Госдеп объявляет о предложении вознаграждения как бы до $10 млн за информацию, ведущую к аресту и/или осуждению гражданина России Дмитрия Юрьевича Хорошева. Теперь против Хорошева введены санкции, а за любую информацию, которая приведет к аресту любого члена LockBit Государственным департаментом США объявлена награда в пять миллионов долларов. Вдвое больше получат те, кто предоставит информацию, позволяющую идентифицировать других руководителей группировки. Лидером и основателем одной из крупнейших группировок «русских хакеров» LockBit считается гражданин России Дмитрий Хорошев (выбрана красивая, правильная фамилия). Об этом заявили в Министерстве юстиции США. Ему также предъявили заочные обвинения по 26 пунктам.
Согласно обвинениям, Хорошев создал и почти пять лет руководил группой хакеров-вымогателей LockBit, которые атаковали свыше 2,5 тысячи жертв в 120 странах и получили в качестве выкупа не меньше полумиллиарда долларов.
Санкции против Дмитрия Хорошева 7 мая ввели, кроме США, Великобритания и Австралия.
По данным американских властей, с участием LockBit было совершено более 1,4 тыс. кибератак — от своих жертв хакеры получили сотни миллионов долларов в
биткойнах.
В Вашингтоне предполагают, что зарегистрированный в Воронеже Хорошев, скрывая свое имя под ником LockBitSupp, создал группировку примерно в сентябре 2019 года и до сих пор управляет как самой LockBit, так и разработкой новых версий одноименной программы-вымогателя. В их числе — частные лица, малые предприятия, транснациональные корпорации, больницы, школы, некоммерческие организации, критически важная инфраструктура, а также государственные и правоохранительные органы.
В Минюсте подсчитали, что в качестве выкупа группировка получила от своих жертв не менее 500 миллионов долларов, а нанесенных действиями LockBit ущерб оценивается в миллиарды долларов.
При этом человек, скрывающийся под ником LockBitSupp, широко известный в русскоязычном сегменте даркнета, уже прокомментировал заявления американского Минюста для ФБР блефует, он — «не Димон», а обвиненного Хорошева ему жаль.
Ранее правительство США назначило награду в размере до 15 миллионов долларов за информацию о хакерах из группировки LockBit. Тогда уточнялось, что им с января 2020 года удалось совершить более двух тысяч кибератак в США и по всему миру, которые привели к утечке и уничтожению конфиденциальной информации.
Шифровальщик LockBit – это вредоносное программное обеспечение, блокирующее доступ к компьютерным системам и требующее от пользователя выкуп за восстановление данных. LockBit автоматически отыскивает подходящую жертву, распространяется по сети и зашифровывает все данные на зараженных устройствах. Шифровальщик применяется в целевых атаках против крупных предприятий и других организаций. Используя это самоуправляемое вредоносное ПО, злоумышленники атакуют компании по всему миру, нанося им ущерб, связанный с одной из причин:
Остановка работы из-за внезапного отказа важнейших функций.
Вымогательство с целью получения финансовой выгоды.
Кража данных и угроза их публикации в случае невыполнения жертвой поставленных требований.
Что представляет собой шифровальщик LockBit?
LockBit – это новый участник продолжительной серии вымогательских кибератак. Программа, ранее известная как шифровальщик ABCD, выросла в уникального представителя вымогательского ПО. LockBit представляет собой подкласс программ-вымогателей, именуемых «криптовирусами», поскольку злоумышленники требуют выкуп за восстановление зашифрованных данных. Как правило, жертвами атак этой вредоносной программы становятся не отдельные люди, а крупные компании и правительственные организации.
Атаки LockBit начались в сентябре 2019 года,. Тогда шифровальщик получил название ABCD. Оно было взято из расширения, которое LockBit присваивал зашифрованным файлам, – .abcd. Жертвами злоумышленников в прошлом уже становились организации из США, Китая, Индии, Индонезии и Украины, а также из нескольких европейских стран, в частности Франции, Великобритании и Германии.
Идеальная жертва – та, которой выгоднее будет заплатить вымогателям кругленькую сумму, чем терпеть ущерб от атаки, и у которой эта сумма есть. Поэтому злоумышленники атакуют преимущественно крупные предприятия – от медицинских организаций до финансовых учреждений. При этом, судя по предусмотренным в нем автоматическим проверкам, шифровальщик избегает атак на устройства, расположенные в России или другой стране СНГ. Скорее всего, злоумышленники не хотят быть привлечены к ответственности в этих странах.
LockBit работает по схеме «шифровальщик как услуга» (RaaS). Клиенты вносят залог, заказывают атаку и получают прибыль по «партнерской программе». Им причитается до 75% от суммы выкупа, остальное достается разработчикам LockBit.
Как работает шифровальщик LockBit?
LockBit относят к семейству шифровальщиков LockerGoga и MegaCortex. Это означает, что он использует те же модели поведения, что и перечисленные виды целевых шифровальщиков. Если говорить кратко, мы считаем, что эти вредоносные программы:
автоматически распространяются внутри организации и не требуют ручного управления;
являются целевыми , а не рассылаются наугад, как спамерское вредоносное ПО;
используют однотипные инструменты для распространения, такие как Windows Powershell и Server Message Block (SMB).
Самая важная характеристика этих шифровальщиков – их способность распространяться самостоятельно. LockBit управляется заранее заданными автоматическими процессами. Это и отличает его от большинства подобных атак, которые после проникновения в сеть управляются вручную. В этом случае на наблюдение и сбор информации о жертве могут уйти недели.
После того как злоумышленник вручную заражает один хост, он может обнаружить другие доступные хосты, подключить их к зараженному и с помощью скрипта распространить вредоносную программу. В случае LockBit действия совершаются и повторяются без какого-либо вмешательства человека.
Кроме того, инструменты в атаке используются по шаблонам, характерным почти для всех систем Windows. Системам защиты рабочих мест такую вредоносную активность обнаружить очень сложно. Исполняемые файлы шифровальщика маскируются под изображения в формате .PNG, что также обманывает системы безопасности.
Этапы атак типа LockBit
Атаки LockBit можно разделить на три этапа:
Эксплуатация
Этап 1. Эксплуатация слабых мест сети. Начинается все, как и при большинстве других атак. Кто-то из сотрудников организации ведется на приемы социальной инженерии, такие как фишинг, в ходе которого злоумышленник прикидывается доверенным лицом или начальством и запрашивает у жертвы учетные данные. Злоумышленники также могут получить доступ к внутренним серверам и системам организации с помощью подбора пароля. Если сеть сконфигурирована ненадлежащим образом, злоумышленникам понадобится всего несколько дней, чтобы в нее проникнуть.
Поле того как LockBit попадет в сеть, он готовится шифровать все доступные устройства. Но перед финальным броском злоумышленник может выполнить пару дополнительных шагов.
Этап 2. Внедрение вглубь системы для завершения настройки атаки (при необходимости). Начиная с этого этапа программа LockBit действует автономно. Она запрограммирована на использование так называемых инструментов постэксплуатации, которые позволяют повысить привилегии для получения уровня доступа, необходимого для успешной атаки, а также пользуется уже открытым в ходе горизонтального перемещения доступом, чтобы собрать информацию о перспективности жертвы.
Именно на этом этапе LockBit выполняет все подготовительные действия перед началом шифрования, в частности, отключает защиту и другие элементы инфраструктуры, которые могут позволить восстановить систему.
Цель внедрения — сделать невозможным или очень долгим самостоятельное восстановление систем, чтобы мотивировать жертву заплатить выкуп. Обычно организация готова пойти на сделку со злоумышленниками, когда уже отчаялась вернуться к нормальной работе своими силами.
Этап 3. Развертывание шифрующей полезной нагрузки. Как только LockBit завершит подготовку, шифровальщик начинает распространяться по всем машинам, до которых может дотянуться. Как уже было сказано, LockBit немногое нужно, чтобы завершить этот этап. Один элемент системы с высоким уровнем доступа может отдать другим элементам команду скачать и запустить LockBit.
После этого все файлы системы будут зашифрованы. Жертва может получить к ним доступ только с помощью индивидуального ключа, сгенерированного собственным декриптором LockBit. В процессе шифрования в каждой папке системы размещается простой текстовый файл с информацией о выкупе. В таких файлах содержатся инструкции по восстановлению системы, а в некоторых версиях LockBit встречаются и угрозы шантажа.
После того как все три этапа были завершены, дальнейшие шаги зависят от самой жертвы. Жертва может связаться со службой поддержки LockBit и заплатить выкуп. Однако подчиняться требованиям злоумышленников не рекомендуется, ведь у жертвы нет никакой гарантии, что вымогатели выполнят свои обещания, когда получат деньги.
Варианты LockBit
Угрозы этого типа могут представлять серьезную проблему, так как появились они совсем недавно. Мы не можем исключить возможность их распространения по разным отраслям и организациям, особенно учитывая всеобщий переход на удаленную работу. Определение варианта LockBit поможет вам понять, с чем именно вы имеете дело.
Вариант 1 – расширение .abcd
Оригинальная версия LockBit присваивает файлам расширение .abcd. Также программа добавляет в каждую папку текстовый файл Restore-My-Files.txt, содержащий требования злоумышленников и инструкции по восстановлению системы.
Вариант 2 – расширение LockBit
Вторая известная версия шифровальщика меняет расширение файлов на .LockBit, которое и дало ему нынешнее название. Однако в остальном этот вариант почти не отличается от предыдущего с точки зрения жертвы. В нем только немного изменился бэкенд.
Вариант 3 – LockBit, версия 2
Эта версия LockBit больше не просит скачать браузер Tor для выполнения требований злоумышленников. Вместо этого жертву перенаправляют на веб-сайт в обычном интернете.
Регулярные обновления и изменения LockBit
Недавно в LockBit добавили еще несколько вредоносных функций, таких как блокировка контрольных точек для действий с администраторскими правами. Теперь LockBit отключает уведомления, которые пользователи видят, когда программа пытается запуститься от имени администратора.
Кроме того, вредоносное ПО теперь настроено на кражу копий данных с сервера, а в текстовый файл с требованием выкупа злоумышленники добавили несколько строк шантажа. Если жертва не будет следовать инструкциям, LockBit угрожает опубликовать ее данные.
Удаление LockBit и расшифровка данных
Учитывая количество проблем, к которым может привести заражение LockBit, конечные устройства по всей организации необходимо обеспечить защитой, соответствующей самым строгим стандартам. Первым делом стоит приобрести комплексное решение для защиты рабочих мест, такое какKaspersky Integrated Endpoint Security.
Если ваша организация уже стала жертвой шифровальщика, простое удаление LockBit не вернет вам доступ к файлам. Вам по-прежнему понадобится инструмент восстановления, так как для расшифровки файлов нужен соответствующий «ключ». Кроме того, если незадолго до атаки вы сохранили резервную копию образа своей системы, восстановиться можно из него.
Как защититься от шифровальщика LockBit
Безусловно, необходимо внедрить в систему вашей организации защитные меры, которые помогут ей эффективнее сопротивляться атакам шифровальщиков и другого вредоносного ПО и обнаруживать заражение на ранней стадии. Вот несколько советов, которые помогут вам укрепить вашу систему защиты.
Необходимо использовать надежные пароли. Значительная часть инцидентов происходит из-за слишком простых паролей, то есть паролей, которые легко подобрать с помощью специальной программы. Убедитесь, что используете надежный пароль, состоящий из длинного набора разнообразных символов, и используйте парольные фразы, придуманные по собственным правилам.
Не забывайте про многофакторную аутентификацию. Защититься от атак путем подбора пароля можно, добавив дополнительные слои защиты. Внедрите такие инструменты, как биометрическаяаутентификация или физический USB-ключ там, где это возможно.
Пересмотрите права пользователей и ограничьте их. Ограничьте разрешения, чтобы снизить риск распространения потенциальной угрозы. Уделяйте особое внимание системам, к которым имеют доступ пользователи конечных устройств и сотрудники IT-службы с правами администратора. Нужно защитить все – интернет-домены, платформы для совместной работы, сервисы для проведения онлайн-собраний и корпоративные базы данных.
Избавьтесь от старых и неиспользуемых учетных записей. Старые системы могут хранить учетные записи бывших сотрудников, которые по какой-то причине не были деактивированы или удалены. Проверка системы должна включать в себя удаление таких аккаунтов.
Убедитесь, что конфигурации системы соответствуют всем требованиям безопасности. Проверка существующих конфигураций может занять какое-то время, но она может помочь вам обнаружить новые проблемы и устаревшие политики, которые делают вашу компанию уязвимой. Стандартные процедуры работы необходимо периодически пересматривать, чтобы поддерживать их актуальность для борьбы с новыми киберугрозами.
Всегда держите под рукой резервные копии всей системы и чистые образы локальных машин. Инцидентов не избежать. Единственной настоящей защитой от потери данных является создание копии на физическом носителе. Организация должна регулярно делать резервные копии, содержащие все важные изменения систем. На случай, если резервная копия окажется заражена вредоносным ПО, стоит иметь несколько бэкапов, которые обновляются в разное время, чтобы у вас всегда была возможность выбрать чистую копию системы для восстановления.
Используйте комплексное корпоративное решение для кибербезопасности. Шифровальщик LockBit может попытаться отключить защиту, как только попадет на устройство, но корпоративное решение, работающее в режиме реального времени, перехватит вредоносные файлы на стадии загрузки на всех устройствах организации. Узнайте больше о решениях «Лаборатории Касперского» для защиты крупных предприятий.
Программное обеспечение LockBit, написанное на языках программирования C и C++ до .NET использовался для LockBit-NG-Dev, разрабатываемого на момент демонтажа в 2024 году,[8] получает первоначальный доступ к компьютерным системам, используя приобретенный доступ, не исправленные уязвимости, инсайдерский доступ и эксплойты нулевого дня, таким же образом, как и другие вредоносные программы. Затем LockBit берет под контроль зараженную систему, собирает сетевую информацию, а также крадет и шифрует данные. Затем к жертве предъявляются требования заплатить выкуп за расшифровку ее данных, чтобы они снова стали доступны, а к преступникам - удалить их копию с угрозой обнародования данных в противном случае.[10] (Хотя данные не публикуются, если выкуп выплачен, когда правоохранительные органы закрыли LockBit, было обнаружено, что они не были удалены.[11])
LockBit привлекла внимание благодаря созданию и использованию вредоносного ПО под названием "StealBit", которое автоматизирует передачу данных злоумышленнику. Этот инструмент был представлен с выпуском LockBit 2.0, который обладает быстрыми и эффективными возможностями шифрования. Чтобы расширить свой охват, LockBit также выпустила Linux-ESXI Locker версии 1.0, ориентированную на Linux хосты, в частности на серверы VMware ESXi.[1]
LockBit набирает партнеров и развивает партнерские отношения с другими преступными группировками. Они нанимают брокеров по доступу к сети, сотрудничают с такими организациями, как Maze, и вербуют инсайдеров из целевых компаний. Чтобы привлечь талантливых хакеров, они спонсировали подпольные конкурсы технического письма.[1]
LockBit нацелен на различные отрасли по всему миру, однако наибольшими жертвами являются сектора здравоохранения и образования. Согласно Trend Micro, с точки зрения попыток атак, Соединенные Штаты, Индия и Бразилия являются странами, подвергшимися наибольшим атакам.[1]
LockBit эффективны и адаптируемы: они подчеркивают скорость своего вредоносного ПО и его возможности привлекать жертв. При выборе потенциальных жертв они учитывают внешние факторы, такие как законы о конфиденциальности данных. Успех LockBit также во многом зависит от их партнерской программы, которая помогает им внедрять инновации и конкурировать на рынке программ-вымогателей.[1]
На своем сайте в dark web компания LockBit заявила, что она "расположена в Нидерландах, полностью аполитична и интересуется только деньгами".[12]
Методы и тактика
Операторы LockBit часто получают первоначальный доступ, используя уязвимые серверы протокола удаленного рабочего стола (RDP) или скомпрометированные учетные данные, приобретенные у аффилированных лиц. Первоначальные векторы доступа также включают фишинговые электронные письма с вредоносными вложениями или ссылками, перебор слабых паролей RDP или VPN и использование уязвимостей, таких как CVE-2018-13379 в Fortinet VPN.[1]
После установки программа-вымогатель LockBit часто запускается в Microsoft Windows с помощью аргументов командной строки, запланированных задач или сценариев PowerShell, таких как PowerShell Empire. LockBit использует такие инструменты, как Mimikatz, GMER, Process Hacker и редактирование реестра, для сбора учетных данных, отключения продуктов безопасности и обхода средств защиты. Он перечисляет сетевые подключения для идентификации важных объектов, таких как контроллеры домена, с помощью сканеров, таких как Advanced Port Scanner.[1]
Для бокового перемещения LockBit распространяется через соединения SMB обмена файлами внутри сетей, используя учетные данные, собранные ранее. Другие методы бокового перемещения включают распространение с помощью скомпрометированных объектов групповой политики или с использованием таких инструментов, как PsExec или Cobalt Strike.[1]
Полезная нагрузка программы-вымогателя LockBit шифрует файлы и общие сетевые ресурсы, используя AES и RSA-шифрование. Он шифрует только первые несколько килобайт каждого файла для более быстрой обработки и добавляет расширение ".lockbit". Затем LockBit заменяет обои рабочего стола запиской с требованием выкупа; он также может печатать записки с требованием выкупа на подключенных принтерах. Цель состоит в том, чтобы вымогать выплату выкупа, чтобы обратить вспять сбой в работе системы и восстановить доступ к файлам.[1]
История
Вредоносная программа Lockbit ранее была известна как ".abcd" по имени расширения файла, которое было добавлено к зашифрованным файлам, поскольку они стали недоступны.[13]
Локбит впервые был замечен в сентябре 2019 года.[14]
LockBit 2.0
LockBit 2.0 появился в 2021 году[14] и попал в центр внимания благодаря их атаке на Accenture в том же году, когда инсайдер, вероятно, помог группе войти в сеть. LockBit опубликовала некоторые данные, украденные в ходе этой атаки.[15][1]
В январе 2022 года компания по производству электроники Thales стала одной из жертв Lockbit 2.0.[16]
В июле 2022 года были атакованы административные и управленческие службы La Poste Mobile.[17]
В сентябре 2022 года хакеры группы заявили о кибератаках на 28 организаций, в 12 из которых участвовали французские организации.[18] Среди них больница Корбей Эссонн подверглась нападению с требованием выкупа в размере 10 миллионов долларов США.[19]
В октябре 2022 года группа Lockbit взяла на себя ответственность за атаку на Pendragon PLC, группу автомобильных ритейлеров в Великобритании, потребовав выкуп в размере 60 миллионов долларов США за расшифровку файлов и недопущение их утечки; компания заявила, что отклонила это требование.[20]
31 октября 2022 года хакерская группа Lockbit заявила, что атаковала Thales Group во второй раз, и не требовала выкупа, но заявила, что данные будут обнародованы. Группа хакеров предложила помощь клиентам Thales, пострадавшим от кражи, чтобы подать жалобу на Thales, группу, "которая в значительной степени игнорировала правила конфиденциальности".[21] 10 ноября 2022 года группа LockBit 3.0 опубликовала в даркнете архив объемом 9,5 ГБ с украденной информацией о контрактах Thales в Италии и Малайзии.[22][23]
В ноябре 2022 года OEHC - офис гидравлического оборудования Corse - стал жертвой кибератаки, в результате которой были зашифрованы компьютерные данные компании. Группа хакеров предъявила требование о выкупе, на которое OEHC не ответила.[24]
In December 2022, the Lockbit hacker group claimed responsibility for the attack on the California Finance Administration. The governor's office acknowledged being the victim of an attack, without specifying its scale. Lockbit claims to have stolen 246,000 files with a total size of 75.3 GB.[25]
In December 2022, the hacker group claimed to have attacked the port of Lisbon. The ransom was set at US$1.5 million, to be paid by January 18, 2023.[26]
On December 18, 2022, a group of hackers attacked Toronto's Hospital for Sick Children. After realizing their blunder, the hacker group stopped the attack, apologized and offered a free solution to recover the encrypted files.[27]
LockBit 3.0
В конце июня 2022 года группа запустила "LockBit 3.0", последнюю версию своей программы-вымогателя, после двух месяцев бета-тестирования. Примечательно, что группа представила программу вознаграждения за ошибки, первую в своем роде в сфере операций с программами-вымогателями. Они пригласили исследователей безопасности протестировать их программное обеспечение для повышения безопасности, предложив значительное денежное вознаграждение в размере от US $1000 до 1 миллиона долларов.[1]
В августе 2022 года немецкий производитель оборудования Continental подвергся атаке программы-вымогателя Lockbit. В ноябре 2022 года, не получив ответа на требование выкупа, группа хакеров опубликовала часть украденных данных и предложила доступ ко всем им за 50 миллионов евро. Среди украденных данных - личная жизнь сотрудников Группы, а также обмены с немецкими автопроизводителями. Помимо кражи данных, опасность заключается в открытии пути к промышленному шпионажу. Действительно, среди обменов с Volkswagen есть ИТ-аспекты, от автоматизированного вождения до развлечений, в которые Volkswagen хотел инвестировать Continental.[28]
В ноябре 2022 года Министерство юстиции США объявило об аресте Михаила Васильева, имеющего двойное гражданство России и Канады, в связи с кампанией вымогателей LockBit. Согласно обвинениям, Васильев якобы вступил в сговор с другими участниками LockBit, программы-вымогателя, которая использовалась в более чем 1000 атаках по всему миру по состоянию на ноябрь 2022 года. Согласно сообщениям, операторы LockBit выдвинули требования о выкупе на сумму не менее 100 миллионов долларов, из которых десятки миллионов были выплачены жертвами. Арест последовал за 2,5-летним расследованием Министерством юстиции группы программ-вымогателей LockBit.[29]
В январе 2023 года группа хакеров заявила, что атаковала французскую компанию по производству предметов роскоши Nuxe[30] и французскую группу частных клиник ELSAN. Группа хакеров похитила 821 ГБ данных из штаб-квартиры компании.[31] В том же месяце международные экспортные услуги Royal Mail были серьезно нарушены в результате атаки программы-вымогателя Lockbit.[32][33]
В феврале 2023 года группа взяла на себя ответственность за нападение на Indigo Books and Music, сеть канадских книжных магазинов.[34]
В марте 2023 года группа взяла на себя ответственность за нападение на BRL Group [fr], специалиста по водоснабжению во Франции.[35]
16 мая 2023 года группа хакеров взяла на себя ответственность за атаку на гонконгский филиал китайской газеты China Daily. Это первый случай, когда группа хакеров атаковала китайскую компанию. Lockbit не атакует российские организации и избегает нападений на российских союзников.[36]
В мае 2023 года хакерская группировка взяла на себя ответственность за атаку на fr: Voyageurs du Monde. Группа хакеров украла около 10 000 документов, удостоверяющих личность, из файлов клиентов компании.[37]
В июне 2023 года Министерство юстиции США объявило о возбуждении уголовного дела против Руслана Магомедовича Астамирова, гражданина России, за его предполагаемое участие в кампании вымогателей LockBit в качестве аффилированного лица. В обвинениях утверждается, что Астамиров непосредственно выполнил по меньшей мере пять атак программ-вымогателей против жертв и получил часть платежей за выкуп в биткоинах.[38]
В конце июня 2023 года группа TSMC стала жертвой атаки программ-вымогателей через одного из своих поставщиков. LockBit потребовала выкуп в размере 70 миллионов долларов.[39]
В июле 2023 года Lockbit атаковала порт Нагоя в Японии, который обслуживает 10% товарооборота страны. Атака вынудила прекратить контейнерные перевозки.[40] В октябре 2023 года Lockbit заявила, что украла конфиденциальные данные у Boeing.[41] Несколько дней спустя Boeing признал, что им было известно о киберинциденте, затронувшем некоторые их запчасти и дистрибьюторский бизнес, хотя это не повлияло на безопасность полетов; они не назвали предполагаемых злоумышленников.[42]
В ноябре 2023 года Lockbit атаковал американскую дочернюю компанию китайского государственного промышленно-коммерческого банка Китая.[43] Bloomberg сообщил, что американское подразделение ICBC в то время считалось крупнейшим кредитором в мире по размеру активов.[44]
В ноябре 2023 года Lockbit опубликовала в Интернете внутренние данные, которые группа месяцем ранее украла у Boeing.[45]
В ноябре 2023 года банда Локбит напала на Чикагскую торговую компанию и Alphadyne Asset Management. Bloomberg сообщил, что CTC был взломан в октябре и что за предыдущий год Lockbit "стала самой плодовитой группой программ-вымогателей в мире". По сообщениям, с 2020 года она провела 1700 атак и вымогала 91 миллион долларов, по данным Агентства кибербезопасности и инфраструктуры США.[46] The Register сообщила в конце ноября 2023 года, что LockBit сталкивается с растущим внутренним разочарованием и что ее лидеры пересматривают некоторые методы ведения переговоров с жертвами в ответ на достигнутую низкую заработную плату.[47]
В январе 2024 года банда Lockbit атаковала компьютеры округа Фултон.[48][49] В следующем месяце округ опубликовал заявление о нападении, в котором говорилось, что они не платили выкуп, что это не было связано с избирательным процессом, им не было известно о каком-либо извлечении конфиденциальной информации о гражданах или сотрудниках.[48][49]
LockBit-NG-Dev (LockBit 4?)
Когда сервер LockBit был закрыт правоохранительными органами в феврале 2024 года, было обнаружено, что новая версия LockBit-NG-Dev, которая, вероятно, будет выпущена как LockBit 4.0, находилась в стадии продвинутой разработки;[50] Trend Micro опубликовала подробный отчет об этом.[51]
Изъятие правоохранительными органами в 2024 году
19 февраля 2024 года Национальное агентство по борьбе с преступностью в сотрудничестве с Европолом и другими международными правоохранительными органами захватило контроль над веб-сайтами даркнета, принадлежащими банде вымогателей LockBit, в рамках операции Cronos.[52][53][54][6][7] В непроверенном отчете говорится, что Lockbit заявила, что ее серверы, работающие на языке программирования PHP, были повреждены, но что у нее были резервные серверы без PHP, которые "не были затронуты".[12] Один человек был арестован в Украине, один в Польше и двое в Соединенных Штатах. Также были названы имена двух россиян, но они не были арестованы. По словам Грэма Биггара, генерального директора Национального агентства по борьбе с преступностью, правоохранительные органы "взяли под контроль их инфраструктуру, изъяли их исходный код и получили ключи, которые помогут жертвам расшифровывать их системы".[11] Дешифратор для LockBit 3.0 был создан с использованием изъятых ключей и выпущен для бесплатного использования за больше никакого выкупа.[55]
После удаления правоохранительные органы разместили информацию о группе на ее темном веб-сайте, в том числе о том, что у нее было по меньшей мере 188 аффилированных лиц.[8] Правоохранительные органы также получили 30 000 биткойн-адресов, используемых для управления прибылью группы от выплат выкупа, которые содержали 2200 BTC (112 миллионов долларов США).[56]
По состоянию на 22 февраля 2024 года программа-вымогатель LockBit все еще распространялась.[57][8]
24 февраля 2024 года появился новый веб-сайт, утверждающий, что им управляет Lockbit.[58] На новом сайте указано более десятка предполагаемых жертв, включая ФБР, больницы и округ Фултон, Джорджия.[58] Новый сайт пригрозил обнародовать информацию, касающуюся округа Фултон, если выкуп не будет выплачен до 2 марта 2024 года.[58] Новый сайт утверждал, что у него есть личности членов жюри присяжных на процессе по делу об убийстве.[58] Также была угроза обнародовать документы округа Фултон, касающиеся судебных дел с участием Дональда Трампа, если выкуп не будет выплачен.[58]
Программа-вымогатель LockBit 3.0 - это вирус, шифрующий файлы, который блокирует ваши личные файлы и личные документы. LockBit 3.0 программа-вымогатель запрашивает биткойн-криптовалюту для восстановления зашифрованных файлов. Плата за выкуп варьируется от разных версий LockBit 3.0 вымогателей.
LockBit 3.0 программа-вымогатель шифрует файлы на вашем компьютере и добавляет строку уникальных символов к расширению зашифрованных файлов. Например, image.jpg становится изображение.jpg.LockBit 3.0
В большинстве случаев сложно восстановить файлы, зашифрованные с помощью LockBit 3.0 программы-вымогатели без вмешательства разработчиков программ-вымогателей.
Единственный способ восстановить файлы, зараженные LockBit 3.0 программа-вымогатель должна платить разработчикам программ-вымогателей. Иногда возможно восстановить ваши файлы, но это возможно только тогда, когда разработчики программ-вымогателей сделали ошибку в своем программном обеспечении для шифрования, что, к сожалению, происходит нечасто.
Я не рекомендую платить за LockBit 3.0 программа-вымогатель, вместо этого, убедитесь, что у вас есть действующая ПОЛНАЯ резервная копия Windows и немедленно восстановите его.
Сказав, что есть на данный момент нет инструментов для восстановления ваших зашифрованных личных файлов или документов которые зашифрованы LockBit 3.0 программа-вымогатель. Хотя вы можете попробовать восстановить зашифрованные файлы. В более сложных программах-вымогателях ключ дешифрования, используемый для восстановления ваших файлов, находится на стороне сервера, то есть ключ дешифрования доступен только разработчикам программ-вымогателей. Чтобы удалить файл, который загрузил файлы вымогателя на ваш компьютер, вы можете удалить LockBit 3.0 файл-вымогатель с помощью Malwarebytes, но это не точно
Госдеп объявляет о предложении вознаграждения как бы до $10 млн за информацию, ведущую к аресту и/или осуждению гражданина России Дмитрия Юрьевича Хорошева. Теперь против Хорошева введены санкции, а за любую информацию, которая приведет к аресту любого члена LockBit Государственным департаментом США объявлена награда в пять миллионов долларов. Вдвое больше получат те, кто предоставит информацию, позволяющую идентифицировать других руководителей группировки. Лидером и основателем одной из крупнейших группировок «русских хакеров» LockBit считается гражданин России Дмитрий Хорошев (выбрана красивая, правильная фамилия). Об этом заявили в Министерстве юстиции США. Ему также предъявили заочные обвинения по 26 пунктам.
Согласно обвинениям, Хорошев создал и почти пять лет руководил группой хакеров-вымогателей LockBit, которые атаковали свыше 2,5 тысячи жертв в 120 странах и получили в качестве выкупа не меньше полумиллиарда долларов.
Санкции против Дмитрия Хорошева 7 мая ввели, кроме США, Великобритания и Австралия.
По данным американских властей, с участием LockBit было совершено более 1,4 тыс. кибератак — от своих жертв хакеры получили сотни миллионов долларов в [url=https://www.osnmedia.ru/politika/ssha-britaniya-i-avstraliya-vveli-sanktsii-protiv-glavy-hakerskoj-gruppy-lockbit/]биткойнах[/url].
В Вашингтоне предполагают, что зарегистрированный в Воронеже Хорошев, скрывая свое имя под ником LockBitSupp, создал группировку примерно в сентябре 2019 года и до сих пор управляет как самой LockBit, так и разработкой новых версий одноименной программы-вымогателя. В их числе — частные лица, малые предприятия, транснациональные корпорации, больницы, школы, некоммерческие организации, критически важная инфраструктура, а также государственные и правоохранительные органы.
В Минюсте подсчитали, что в качестве выкупа группировка получила от своих жертв не менее 500 миллионов долларов, а нанесенных действиями LockBit ущерб оценивается в миллиарды долларов.
При этом человек, скрывающийся под ником LockBitSupp, широко известный в русскоязычном сегменте даркнета, уже прокомментировал заявления американского Минюста для ФБР блефует, он — «не Димон», а обвиненного Хорошева ему жаль.
Ранее правительство США назначило награду в размере до 15 миллионов долларов за информацию о хакерах из группировки LockBit. Тогда уточнялось, что им с января 2020 года удалось совершить более двух тысяч кибератак в США и по всему миру, которые привели к утечке и уничтожению конфиденциальной информации.
Шифровальщик LockBit – это вредоносное программное обеспечение, блокирующее доступ к компьютерным системам и требующее от пользователя выкуп за восстановление данных. LockBit автоматически отыскивает подходящую жертву, распространяется по сети и зашифровывает все данные на зараженных устройствах. Шифровальщик применяется в целевых атаках против крупных предприятий и других организаций. Используя это самоуправляемое вредоносное ПО, злоумышленники атакуют компании по всему миру, нанося им ущерб, связанный с одной из причин:
Остановка работы из-за внезапного отказа важнейших функций.
Вымогательство с целью получения финансовой выгоды.
Кража данных и угроза их публикации в случае невыполнения жертвой поставленных требований.
Что представляет собой шифровальщик LockBit?
LockBit – это новый участник продолжительной серии вымогательских кибератак. Программа, ранее известная как шифровальщик ABCD, выросла в уникального представителя вымогательского ПО. LockBit представляет собой подкласс программ-вымогателей, именуемых «криптовирусами», поскольку злоумышленники требуют выкуп за восстановление зашифрованных данных. Как правило, жертвами атак этой вредоносной программы становятся не отдельные люди, а крупные компании и правительственные организации.
Атаки LockBit начались в сентябре 2019 года,. Тогда шифровальщик получил название ABCD. Оно было взято из расширения, которое LockBit присваивал зашифрованным файлам, – .abcd. Жертвами злоумышленников в прошлом уже становились организации из США, Китая, Индии, Индонезии и Украины, а также из нескольких европейских стран, в частности Франции, Великобритании и Германии.
Идеальная жертва – та, которой выгоднее будет заплатить вымогателям кругленькую сумму, чем терпеть ущерб от атаки, и у которой эта сумма есть. Поэтому злоумышленники атакуют преимущественно крупные предприятия – от медицинских организаций до финансовых учреждений. При этом, судя по предусмотренным в нем автоматическим проверкам, шифровальщик избегает атак на устройства, расположенные в России или другой стране СНГ. Скорее всего, злоумышленники не хотят быть привлечены к ответственности в этих странах.
LockBit работает по схеме «шифровальщик как услуга» (RaaS). Клиенты вносят залог, заказывают атаку и получают прибыль по «партнерской программе». Им причитается до 75% от суммы выкупа, остальное достается разработчикам LockBit.
Как работает шифровальщик LockBit?
LockBit относят к семейству шифровальщиков LockerGoga и MegaCortex. Это означает, что он использует те же модели поведения, что и перечисленные виды целевых шифровальщиков. Если говорить кратко, мы считаем, что эти вредоносные программы:
автоматически распространяются внутри организации и не требуют ручного управления;
являются целевыми , а не рассылаются наугад, как спамерское вредоносное ПО;
используют однотипные инструменты для распространения, такие как Windows Powershell и Server Message Block (SMB).
Самая важная характеристика этих шифровальщиков – их способность распространяться самостоятельно. LockBit управляется заранее заданными автоматическими процессами. Это и отличает его от большинства подобных атак, которые после проникновения в сеть управляются вручную. В этом случае на наблюдение и сбор информации о жертве могут уйти недели.
После того как злоумышленник вручную заражает один хост, он может обнаружить другие доступные хосты, подключить их к зараженному и с помощью скрипта распространить вредоносную программу. В случае LockBit действия совершаются и повторяются без какого-либо вмешательства человека.
Кроме того, инструменты в атаке используются по шаблонам, характерным почти для всех систем Windows. Системам защиты рабочих мест такую вредоносную активность обнаружить очень сложно. Исполняемые файлы шифровальщика маскируются под изображения в формате .PNG, что также обманывает системы безопасности.
Этапы атак типа LockBit
Атаки LockBit можно разделить на три этапа:
Эксплуатация
Этап 1. Эксплуатация слабых мест сети. Начинается все, как и при большинстве других атак. Кто-то из сотрудников организации ведется на приемы социальной инженерии, такие как фишинг, в ходе которого злоумышленник прикидывается доверенным лицом или начальством и запрашивает у жертвы учетные данные. Злоумышленники также могут получить доступ к внутренним серверам и системам организации с помощью подбора пароля. Если сеть сконфигурирована ненадлежащим образом, злоумышленникам понадобится всего несколько дней, чтобы в нее проникнуть.
Поле того как LockBit попадет в сеть, он готовится шифровать все доступные устройства. Но перед финальным броском злоумышленник может выполнить пару дополнительных шагов.
Этап 2. Внедрение вглубь системы для завершения настройки атаки (при необходимости). Начиная с этого этапа программа LockBit действует автономно. Она запрограммирована на использование так называемых инструментов постэксплуатации, которые позволяют повысить привилегии для получения уровня доступа, необходимого для успешной атаки, а также пользуется уже открытым в ходе горизонтального перемещения доступом, чтобы собрать информацию о перспективности жертвы.
Именно на этом этапе LockBit выполняет все подготовительные действия перед началом шифрования, в частности, отключает защиту и другие элементы инфраструктуры, которые могут позволить восстановить систему.
Цель внедрения — сделать невозможным или очень долгим самостоятельное восстановление систем, чтобы мотивировать жертву заплатить выкуп. Обычно организация готова пойти на сделку со злоумышленниками, когда уже отчаялась вернуться к нормальной работе своими силами.
Этап 3. Развертывание шифрующей полезной нагрузки. Как только LockBit завершит подготовку, шифровальщик начинает распространяться по всем машинам, до которых может дотянуться. Как уже было сказано, LockBit немногое нужно, чтобы завершить этот этап. Один элемент системы с высоким уровнем доступа может отдать другим элементам команду скачать и запустить LockBit.
После этого все файлы системы будут зашифрованы. Жертва может получить к ним доступ только с помощью индивидуального ключа, сгенерированного собственным декриптором LockBit. В процессе шифрования в каждой папке системы размещается простой текстовый файл с информацией о выкупе. В таких файлах содержатся инструкции по восстановлению системы, а в некоторых версиях LockBit встречаются и угрозы шантажа.
После того как все три этапа были завершены, дальнейшие шаги зависят от самой жертвы. Жертва может связаться со службой поддержки LockBit и заплатить выкуп. Однако подчиняться требованиям злоумышленников не рекомендуется, ведь у жертвы нет никакой гарантии, что вымогатели выполнят свои обещания, когда получат деньги.
Варианты LockBit
Угрозы этого типа могут представлять серьезную проблему, так как появились они совсем недавно. Мы не можем исключить возможность их распространения по разным отраслям и организациям, особенно учитывая всеобщий переход на удаленную работу. Определение варианта LockBit поможет вам понять, с чем именно вы имеете дело.
Вариант 1 – расширение .abcd
Оригинальная версия LockBit присваивает файлам расширение .abcd. Также программа добавляет в каждую папку текстовый файл Restore-My-Files.txt, содержащий требования злоумышленников и инструкции по восстановлению системы.
Вариант 2 – расширение LockBit
Вторая известная версия шифровальщика меняет расширение файлов на .LockBit, которое и дало ему нынешнее название. Однако в остальном этот вариант почти не отличается от предыдущего с точки зрения жертвы. В нем только немного изменился бэкенд.
Вариант 3 – LockBit, версия 2
Эта версия LockBit больше не просит скачать браузер Tor для выполнения требований злоумышленников. Вместо этого жертву перенаправляют на веб-сайт в обычном интернете.
Регулярные обновления и изменения LockBit
Недавно в LockBit добавили еще несколько вредоносных функций, таких как блокировка контрольных точек для действий с администраторскими правами. Теперь LockBit отключает уведомления, которые пользователи видят, когда программа пытается запуститься от имени администратора.
Кроме того, вредоносное ПО теперь настроено на кражу копий данных с сервера, а в текстовый файл с требованием выкупа злоумышленники добавили несколько строк шантажа. Если жертва не будет следовать инструкциям, LockBit угрожает опубликовать ее данные.
Удаление LockBit и расшифровка данных
Учитывая количество проблем, к которым может привести заражение LockBit, конечные устройства по всей организации необходимо обеспечить защитой, соответствующей самым строгим стандартам. Первым делом стоит приобрести комплексное решение для защиты рабочих мест, такое какKaspersky Integrated Endpoint Security.
Если ваша организация уже стала жертвой шифровальщика, простое удаление LockBit не вернет вам доступ к файлам. Вам по-прежнему понадобится инструмент восстановления, так как для расшифровки файлов нужен соответствующий «ключ». Кроме того, если незадолго до атаки вы сохранили резервную копию образа своей системы, восстановиться можно из него.
Как защититься от шифровальщика LockBit
Безусловно, необходимо внедрить в систему вашей организации защитные меры, которые помогут ей эффективнее сопротивляться атакам шифровальщиков и другого вредоносного ПО и обнаруживать заражение на ранней стадии. Вот несколько советов, которые помогут вам укрепить вашу систему защиты.
Необходимо использовать надежные пароли. Значительная часть инцидентов происходит из-за слишком простых паролей, то есть паролей, которые легко подобрать с помощью специальной программы. Убедитесь, что используете надежный пароль, состоящий из длинного набора разнообразных символов, и используйте парольные фразы, придуманные по собственным правилам.
Не забывайте про многофакторную аутентификацию. Защититься от атак путем подбора пароля можно, добавив дополнительные слои защиты. Внедрите такие инструменты, как биометрическаяаутентификация или физический USB-ключ там, где это возможно.
Пересмотрите права пользователей и ограничьте их. Ограничьте разрешения, чтобы снизить риск распространения потенциальной угрозы. Уделяйте особое внимание системам, к которым имеют доступ пользователи конечных устройств и сотрудники IT-службы с правами администратора. Нужно защитить все – интернет-домены, платформы для совместной работы, сервисы для проведения онлайн-собраний и корпоративные базы данных.
Избавьтесь от старых и неиспользуемых учетных записей. Старые системы могут хранить учетные записи бывших сотрудников, которые по какой-то причине не были деактивированы или удалены. Проверка системы должна включать в себя удаление таких аккаунтов.
Убедитесь, что конфигурации системы соответствуют всем требованиям безопасности. Проверка существующих конфигураций может занять какое-то время, но она может помочь вам обнаружить новые проблемы и устаревшие политики, которые делают вашу компанию уязвимой. Стандартные процедуры работы необходимо периодически пересматривать, чтобы поддерживать их актуальность для борьбы с новыми киберугрозами.
Всегда держите под рукой резервные копии всей системы и чистые образы локальных машин. Инцидентов не избежать. Единственной настоящей защитой от потери данных является создание копии на физическом носителе. Организация должна регулярно делать резервные копии, содержащие все важные изменения систем. На случай, если резервная копия окажется заражена вредоносным ПО, стоит иметь несколько бэкапов, которые обновляются в разное время, чтобы у вас всегда была возможность выбрать чистую копию системы для восстановления.
Используйте комплексное корпоративное решение для кибербезопасности. Шифровальщик LockBit может попытаться отключить защиту, как только попадет на устройство, но корпоративное решение, работающее в режиме реального времени, перехватит вредоносные файлы на стадии загрузки на всех устройствах организации. Узнайте больше о решениях «Лаборатории Касперского» для защиты крупных предприятий.
Программное обеспечение LockBit, написанное на языках программирования C и C++ до .NET использовался для LockBit-NG-Dev, разрабатываемого на момент демонтажа в 2024 году,[8] получает первоначальный доступ к компьютерным системам, используя приобретенный доступ, не исправленные уязвимости, инсайдерский доступ и эксплойты нулевого дня, таким же образом, как и другие вредоносные программы. Затем LockBit берет под контроль зараженную систему, собирает сетевую информацию, а также крадет и шифрует данные. Затем к жертве предъявляются требования заплатить выкуп за расшифровку ее данных, чтобы они снова стали доступны, а к преступникам - удалить их копию с угрозой обнародования данных в противном случае.[10] (Хотя данные не публикуются, если выкуп выплачен, когда правоохранительные органы закрыли LockBit, было обнаружено, что они не были удалены.[11])
LockBit привлекла внимание благодаря созданию и использованию вредоносного ПО под названием "StealBit", которое автоматизирует передачу данных злоумышленнику. Этот инструмент был представлен с выпуском LockBit 2.0, который обладает быстрыми и эффективными возможностями шифрования. Чтобы расширить свой охват, LockBit также выпустила Linux-ESXI Locker версии 1.0, ориентированную на Linux хосты, в частности на серверы VMware ESXi.[1]
LockBit набирает партнеров и развивает партнерские отношения с другими преступными группировками. Они нанимают брокеров по доступу к сети, сотрудничают с такими организациями, как Maze, и вербуют инсайдеров из целевых компаний. Чтобы привлечь талантливых хакеров, они спонсировали подпольные конкурсы технического письма.[1]
LockBit нацелен на различные отрасли по всему миру, однако наибольшими жертвами являются сектора здравоохранения и образования. Согласно Trend Micro, с точки зрения попыток атак, Соединенные Штаты, Индия и Бразилия являются странами, подвергшимися наибольшим атакам.[1]
LockBit эффективны и адаптируемы: они подчеркивают скорость своего вредоносного ПО и его возможности привлекать жертв. При выборе потенциальных жертв они учитывают внешние факторы, такие как законы о конфиденциальности данных. Успех LockBit также во многом зависит от их партнерской программы, которая помогает им внедрять инновации и конкурировать на рынке программ-вымогателей.[1]
На своем сайте в dark web компания LockBit заявила, что она "расположена в Нидерландах, полностью аполитична и интересуется только деньгами".[12]
Методы и тактика
Операторы LockBit часто получают первоначальный доступ, используя уязвимые серверы протокола удаленного рабочего стола (RDP) или скомпрометированные учетные данные, приобретенные у аффилированных лиц. Первоначальные векторы доступа также включают фишинговые электронные письма с вредоносными вложениями или ссылками, перебор слабых паролей RDP или VPN и использование уязвимостей, таких как CVE-2018-13379 в Fortinet VPN.[1]
После установки программа-вымогатель LockBit часто запускается в Microsoft Windows с помощью аргументов командной строки, запланированных задач или сценариев PowerShell, таких как PowerShell Empire. LockBit использует такие инструменты, как Mimikatz, GMER, Process Hacker и редактирование реестра, для сбора учетных данных, отключения продуктов безопасности и обхода средств защиты. Он перечисляет сетевые подключения для идентификации важных объектов, таких как контроллеры домена, с помощью сканеров, таких как Advanced Port Scanner.[1]
Для бокового перемещения LockBit распространяется через соединения SMB обмена файлами внутри сетей, используя учетные данные, собранные ранее. Другие методы бокового перемещения включают распространение с помощью скомпрометированных объектов групповой политики или с использованием таких инструментов, как PsExec или Cobalt Strike.[1]
Полезная нагрузка программы-вымогателя LockBit шифрует файлы и общие сетевые ресурсы, используя AES и RSA-шифрование. Он шифрует только первые несколько килобайт каждого файла для более быстрой обработки и добавляет расширение ".lockbit". Затем LockBit заменяет обои рабочего стола запиской с требованием выкупа; он также может печатать записки с требованием выкупа на подключенных принтерах. Цель состоит в том, чтобы вымогать выплату выкупа, чтобы обратить вспять сбой в работе системы и восстановить доступ к файлам.[1]
История
Вредоносная программа Lockbit ранее была известна как ".abcd" по имени расширения файла, которое было добавлено к зашифрованным файлам, поскольку они стали недоступны.[13]
Локбит впервые был замечен в сентябре 2019 года.[14]
LockBit 2.0
LockBit 2.0 появился в 2021 году[14] и попал в центр внимания благодаря их атаке на Accenture в том же году, когда инсайдер, вероятно, помог группе войти в сеть. LockBit опубликовала некоторые данные, украденные в ходе этой атаки.[15][1]
В январе 2022 года компания по производству электроники Thales стала одной из жертв Lockbit 2.0.[16]
В июле 2022 года были атакованы административные и управленческие службы La Poste Mobile.[17]
В сентябре 2022 года хакеры группы заявили о кибератаках на 28 организаций, в 12 из которых участвовали французские организации.[18] Среди них больница Корбей Эссонн подверглась нападению с требованием выкупа в размере 10 миллионов долларов США.[19]
В октябре 2022 года группа Lockbit взяла на себя ответственность за атаку на Pendragon PLC, группу автомобильных ритейлеров в Великобритании, потребовав выкуп в размере 60 миллионов долларов США за расшифровку файлов и недопущение их утечки; компания заявила, что отклонила это требование.[20]
31 октября 2022 года хакерская группа Lockbit заявила, что атаковала Thales Group во второй раз, и не требовала выкупа, но заявила, что данные будут обнародованы. Группа хакеров предложила помощь клиентам Thales, пострадавшим от кражи, чтобы подать жалобу на Thales, группу, "которая в значительной степени игнорировала правила конфиденциальности".[21] 10 ноября 2022 года группа LockBit 3.0 опубликовала в даркнете архив объемом 9,5 ГБ с украденной информацией о контрактах Thales в Италии и Малайзии.[22][23]
В ноябре 2022 года OEHC - офис гидравлического оборудования Corse - стал жертвой кибератаки, в результате которой были зашифрованы компьютерные данные компании. Группа хакеров предъявила требование о выкупе, на которое OEHC не ответила.[24]
In December 2022, the Lockbit hacker group claimed responsibility for the attack on the California Finance Administration. The governor's office acknowledged being the victim of an attack, without specifying its scale. Lockbit claims to have stolen 246,000 files with a total size of 75.3 GB.[25]
In December 2022, the hacker group claimed to have attacked the port of Lisbon. The ransom was set at US$1.5 million, to be paid by January 18, 2023.[26]
On December 18, 2022, a group of hackers attacked Toronto's Hospital for Sick Children. After realizing their blunder, the hacker group stopped the attack, apologized and offered a free solution to recover the encrypted files.[27]
LockBit 3.0
В конце июня 2022 года группа запустила "LockBit 3.0", последнюю версию своей программы-вымогателя, после двух месяцев бета-тестирования. Примечательно, что группа представила программу вознаграждения за ошибки, первую в своем роде в сфере операций с программами-вымогателями. Они пригласили исследователей безопасности протестировать их программное обеспечение для повышения безопасности, предложив значительное денежное вознаграждение в размере от US $1000 до 1 миллиона долларов.[1]
В августе 2022 года немецкий производитель оборудования Continental подвергся атаке программы-вымогателя Lockbit. В ноябре 2022 года, не получив ответа на требование выкупа, группа хакеров опубликовала часть украденных данных и предложила доступ ко всем им за 50 миллионов евро. Среди украденных данных - личная жизнь сотрудников Группы, а также обмены с немецкими автопроизводителями. Помимо кражи данных, опасность заключается в открытии пути к промышленному шпионажу. Действительно, среди обменов с Volkswagen есть ИТ-аспекты, от автоматизированного вождения до развлечений, в которые Volkswagen хотел инвестировать Continental.[28]
В ноябре 2022 года Министерство юстиции США объявило об аресте Михаила Васильева, имеющего двойное гражданство России и Канады, в связи с кампанией вымогателей LockBit. Согласно обвинениям, Васильев якобы вступил в сговор с другими участниками LockBit, программы-вымогателя, которая использовалась в более чем 1000 атаках по всему миру по состоянию на ноябрь 2022 года. Согласно сообщениям, операторы LockBit выдвинули требования о выкупе на сумму не менее 100 миллионов долларов, из которых десятки миллионов были выплачены жертвами. Арест последовал за 2,5-летним расследованием Министерством юстиции группы программ-вымогателей LockBit.[29]
В январе 2023 года группа хакеров заявила, что атаковала французскую компанию по производству предметов роскоши Nuxe[30] и французскую группу частных клиник ELSAN. Группа хакеров похитила 821 ГБ данных из штаб-квартиры компании.[31] В том же месяце международные экспортные услуги Royal Mail были серьезно нарушены в результате атаки программы-вымогателя Lockbit.[32][33]
В феврале 2023 года группа взяла на себя ответственность за нападение на Indigo Books and Music, сеть канадских книжных магазинов.[34]
В марте 2023 года группа взяла на себя ответственность за нападение на BRL Group [fr], специалиста по водоснабжению во Франции.[35]
16 мая 2023 года группа хакеров взяла на себя ответственность за атаку на гонконгский филиал китайской газеты China Daily. Это первый случай, когда группа хакеров атаковала китайскую компанию. Lockbit не атакует российские организации и избегает нападений на российских союзников.[36]
В мае 2023 года хакерская группировка взяла на себя ответственность за атаку на fr: Voyageurs du Monde. Группа хакеров украла около 10 000 документов, удостоверяющих личность, из файлов клиентов компании.[37]
В июне 2023 года Министерство юстиции США объявило о возбуждении уголовного дела против Руслана Магомедовича Астамирова, гражданина России, за его предполагаемое участие в кампании вымогателей LockBit в качестве аффилированного лица. В обвинениях утверждается, что Астамиров непосредственно выполнил по меньшей мере пять атак программ-вымогателей против жертв и получил часть платежей за выкуп в биткоинах.[38]
В конце июня 2023 года группа TSMC стала жертвой атаки программ-вымогателей через одного из своих поставщиков. LockBit потребовала выкуп в размере 70 миллионов долларов.[39]
В июле 2023 года Lockbit атаковала порт Нагоя в Японии, который обслуживает 10% товарооборота страны. Атака вынудила прекратить контейнерные перевозки.[40] В октябре 2023 года Lockbit заявила, что украла конфиденциальные данные у Boeing.[41] Несколько дней спустя Boeing признал, что им было известно о киберинциденте, затронувшем некоторые их запчасти и дистрибьюторский бизнес, хотя это не повлияло на безопасность полетов; они не назвали предполагаемых злоумышленников.[42]
В ноябре 2023 года Lockbit атаковал американскую дочернюю компанию китайского государственного промышленно-коммерческого банка Китая.[43] Bloomberg сообщил, что американское подразделение ICBC в то время считалось крупнейшим кредитором в мире по размеру активов.[44]
В ноябре 2023 года Lockbit опубликовала в Интернете внутренние данные, которые группа месяцем ранее украла у Boeing.[45]
В ноябре 2023 года банда Локбит напала на Чикагскую торговую компанию и Alphadyne Asset Management. Bloomberg сообщил, что CTC был взломан в октябре и что за предыдущий год Lockbit "стала самой плодовитой группой программ-вымогателей в мире". По сообщениям, с 2020 года она провела 1700 атак и вымогала 91 миллион долларов, по данным Агентства кибербезопасности и инфраструктуры США.[46] The Register сообщила в конце ноября 2023 года, что LockBit сталкивается с растущим внутренним разочарованием и что ее лидеры пересматривают некоторые методы ведения переговоров с жертвами в ответ на достигнутую низкую заработную плату.[47]
В январе 2024 года банда Lockbit атаковала компьютеры округа Фултон.[48][49] В следующем месяце округ опубликовал заявление о нападении, в котором говорилось, что они не платили выкуп, что это не было связано с избирательным процессом, им не было известно о каком-либо извлечении конфиденциальной информации о гражданах или сотрудниках.[48][49]
LockBit-NG-Dev (LockBit 4?)
Когда сервер LockBit был закрыт правоохранительными органами в феврале 2024 года, было обнаружено, что новая версия LockBit-NG-Dev, которая, вероятно, будет выпущена как LockBit 4.0, находилась в стадии продвинутой разработки;[50] Trend Micro опубликовала подробный отчет об этом.[51]
Изъятие правоохранительными органами в 2024 году
19 февраля 2024 года Национальное агентство по борьбе с преступностью в сотрудничестве с Европолом и другими международными правоохранительными органами захватило контроль над веб-сайтами даркнета, принадлежащими банде вымогателей LockBit, в рамках операции Cronos.[52][53][54][6][7] В непроверенном отчете говорится, что Lockbit заявила, что ее серверы, работающие на языке программирования PHP, были повреждены, но что у нее были резервные серверы без PHP, которые "не были затронуты".[12] Один человек был арестован в Украине, один в Польше и двое в Соединенных Штатах. Также были названы имена двух россиян, но они не были арестованы. По словам Грэма Биггара, генерального директора Национального агентства по борьбе с преступностью, правоохранительные органы "взяли под контроль их инфраструктуру, изъяли их исходный код и получили ключи, которые помогут жертвам расшифровывать их системы".[11] Дешифратор для LockBit 3.0 был создан с использованием изъятых ключей и выпущен для бесплатного использования за больше никакого выкупа.[55]
После удаления правоохранительные органы разместили информацию о группе на ее темном веб-сайте, в том числе о том, что у нее было по меньшей мере 188 аффилированных лиц.[8] Правоохранительные органы также получили 30 000 биткойн-адресов, используемых для управления прибылью группы от выплат выкупа, которые содержали 2200 BTC (112 миллионов долларов США).[56]
По состоянию на 22 февраля 2024 года программа-вымогатель LockBit все еще распространялась.[57][8]
24 февраля 2024 года появился новый веб-сайт, утверждающий, что им управляет Lockbit.[58] На новом сайте указано более десятка предполагаемых жертв, включая ФБР, больницы и округ Фултон, Джорджия.[58] Новый сайт пригрозил обнародовать информацию, касающуюся округа Фултон, если выкуп не будет выплачен до 2 марта 2024 года.[58] Новый сайт утверждал, что у него есть личности членов жюри присяжных на процессе по делу об убийстве.[58] Также была угроза обнародовать документы округа Фултон, касающиеся судебных дел с участием Дональда Трампа, если выкуп не будет выплачен.[58]
Программа-вымогатель LockBit 3.0 - это вирус, шифрующий файлы, который блокирует ваши личные файлы и личные документы. LockBit 3.0 программа-вымогатель запрашивает биткойн-криптовалюту для восстановления зашифрованных файлов. Плата за выкуп варьируется от разных версий LockBit 3.0 вымогателей.
LockBit 3.0 программа-вымогатель шифрует файлы на вашем компьютере и добавляет строку уникальных символов к расширению зашифрованных файлов. Например, image.jpg становится изображение.jpg.LockBit 3.0
В большинстве случаев сложно восстановить файлы, зашифрованные с помощью LockBit 3.0 программы-вымогатели без вмешательства разработчиков программ-вымогателей.
Единственный способ восстановить файлы, зараженные LockBit 3.0 программа-вымогатель должна платить разработчикам программ-вымогателей. Иногда возможно восстановить ваши файлы, но это возможно только тогда, когда разработчики программ-вымогателей сделали ошибку в своем программном обеспечении для шифрования, что, к сожалению, происходит нечасто.
Я не рекомендую платить за LockBit 3.0 программа-вымогатель, вместо этого, убедитесь, что у вас есть действующая ПОЛНАЯ резервная копия Windows и немедленно восстановите его.
Сказав, что есть на данный момент нет инструментов для восстановления ваших зашифрованных личных файлов или документов которые зашифрованы LockBit 3.0 программа-вымогатель. Хотя вы можете попробовать восстановить зашифрованные файлы. В более сложных программах-вымогателях ключ дешифрования, используемый для восстановления ваших файлов, находится на стороне сервера, то есть ключ дешифрования доступен только разработчикам программ-вымогателей. Чтобы удалить файл, который загрузил файлы вымогателя на ваш компьютер, вы можете удалить LockBit 3.0 файл-вымогатель с помощью Malwarebytes, но это не точно