LockBit не працює, але його місце займуть ці 5 інших програм-вимагачів

Ключові висновки

  • Зусилля правоохоронних органів порушили інфраструктуру та партнерську мережу LockBit, але інші групи програм-вимагачів готові втрутитися.
  • Організації, які беруть участь у видаленні LockBit, почали випускати інструменти розшифровки для жертв, але відновлення не гарантується.
  • Незважаючи на занепад LockBit, з’являються нові групи програм-вимагачів, а їхнє місце можуть зайняти п’ять відомих типів.

Останніми роками LockBit була однією з найвідоміших груп програм-вимагачів, яка вимагала сотні мільйонів доларів і знищувала величезні обсяги даних у процесі.

Але тепер спільні зусилля правоохоронних органів суттєво порушили інфраструктуру LockBit, зруйнувавши його веб-сайт і розкривши його афілійовану мережу та криптовалютні холдинги. На жаль, це не означає, що програми-вимагачі роблять перерву, оскільки існує купа інших типів програм-вимагачів, які чекають, щоб заповнити порожнечу.

Що таке програма-вимагач LockBit?

Програми-вимагачі — це один із найгірших типів зловмисних програм, які блокують ваш комп’ютер і вимагають плату за передачу ваших даних неушкодженими.

LockBit — це злочинне угруповання, яке управляє, керує та розповсюджує однойменні програми-вимагачі. Програма-вимагач LockBit сумно відома й вразила десятки тисяч підприємств, організацій і звичайних людей у ​​всьому світі, потенційно заробляючи мільярди доларів у цьому процесі.

LockBit особливо небезпечний, оскільки він саморозповсюджується, тобто може поширюватися самостійно, що робить його майже унікальним серед типів програм-вимагачів. Через це зупинити атаку програми-вимагача LockBit надзвичайно складно, оскільки програма-вимагач може ідентифікувати інші вразливі цілі без будь-якої взаємодії з людиною.

Крім того, група LockBit регулярно випускає оновлення для свого програмного забезпечення-вимагача, додаючи нові функції та налаштовуючи його функціональні можливості, реагуючи на загрози щодо його ефективності. LockBit 3.0 був останнім великим оновленням, запущеним у червні 2022 року.

Що трапилося з LockBit?

19 лютого 2024 року правоохоронні органи, зокрема ФБР, Національне агентство Великобританії з боротьби зі злочинністю та Європол, виявили, що спільна операція серйозно порушила організацію LockBit.

«Операція Cronos» заблокувала власників і афілійованих осіб LockBit (так, у LockBit була афілійована мережа, яка використовувала програмне забезпечення-вимагач і сплачувала відсоток розробникам, використовуючи програмне забезпечення-вимагач як модель обслуговування) з власної мережі, знищивши близько 11 000 доменів і серверів у процес. Двох розробників LockBit також заарештували, а інших афілійованих користувачів LockBit також заарештували в рамках тієї ж операції.

Відповідно до CISAатаки LockBit становили понад 15 відсотків усіх атак програм-вимагачів у США, Великобританії, Канаді, Австралії та Новій Зеландії у 2022 році, що є феноменальною цифрою. Але оскільки основний обліковий запис і платформа LockBit під контролем влади, його здатність запускати та контролювати свою мережу була фактично знищена.

Коли стануть доступними інструменти дешифрування LockBit?

Швидко просуваючись, деякі з організацій, які беруть участь у видаленні LockBit, уже почали випускати інструменти дешифрування LockBit і надавати жертвам ключі дешифрування LockBit.

  • США/ФБР: Зверніться до ФБР, щоб отримати ключі Жертви LockBit
  • Великобританія/NCA: зв’яжіться з NCA, щоб отримати ключі, за допомогою цієї електронної пошти: [email protected]
  • Інші/Європол, ввічливий (Нідерланди) Дотримуйтеся вказівок щодо дешифрування Lockbit 3.0 на Більше немає викупу

Немає гарантії, що ви успішно відновите файли, зашифровані за допомогою LockBit, але спробувати варто, особливо тому, що LockBit не завжди надсилає правильний ключ розшифровки, навіть після отримання викупу.

5 типів програм-вимагачів, які замінять LockBit

LockBit відповідальний за величезну кількість програм-вимагачів, але це далеко не єдина діюча група програм-вимагачів. Зникнення LockBit, ймовірно, створить короткочасний вакуум, куди можуть перейти інші групи програм-вимагачів. З огляду на це, ось п’ять різних типів програм-вимагачів, на які варто звернути увагу:

  • ALPHV/BlackCat: ще одне програмне забезпечення-вимагач як модель обслуговування, ALPHV/BlackCat скомпрометувало сотні організацій по всьому світу. Це особливо помітно як один із перших типів програм-вимагачів, повністю написаних на мові програмування Rust, що допомагає націлюватись як на обладнання Windows, так і на Linux.
  • Cl0p: організація Cl0p працює принаймні з 2019 року і, за оцінками, вимагала понад 500 мільйонів доларів у вигляді викупу. Cl0p зазвичай вилучає конфіденційні дані, які потім використовуються для тиску на своїх жертв, змусивши їх сплатити викуп, як для оприлюднення зашифрованих даних, так і для припинення витоку конфіденційних даних.
  • Play/PlayCrypt: один із нових типів програм-вимагачів, Play (також відомий як PlayCrypt), вперше з’явився у 2022 році та відомий розширенням файлу «.play», яке використовується під час атак програм-вимагачів. Як і Cl0p, група Play також відома своєю тактикою подвійного вимагання та використовує широкий спектр уразливостей, щоб викрити своїх жертв.
  • Royal: Хоча Royal використовує програму-вимагач як модель обслуговування, вона не ділиться своєю інформацією та кодом так само, як інші групи програм-вимагачів. Однак, як і інші групи, Роял застосовує тактику вимагання кількох даних, викрадаючи дані та використовуючи їх для вимагання викупу.
  • 8Base: 8Base раптово з’явилася в середині 2023 року зі сплеском активності програм-вимагачів, які включають кілька типів здирництва, а також тісні зв’язки з іншими великими групами програм-вимагачів, такими як RansomHouse.

Malwarebytes

Дослідження Malwarebytes показує, що хоча LockBit був одним із найпоширеніших типів програм-вимагачів, десятка найбільших організацій-вимагачів відповідальна за 70 відсотків усіх атак програм-вимагачів. Отже, навіть без LockBit програми-вимагачі чекають свого часу.

Чи LockBit Ransomware повністю завершено?

Якою б дивовижною не була новина про загибель LockBit, програмне забезпечення-вимагач LockBit ще не повністю зникло. Техніка Арс повідомляє про нові атаки LockBit через кілька днів після видалення, і це з кількох причин.

По-перше, хоча інфраструктуру LockBit було знято, це не означає, що коду програми-вимагача не існує. У 2022 році стався витік версії вихідного коду LockBit, і це могло стати причиною нових атак. Крім того, LockBit мав величезну мережу, що охоплювала численні країни. Хоча її операційна база була зосереджена в Росії, організація такого розміру та складності безумовно має резервні копії та методи для відновлення роботи, навіть якщо для відновлення потрібно трохи часу.

Без сумніву, ми не бачили останніх програм-вимагачів LockBit.