Chainalysis .- Pe 20 februarie 2024, Agenția Națională împotriva Crimei (NCA) din Regatul Unit, împreună cu Departamentul de Justiție al SUA (DOJ), au anunțat arestarea Lockbit, care a fost unul dintre cele mai prolifice grupuri de ransomware ca serviciu (RaaS), activându-se în ultimii ani.
În această operațiune, NCA, FBI și partenerii internaționali responsabili de aplicarea legii au colaborat pentru a confisca servere și site-uri web publice care erau parte integrantă a operațiunilor Lockbit și au obținut chei de decriptare pentru ca victimele Lockbit să-și recupereze datele fără a plăti o recompensă.
Departamentul de Justiție a anunțat, de asemenea, acuzații împotriva lui Artur Sungatov și Ivan Kondratyev, doi cetățeni ruși acuzați că au acționat ca afiliați ai Lockbit RaaS și că au utilizat tulpina în atacuri de ransomware.
În plus, OFAC a sancționat ambele persoane pentru activitățile lor de ransomware și a inclus un total de zece adrese de criptomonedă ca identificatori ai Listei SDN. Aceste acțiuni au loc după acuzația și sancțiunea din mai 2023 a dezvoltatorului de ransomware afiliat la Lockbit, Mikhail Matveev.
Suntem mândri să împărtășim că NCA a folosit instrumente Chainalysis pentru a desfășura această cercetare. În continuare, vom vorbi mai mult despre poziția unică pe care Lockbit a ocupat-o în ecosistemul ransomware și de ce această acțiune a fost importantă.
Lockbit a fost una dintre cele mai utilizate tulpini de RaaS.
Potrivit Departamentului de Justiție, Lockbit a atacat peste 2.000 de victime și a obținut peste 120 de milioane de dolari în venituri. Datele noastre arată că prominența Lockbit în ecosistemul ransomware a crescut rapid în timp.
În plus, Lockbit a fost printre cele mai rezistente tulpini din ecosistemul ransomware de la lansarea RaaS și a rămas activă mai mult timp decât majoritatea celorlalte tulpini.
Ca tulpină RaaS, malware-ul Lockbit a fost disponibil pentru alți cibercriminali cunoscuți sub numele de afiliați pentru a-l închiria pentru a lansa propriile atacuri de ransomware în schimbul unei părți din veniturile acestor atacuri.
Datele noastre sugerează că Lockbit a fost una dintre cele mai prolifice și utilizate tulpini de RaaS în funcțiune, cu potențial sute de afiliați, inclusiv mulți asociați cu alte tulpini proeminente.
Disponibilitatea Lockbit de a oferi servicii atât de multor afiliați poate fi unul dintre motivele haosului pe care cercetătorii l-au observat în interiorul grupului, cum ar fi atacurile continue ale grupului împotriva spitalelor chiar și după ce administratorii principali au promis că vor înceta să atace furnizorii de servicii medicale și un incident în care administratorii Lockbit au refuzat public să plătească unui afiliat pentru un atac.
Aceste incidente și aparenta incapacitate de coordonare pot fi rezultatul unei lipse de verificare a antecedentelor afiliaților.
Ocazional, administratorii Lockbit au realizat trucuri publicitare al căror valoare pare discutabilă în comparație cu riscurile pe care le implică pentru securitatea operațională a grupului.
De exemplu, în 2022, un administrator Lockbit cunoscut sub identificatorul online LockBitSupp a anunțat că va plăti 1000 de dolari oricui s-ar tatua cu logo-ul Lockbit.
Analiza activității în lanț a LockBitSupp în această perioadă sugerează că, surprinzător, mulți au acceptat oferta. Putem vedea unele dintre aceste plăți în graficul reactorului Chainalysis de mai jos.
Să spunem că un comportament de administrator ca acesta și baremul aparent scăzut pentru accesul afiliaților la Lockbit nu pictează grupul ca fiind cel mai profesionist din ecosistemul ransomware.
Lockbit și riscul de sancțiuni.
Chiar și înainte de recentele sancțiuni îndreptate în mod explicit împotriva afiliaților Lockbit, bariera joasă de intrare a tulpinii a transformat RaaS într-o acoperire atractivă pentru actorii de amenințări care să confunde legăturile lor cu sancțiunile.
De exemplu, în iunie 2022, compania de cibersecuritate Mandiant a publicat o cercetare care sugera că banda rusă de ransomware Evil Corp a început să utilizeze Lockbit. Mandiant a poziționat acest lucru ca fiind probabil un efort al Evil Corp de a se deghiza, deoarece în acel moment conexiunea Evil Corp cu entitățile ruse sancționate scădea disponibilitatea victimelor sale de a plăti răscumpărări; puteți citi cercetarea noastră anterioară despre schimbarea de marcă a tulpinii de ransomware pentru mai multe informații despre această practică.
Datele în lanț confirmă conexiunea dintre Lockbit și Evil Corp, așa cum vedem în graficul reactorului de mai jos.
Aici, vedem Lockbit și alte două tulpini care au fost identificate ca schimbări de marcă ale Evil Corp trimițând fonduri la aceeași adresă de depozit de schimb.
În mod similar, vedem, de asemenea, dovezi în lanț ale afiliaților Lockbit care lucrează cu o tulpină de ransomware iraniană și depun în schimburi iraniene, ceea ce sugerează că afiliatul Lockbit din fotografie este probabil iranian. Iranul este, desigur, una dintre cele mai sancționate jurisdicții din lume.
În cele din urmă, analiza blockchain arată, de asemenea, că un administrator Lockbit a donat criptomonede unui jurnalist militar prorus autoproclamat cu sediul în Sebastopol, cunoscut sub numele de Colonel Cassad.
Prin intermediul rețelelor sociale, colonelul Cassad a solicitat donații pentru operațiunile grupurilor de miliții ruse în jurisdicțiile sancționate din Donetsk și Luhansk, așa cum am identificat la începutul războiului rus împotriva Ucrainei.
Cercetătorii în cibersecuritate de la Talos au scris anterior despre legăturile dintre colonelul Cassad și unitatea de piraterie de stat rusă Fancy Bear, care a fost sancționată de UE.
OFAC subliniază zece adrese de criptomonedă în sancțiunile împotriva afiliaților Lockbit, Artur Sungatov și Ivan Kondratyev.
În intrările sale din Lista SDN pentru afiliații Lockbit Ivan Kondratyev și Artur Sungatov, OFAC a inclus un total de zece adrese de criptomonedă controlate de cei doi indivizi.
Autoritățile au eliminat un actor important în ransomware.
Aceste acțiuni polițienești reprezintă o mare victorie în lupta împotriva ransomware-ului. Așa cum am explorat anterior, Lockbit a fost una dintre cele mai prolifice tulpini care au operat timp de mai mulți ani: distrugerea infrastructurii sale și obținerea cheilor de decriptare va salva multe organizații de atacuri dăunătoare de ransomware. Felicităm toate agențiile implicate.
