Η επίθεση κατά της LockBit
Η διαβόητη ομάδα ransomware LockBit βρέθηκε ξαφνικά από θύτης να γίνεται θύμα, καθώς μία από τις ιστοσελίδες της στο dark web υπέστη παραβίαση. Το μήνυμα που εμφανίστηκε στην ιστοσελίδα ήταν ξεκάθαρο: “Μην κάνετε εγκλήματα, ΤΑ ΕΓΚΛΗΜΑΤΑ ΕΙΝΑΙ ΚΑΚΑ xoxo από την Πράγα”, συνοδευόμενο από έναν σύνδεσμο προς μια βάση δεδομένων MySQL που περιείχε συνομιλίες μεταξύ των χάκερ και των θυμάτων τους.
Αποκαλύψεις και διαρροές δεδομένων
Η διαρροή περιλαμβάνει επιπλέον δεδομένα όπως διευθύνσεις πορτοφολιών Bitcoin, λογαριασμούς συνεργατών, λεπτομέρειες επιθέσεων, καθώς και πληροφορίες για το κακόβουλο λογισμικό και την υποδομή της ομάδας. Ακόμη, περιλαμβάνονται λεπτομέρειες για τα θύματα, όπως ιστότοποι εταιρειών, εκτιμώμενα έσοδα και προσαρμοσμένες εκδόσεις του ransomware. Τα δεδομένα καλύπτουν την περίοδο από τον Δεκέμβριο του περασμένου έτους.
Η αξιοπιστία των διαρροών
Ο Christiaan Beek, διευθυντής ανάλυσης απειλών στην εταιρεία ασφαλείας Rapid7, δήλωσε ότι, αν και αναμένουμε επίσημη επιβεβαίωση, οι διαρροές φαίνονται αληθινές και έχουν ήδη κοινοποιηθεί στο Telegram. Αναλύοντας τις συνομιλίες που διέρρευσαν, μπορούμε να δούμε πόσο επιθετική ήταν η LockBit κατά τις διαπραγματεύσεις για τα λύτρα. Σε ορισμένες περιπτώσεις, τα θύματα πιέστηκαν να πληρώσουν μόνο μερικές χιλιάδες δολάρια, ενώ σε άλλες απαιτούνταν ποσά της τάξης των $50,000, $60,000 ή ακόμη και $100,000.
Η αντίδραση της LockBit
Η διαρροή εντοπίστηκε από τον παράγοντα απειλής Rey, ο οποίος φαίνεται να έχει επαφή με την ομάδα. Σε συνομιλία που μοιράστηκε στο X, η υποστήριξη της LockBit ισχυρίζεται ότι ούτε ο πηγαίος κώδικας ούτε οι αποκρυπτογράφοι εκλάπησαν, αλλά παραδέχεται ότι το περιστατικό θα επηρεάσει τη φήμη της ομάδας.
Παρόμοιες επιθέσεις στο παρελθόν
Δεν είναι γνωστό ποιος χάκαρε την ιστοσελίδα, αλλά σύμφωνα με τον Rey, το μήνυμα που εμφανίστηκε είναι το ίδιο με αυτό που εμφανίστηκε στην ιστοσελίδα της ομάδας Everest Ransomware τον περασμένο μήνα. Η LockBit έχει επιτεθεί σε περισσότερα από 2,500 θύματα σε τουλάχιστον 120 χώρες, συμπεριλαμβανομένων πολυεθνικών εταιρειών, νοσοκομείων, σχολείων, μη κερδοσκοπικών οργανισμών, κρίσιμων υποδομών και κυβερνητικών και αστυνομικών υπηρεσιών. Πιστεύεται ότι έχει αποσπάσει τουλάχιστον $500 εκατομμύρια σε πληρωμές λύτρων με τα χρόνια.
Η αντίδραση των αρχών
Πέρυσι, η Εθνική Υπηρεσία Εγκληματικότητας του Ηνωμένου Βασιλείου (NCA) ηγήθηκε μιας επιχείρησης επιβολής του νόμου κατά της LockBit, καταλαμβάνοντας το κύριο περιβάλλον διαχείρισης της ομάδας, το οποίο επέτρεπε στους συνεργάτες να δημιουργούν και να διεξάγουν επιθέσεις, καθώς και την ιστοσελίδα διαρροών της στο dark web. Ωστόσο, η ομάδα επανήλθε σύντομα σε λειτουργία.
Η επαγγελματικοποίηση των ransomware
Οι διαρροές από τις διαπραγματεύσεις της LockBit αποκαλύπτουν πόσο επαγγελματική έχει γίνει η λειτουργία των ransomware. Τα θύματα λάμβαναν δοκιμαστική αποκρυπτογράφηση, τιμολόγηση ανάλογα με το μέγεθος της εταιρείας, οδηγίες για ανάκτηση ESXi, και ακόμη και απαντήσεις που λαμβάνουν υπόψη τη ζώνη ώρας. Δεν είναι απλώς εκβιασμός — είναι δομημένη εξυπηρέτηση πελατών, όπως δήλωσε ο Ferhat Dikbiyik, επικεφαλής έρευνας και πληροφοριών στην Black Kite.
Η επίδραση της επίθεσης στη LockBit
Ο Dikbiyik πρόσθεσε ότι η επίθεση φαίνεται να έχει επηρεάσει την επιχείρηση της ομάδας, με συνεργάτες να έχουν ήδη αρχίσει να μετακινούνται σε άλλες ομάδες ransomware ή να ξεκινούν τις δικές τους επιχειρήσεις RaaS. “Σε μια επιχείρηση που βασίζεται στη φήμη και την ανωνυμία, η απώλεια ελέγχου της LockBit δεν τους βλάπτει μόνο, αλλά αναδιαμορφώνει το οικοσύστημα,” ανέφερε.
