Последнее обновление 01.03.2024 — Иван Катанаев
Быстрые ссылки
- Что такое программа-вымогатель LockBit?
- Что случилось с LockBit?
- 5 типов программ-вымогателей, которые заменят LockBit
- Полностью ли устранена программа-вымогатель LockBit?
Ключевые выводы
- Усилия правоохранительных органов разрушили инфраструктуру и партнерскую сеть LockBit, но другие группы вымогателей готовы вмешаться.
- Организации, участвовавшие в удалении LockBit, начали выпускать инструменты расшифровки для жертв, но восстановление не гарантировано.
- Несмотря на упадок LockBit, появляются новые группы программ-вымогателей, и их место готовы занять пять известных типов.
В последние годы LockBit стала одной из самых известных группировок, занимающихся вымогательством, вымогая сотни миллионов долларов и уничтожая при этом огромные объемы данных.
Но теперь совместные усилия правоохранительных органов существенно нарушили инфраструктуру LockBit, отключив ее веб-сайт и раскрыв партнерскую сеть и криптовалютные активы. К сожалению, это не означает, что программы-вымогатели берут перерыв, поскольку существует множество других типов программ-вымогателей, которые ждут, чтобы заполнить пустоту.
Что такое программа-вымогатель LockBit?
Программы-вымогатели — это один из худших типов вредоносных программ, которые блокируют вашу машину и требуют оплаты за освобождение ваших данных в целости и сохранности.
LockBit — преступная группа, которая управляет, управляет и распространяет одноименную программу-вымогатель. Программа-вымогатель LockBit пользуется дурной славой и поразила десятки тысяч предприятий, организаций и обычных людей по всему миру, потенциально зарабатывая при этом миллиарды долларов.
LockBit особенно опасен, поскольку он самораспространяется, то есть может распространяться самостоятельно, что делает его практически уникальным среди типов программ-вымогателей. Из-за этого остановить атаку программы-вымогателя LockBit чрезвычайно сложно, поскольку программа-вымогатель может идентифицировать другие уязвимые цели без какого-либо вмешательства человека.
Кроме того, группа LockBit регулярно выпускает обновления для своей программы-вымогателя, добавляя новые функции и настраивая ее функциональность, реагируя на угрозы, снижающие ее эффективность. LockBit 3.0 стал последним крупным обновлением, выпущенным в июне 2022 года.
Что случилось с LockBit?
19 февраля 2024 года правоохранительные органы, в том числе ФБР, Национальное агентство по борьбе с преступностью Великобритании и Европол, обнаружили, что совместная операция серьезно подорвала организацию LockBit.
«Операция Cronos» блокировала владельцев и филиалов LockBit (да, у LockBit была партнерская сеть, использующая программу-вымогатель и платившая процент разработчикам, использующим программы-вымогатели в качестве модели обслуживания) из собственной сети, отключив около 11 000 доменов и серверов в процесс. Два разработчика LockBit также были арестованы, а другие аффилированные пользователи LockBit также были арестованы в рамках той же операции.
По данным CISA, атаки LockBit составили более 15 процентов всех атак программ-вымогателей в США, Великобритании, Канаде, Австралии и Новой Зеландии в 2022 году, что является феноменальным показателем. Но поскольку учетная запись и платформа основного администратора LockBit находятся под контролем властей, ее способность запускать и контролировать свою сеть была фактически уничтожена.
Когда станут доступны инструменты расшифровки LockBit?
Действуя быстро, некоторые организации, участвовавшие в удалении LockBit, уже начали выпускать инструменты расшифровки LockBit и предоставлять жертвам ключи расшифровки LockBit.
- США/ФБР: обратитесь в ФБР для получения ключей через LockBit Victims
- Великобритания/NCA: обратитесь в NCA для получения ключей по электронной почте: [email protected].
- Другие/Европол, Вежливый (Нидерланды) Следуйте инструкциям по расшифровке Lockbit 3.0 на сайте No More Ransom.
Нет никакой гарантии, что вы успешно восстановите файлы, зашифрованные с помощью LockBit, но попробовать стоит, тем более что LockBit не всегда отправлял правильный ключ дешифрования, даже после получения выкупа.
5 типов программ-вымогателей, которые заменят LockBit
LockBit несет ответственность за огромное количество программ-вымогателей, но это далеко не единственная действующая группа вымогателей. Упадок LockBit, вероятно, создаст кратковременный вакуум, в который смогут переместиться другие группы вымогателей. Имея это в виду, вот пять различных типов программ-вымогателей, за которыми следует следить:
- ALPHV/BlackCat: Еще одна программа-вымогатель в качестве сервисной модели, ALPHV/BlackCat, скомпрометировала сотни организаций по всему миру. Он особенно примечателен как один из первых типов программ-вымогателей, полностью написанный на языке программирования Rust, что позволяет ему атаковать оборудование как Windows, так и Linux.
- Cl0p: Организация Cl0p действует как минимум с 2019 года и, по оценкам, вымогала выкуп на сумму более 500 миллионов долларов. Cl0p обычно крадет конфиденциальные данные, которые затем используются для того, чтобы заставить жертв заплатить выкуп, как для раскрытия зашифрованных данных, так и для предотвращения утечки конфиденциальных данных.
- Play/PlayCrypt: один из новых типов программ-вымогателей, Play (также известный как PlayCrypt), впервые появился в 2022 году и отличается расширением файла «.play», используемым во время атак программ-вымогателей. Как и Cl0p, группа Play также известна своей тактикой двойного вымогательства и использует широкий спектр уязвимостей для разоблачения своих жертв.
- Royal: Хотя Royal использует программы-вымогатели в качестве сервисной модели, она не делится своей информацией и кодом так, как другие группы программ-вымогателей. Однако, как и другие группировки, Royal применяет тактику множественного вымогательства, крадя данные и используя их для вымогательства выкупа.
- 8Base: 8Base внезапно появилась в середине 2023 года, когда всплеск активности программ-вымогателей включал несколько типов вымогательства, а также тесные связи с другими крупными группами программ-вымогателей, такими как RansomHouse.
Исследование Malwarebytes показывает, что, хотя LockBit был одним из самых распространенных типов программ-вымогателей, десять крупнейших организаций, занимающихся вымогательством, несут ответственность за 70 процентов всех атак программ-вымогателей. Так что даже без LockBit программы-вымогатели ждут своего часа.
Полностью ли устранена программа-вымогатель LockBit?
Какими бы удивительными ни были новости о закрытии LockBit, программа-вымогатель LockBit не полностью уничтожена. Ars Technica сообщает о новых атаках на LockBit через несколько дней после удаления, и на это есть несколько причин.
Во-первых, хотя инфраструктура LockBit была отключена, это не означает, что кода-вымогателя не существует. В 2022 году произошла утечка версии исходного кода LockBit, и это могло привести к новым атакам. Более того, у LockBit была огромная сеть, охватывающая множество стран. Хотя ее операционная база сосредоточена в России, у организации такого размера и сложности определенно есть резервные копии и методы для возобновления работы, даже если на восстановление потребуется некоторое время.
Без сомнения, мы еще не видели последнюю версию программы-вымогателя LockBit.
