Lockbit: Великобритания возглавила борьбу с крупной бандой киберпреступников

Великобритания возглавила операцию по уничтожению крупнейшей в мире преступной группировки, занимающейся разработкой программ-вымогателей.

Национальное агентство по борьбе с преступностью (NCA) проникло в системы, принадлежащие Lockbit, и похитило ее данные.

Предполагается, что эта организация базируется в России и по объему продаж является самой плодовитой группой, продающей услуги другим преступникам.

Вечером в понедельник на сайте Lockbit появилось сообщение о том, что он "теперь находится под контролем правоохранительных органов".

Операцию называют одним из самых значительных потрясений в мире киберпреступности. ФБР, Европол и другие страны также принимали участие в этой длительной операции, но это первая операция такого рода, которую возглавила Великобритания.

Преступники используют Lockbit для взлома компьютеров компаний и организаций и блокировки пользователей до получения выкупа. Часто они также крадут данные и угрожают их обнародовать.

Группа появилась примерно в 2019 году и уже успела занять доминирующее положение. По некоторым оценкам, она занимает около 20-25 % рынка программ-вымогателей.

Среди громких целей Lockbit - Royal Mail, которая пострадала в январе 2023 года, нарушив международную доставку. В ноябре прошлого года также пострадал Промышленный и коммерческий банк Китая (ICBC), что привело к серьезным последствиям в финансовом мире. Среди других пострадавших - поставщики NHS, юридическая фирма Allen & Overy и аэрокосмическая компания Boeing.

В течение некоторого времени операция проводилась скрытно, правоохранительные органы собирали данные, а вечером в понедельник перешли к более публичной фазе.

Техническим экспертам NCA удалось проникнуть в системы Lockbit и взять их под контроль. При этом им удалось похитить большое количество данных о деятельности преступной группировки.

Поскольку многие компании не признают, что их взломали, и иногда платят выкуп, эти данные могут дать уникальное представление об истинных масштабах деятельности группировки.

Перейдя к более открытой фазе операции, правоохранительные органы обнародовали информацию о своем проникновении.

Они взяли под контроль сайт в темной паутине, где Lockbit прорекламировала свою деятельность и заменила его эмблемами различных правоохранительных органов и сообщением, гласившим: "Сайт находится под контролем Национального агентства по борьбе с преступностью Великобритании, работающего в тесном сотрудничестве с ФБР и международной оперативной группой правоохранительных органов "Операция Кронос"".

На пресс-конференции во вторник утром глава NCA Грэм Биггар (Graeme Biggar) заявил, что, по его оценкам, эта группа ответственна за 25 % атак с использованием выкупного ПО за последний год.

По его мнению, эти инциденты привели к миллиардным убыткам. По его словам, жертвами стали тысячи людей по всему миру, в том числе 200 человек, о которых известно в Великобритании, хотя он добавил, что на самом деле их могло быть гораздо больше.

Lockbit работает, продавая свои криминальные услуги, выступая в качестве универсального магазина для клиентов, известных как аффилированные лица.

Эти партнеры платят за возможность выполнять хакерские операции и получают как вредоносное программное обеспечение, так и консультации.

Но после действий правоохранительных органов аффилированные лица, пытавшиеся войти на сайт, были встречены другим сообщением, объясняющим, что внутренние данные Lockbit теперь находятся в руках правоохранительных органов, включая данные жертв, сумму вымогаемых денег "и многое, многое другое". В сообщении добавляется: "Возможно, мы свяжемся с вами очень скоро".

В прошлом уже проводились так называемые "захваты", но во многих случаях преступные группировки вновь появлялись вскоре после того, как их деятельность в Интернете прерывалась правоохранительными органами, что ограничивало долгосрочное воздействие.

Но в данном случае те, кто стоит за операцией, надеются оказать более значительное влияние, подорвав доверие к группировке и нанеся удар по ее репутации. Группа в значительной степени полагается на брендинг. Она даже платила людям за татуировку бренда Lockbit на их телах.

Цель - посеять недоверие, заставив партнеров понять, что правоохранительные органы теперь располагают их данными, и вбить клин между ними и теми, кто управляет Lockbit, заставив других преступников поверить, что работать с ними в будущем рискованно из-за страха, что за ними следят правоохранительные органы.

Те, кто непосредственно участвовал в операции, говорят, что, по их мнению, в краткосрочной и среднесрочной перспективе Великобритания станет значительно более защищенной от кибератак, и описывают этот шаг как "шаг вперед" в борьбе с киберпреступностью.

'Полностью принадлежит' - 'одно из самых значительных разрушений, когда-либо предпринятых'

"На первый взгляд, это одна из самых масштабных операций, когда-либо проводившихся против одного из гигантов ransomware, и уж точно самая крупная из всех, когда-либо проводившихся британской полицией", - сказал BBC Киаран Мартин, бывший глава Национального центра кибербезопасности Великобритании.

"В сфере выкупного ПО мало, если вообще есть, крупных игроков, чем Lockbit, и NCA, похоже, полностью "завладела" ими, как мы говорим в сфере кибербезопасности", - добавил он.

Те, кто стоит за группой Lockbit, предположительно базируются в России, что означает, что, как и другие подобные группы, они находятся вне пределов досягаемости правоохранительных органов для ареста. Это означает, что подрыв деятельности - единственный реальный способ подорвать их работу, а также улучшить киберзащиту.

Когда в прошлом году ФБР провело аналогичную операцию против группы под названием Blackcat, это привело к спору за контроль над сайтом между группой и правоохранительными органами США, что свидетельствует о том, что подобные операции не всегда проходят точно по плану.

Но есть надежда, что эта операция, в ходе которой деятельность Lockbit была публично раскрыта, нарушит ее работу настолько, что она не сможет быстро вернуться.