žrtava širom svijeta uprkos naporima američke vlade da im prekine protok novca.

„Malo je vjerovatno da će glavni članovi LockBita biti uhapšeni u sklopu ove operacije, budući da se nalaze u Rusiji“, rekao je za CNN Allan Liska, stručnjak za cyber sigurnost.

Bez obzira na to, rekao je, zapljena LockBitove web stranice od strane policijskih organa „znači da će postojati značajan, iako kratkotrajan, uticaj na ekosistem ransomwarea i usporavanje napada“.