Хак-группа LockBit, инфраструктуру которую недавно взломали правоохранительные органы, возобновляет работу после непродолжительного перерыва. Представители группировки опубликовали длинное сообщение, в котором рассказывают о дальнейших планах и о том, как ФБР удалось их взломать.
Напомним, что на прошлой неделе правоохранители провели , в рамках которой они вывели из строя инфраструктуру LockBit, включая 34 сервера, где размещались сайты для «слива» данных и их зеркала, украденные у жертв файлы, криптовалютные кошельки, а также получили около 1000 ключей для дешифрования данных и выпустили инструмент для расшифровки и бесплатного восстановления файлов.
Как мы писали ранее, сайт для «слива» данных, ранее контролируемый LockBit, был изменен властями и анонсировал раскрытие информации об операциях самой LockBit. В итоге, в течение прошлой неделе Национальное агентство по борьбе с преступностью Великобритании (NCA), ФБР, Европол, Евроюст их партнеры из других стран постепенно раскрывали различные детали проведенной ими операции.
В частности, согласно выпущенному аналитиками Trend Micro , в LockBit уже шла разработка новой версии шифровальщика (LockBit-NG-Dev), которая, вероятно, должна была встать LockBit 4.0. Исследователи рассказали, что в отличие от предыдущей версии, построенной на C/C++, новая малварь представляла собой незавершенную разработку, написанную на .NET, которая, судя по всему, была скомпилирована CoreRT и упакована с помощью MPRESS.
Отмечалось, что новая малварь поддерживает три режима шифрования (с использованием AES+RSA) — «быстрое», «прерывистое» и «полное», позволяет не шифровать конкретные файлы и каталоги, а также рандомизировать именование файлов, чтобы усложнить процесс их восстановления.
Также стало известно, что только за последние 18 месяцев хак-группа LockBit получила более 125 млн долларов выкупов (по информации NCA и блокчейн-аналитиков из компании Chainalysis).
Так, после захвата инфраструктуры группы правоохранители изучивших сотни криптовалютных кошельков, связанных с группировкой и получили информацию о 30 000 биткоин-адресах, которые использовались для получения выкупов и управления доходами хакеров.
Более 500 из этих адресов были активны и получили более 125 млн долларов (по текущему курсу) в период с июля 2022 по февраль 2024 года. Также расследование показало, что свыше 2200 BTC оставались неизрасходованными на момент проведения операции Cronos.
В NCA заявили, что «эти средства представляют собой комбинацию платежей жертв и участников LockBit», то есть значительная часть этой криптовалюты представляла собой 20% комиссию, которую партнеры выплачивали разработчикам вымогательского ПО.
После захвата инфраструктуры LockBit правоохранительные органы намекали, что могут раскрыть личность публичного представителя группировки, известного под ником LockBitSupp. В итоге никакого доксинга не произошло, но правоохранители заявили, что им известна личность LockBitSupp, и он, к примеру, водит не Lamborghini, а Mercedes.
В ответ на это LockBitSupp опубликовал объемное заявление, в котором откровенно насмехался над правоохранителями:
Кроме того, в своем послании представитель LockBit еще раз подтвердил то, о чем мы писали ранее: правоохранительные органы скомпрометировали инфраструктуру группы, обнаружив и использовав PHP-уязвимость . LockBitSupp признал, что это произошло из-за его «личной халатности и безответственности», так как он «расслабился и не обновил PHP вовремя». Он подчеркивал, что серверы, где не было PHP, остались под контролем группы.
Также представитель хакеров заявил, что правоохранители атаковали LockBit специально, чтобы предотвратить публикацию украденных хакерами документов, содержащих «много интересных вещей и судебных документов Дональда Трампа, которые могут повлиять на предстоящие выборы в США».
Кроме того, LockBitSupp утверждает, что изъятые полицией ключи для расшифровки данных «малопригодны», так как «большинство из них защищены и не могут использоваться ФБР».
На этой неделе инфраструктура LockBit начала возвращаться к работе. Группировка сохранила свой «бренд» и перенесла сайт для «слива» данных на новый onion-адрес, где уже перечислены пять жертв, и работают таймеры обратного отсчета, показывающие время до публикации похищенной информации.
Как сообщил LockBitSupp, теперь LockBit планирует повысить уровень безопасности своей инфраструктуры и будет выпускать инструменты для расшифровки файлов вручную. Кроме того, партнерская панель теперь будет размещена на нескольких серверах, а партнеры группы получат доступ к различным копиям в зависимости от уровня доверия.
В ответ на это правоохранители следующее:
Напомним, что на прошлой неделе правоохранители провели , в рамках которой они вывели из строя инфраструктуру LockBit, включая 34 сервера, где размещались сайты для «слива» данных и их зеркала, украденные у жертв файлы, криптовалютные кошельки, а также получили около 1000 ключей для дешифрования данных и выпустили инструмент для расшифровки и бесплатного восстановления файлов.
Новый шифровальщик и миллионы долларов
Как мы писали ранее, сайт для «слива» данных, ранее контролируемый LockBit, был изменен властями и анонсировал раскрытие информации об операциях самой LockBit. В итоге, в течение прошлой неделе Национальное агентство по борьбе с преступностью Великобритании (NCA), ФБР, Европол, Евроюст их партнеры из других стран постепенно раскрывали различные детали проведенной ими операции.
В частности, согласно выпущенному аналитиками Trend Micro , в LockBit уже шла разработка новой версии шифровальщика (LockBit-NG-Dev), которая, вероятно, должна была встать LockBit 4.0. Исследователи рассказали, что в отличие от предыдущей версии, построенной на C/C++, новая малварь представляла собой незавершенную разработку, написанную на .NET, которая, судя по всему, была скомпилирована CoreRT и упакована с помощью MPRESS.
Отмечалось, что новая малварь поддерживает три режима шифрования (с использованием AES+RSA) — «быстрое», «прерывистое» и «полное», позволяет не шифровать конкретные файлы и каталоги, а также рандомизировать именование файлов, чтобы усложнить процесс их восстановления.
Также стало известно, что только за последние 18 месяцев хак-группа LockBit получила более 125 млн долларов выкупов (по информации NCA и блокчейн-аналитиков из компании Chainalysis).
Так, после захвата инфраструктуры группы правоохранители изучивших сотни криптовалютных кошельков, связанных с группировкой и получили информацию о 30 000 биткоин-адресах, которые использовались для получения выкупов и управления доходами хакеров.
Более 500 из этих адресов были активны и получили более 125 млн долларов (по текущему курсу) в период с июля 2022 по февраль 2024 года. Также расследование показало, что свыше 2200 BTC оставались неизрасходованными на момент проведения операции Cronos.
В NCA заявили, что «эти средства представляют собой комбинацию платежей жертв и участников LockBit», то есть значительная часть этой криптовалюты представляла собой 20% комиссию, которую партнеры выплачивали разработчикам вымогательского ПО.
Деанон LockBitSupp
После захвата инфраструктуры LockBit правоохранительные органы намекали, что могут раскрыть личность публичного представителя группировки, известного под ником LockBitSupp. В итоге никакого доксинга не произошло, но правоохранители заявили, что им известна личность LockBitSupp, и он, к примеру, водит не Lamborghini, а Mercedes.
В ответ на это LockBitSupp опубликовал объемное заявление, в котором откровенно насмехался над правоохранителями:
Кроме того, в своем послании представитель LockBit еще раз подтвердил то, о чем мы писали ранее: правоохранительные органы скомпрометировали инфраструктуру группы, обнаружив и использовав PHP-уязвимость . LockBitSupp признал, что это произошло из-за его «личной халатности и безответственности», так как он «расслабился и не обновил PHP вовремя». Он подчеркивал, что серверы, где не было PHP, остались под контролем группы.
Также представитель хакеров заявил, что правоохранители атаковали LockBit специально, чтобы предотвратить публикацию украденных хакерами документов, содержащих «много интересных вещей и судебных документов Дональда Трампа, которые могут повлиять на предстоящие выборы в США».
Кроме того, LockBitSupp утверждает, что изъятые полицией ключи для расшифровки данных «малопригодны», так как «большинство из них защищены и не могут использоваться ФБР».
Восстановление инфраструктуры
На этой неделе инфраструктура LockBit начала возвращаться к работе. Группировка сохранила свой «бренд» и перенесла сайт для «слива» данных на новый onion-адрес, где уже перечислены пять жертв, и работают таймеры обратного отсчета, показывающие время до публикации похищенной информации.
Как сообщил LockBitSupp, теперь LockBit планирует повысить уровень безопасности своей инфраструктуры и будет выпускать инструменты для расшифровки файлов вручную. Кроме того, партнерская панель теперь будет размещена на нескольких серверах, а партнеры группы получат доступ к различным копиям в зависимости от уровня доверия.
В ответ на это правоохранители следующее:
