Ponudnik unikatne storitve grozi: v soboto razkrijem vse, če ne plačate

NCA, britanska Nacionalna agencija za boj proti kriminalu, je 20. februarja razkrila rezultate operacije Cronos, v kateri so sodelovali še ameriški preiskovalni urad FBI, Europol ter organi pregona več evropskih držav in katere glavni cilj je bil prekiniti dejavnosti kiberkriminalne združbe Lockbit, identificirati odgovorne osebe in pomagati njihovim žrtvam.

Internetna mafija Lockbit deluje od leta 2019, razvila pa je istoimenski izsiljevalski virus, ki po okužbi zašifrira podatke na žrtvinem računalniku in za odklep zahteva odkupnino, a ne le to, podatke tudi ukrade in žrtvi grozi, da bodo v primeru neplačila odkupnine javno objavljeni na spletu. 

Lockbitova spletna stran na temnem spletu po tem, ko so nadzor nad njo prevzeli organi pregona, na kar opozarja tudi sporočilo v pasici na vrhu spletne strani. Foto: Nacionalna agencija za boj proti kriminalu (NCA)

Izsiljevalski virus je tudi temelj poslovnega modela skupine Lockbit, saj ga v zameno za plačilo v uporabo ponuja drugim kiberkriminalcem oziroma jim ga prodaja kot storitev, pri čemer "naročnik" združbi Lockbit plača za izvedbo kibernetskega napada na želeno tarčo.

Sodelujočim v operaciji Cronos je uspelo vdreti v omrežje združbe Lockbit na temnem spletu in prevzeti nadzor nad njihovo glavno spletno stranjo, pridobili pa so tudi več kot tisoč ključev za dešifriranje ukradenih podatkov in seznam strank, ki so vodstvu Lockbita plačevale za uporabo izsiljevalskega virusa oziroma kibernetske napade, so prejšnji teden na tiskovni konferenci pojasnili pri NCA.

Lockbit je bil v zadnjih dvanajstih mesecih odgovoren za četrtino vseh kibernetskih napadov, so navedli pri NCA. Kanadski obveščevalci so medtem lani ocenili, da je Lockbit povzročil skoraj polovico vseh napadov z izsiljevalskimi virusi.

Foto: Shutterstock
Žrtve so Lockbitu in njihovim strankam do zdaj plačale že za več kot 110 milijonov evrov odkupnin, so po operaciji Cronos sporočili ameriški preiskovalci. Poslovna škoda, ki jo je napadenim podjetjem in organizacijam z zaklepanjem njihovih podatkov in onemogočanjem normalnega delovanja povzročil Lockbit, je sicer še za red velikosti višja in se meri v milijardah evrov.

Iz Europola so dodatno sporočili, da so ob zasegu infrastrukture in spletne strani, na kateri so bili objavljeni podatki, ki jih je Lockbit po okužbi z izsiljevalskim virusom ukradel žrtvam, ugasnili 34 strežnikov, zamrznili več kot 200 denarnic za kriptovalute, ki so bile uporabljene za nakazila odkupnin, in zaprli več kot 14.000 uporabniških računov različnih spletnih storitev, ki so jih hekerji uporabljali za izvrševanje kibernetskih napadov. 

Operacija sicer ni potekala samo na (temnem) spletu, temveč tudi v resničnem življenju. V Ukrajini so organi pregona prejšnji teden aretirali dve osebi, očeta in sina, ki ju sumijo partnerstva z vodstvom organizacije Lockbit, eno osebo pa so aretirali tudi na Poljskem. Pri NCA pričakujejo, da bo zaradi razkritja seznama strank oziroma naročnikov kibernetskih napadov v prihodnjih dneh in tednih sledilo še več aretacij. 

Aretacija z Lockbitom domnevno povezanega 38-letnika na Poljskem:

Američani za informacije o vodstvu kriminalne združbe ponujajo bajno nagrado

Ameriško pravosodje je na dan razkritja rezultatov operacije Kronos medtem vložilo obtožnico proti dvema domnevnima članoma Lockbita, Rusoma Arturju Sungatovu in Ivan Kondratievu, v kiberkriminalnem podzemlju sicer kar znanemu hekerju z vzdevkom Bassterlord. Oba naj bi izsiljevalski virus uporabljala za napade na različna podjetja in organizacije v ZDA in Portoriku. 

Zunanje ministrstvo ZDA je prejšnji teden ponudilo tudi denarno nagrado v višini do kar 15 milijonov ameriških dolarjev oziroma skoraj 14 milijonov evrov za informacije, ki bi vodile do identifikacije, prijetja ali obsodbe katerega od vodilnih članov združbe Lockbit. 

Več o tem, kdo je veliki šef Lockbita, naj bi sodelujoči v operaciji Cronos razkrili prejšnji teden, vendar je bila globalna skupnost strokovnjakov (in entuziastov) za kibernetsko varnost zelo razočarana, saj razen tega, da ne živi v ZDA ali na Nizozemskem in da ne vozi Lamborghinija, temveč Mercedesa, nismo izvedeli tako rekoč nič novega. 

Agencije, ki so sodelovale v operaciji Cronos, predpostavljajo, da se vodja združbe Lockbit najverjetneje skriva v Rusiji. Dokazov, da bi bila skupina Lockbit ali njeni vodilni kakor koli povezani s Kremljem, sicer ni. Foto: Shutterstock

Domnevni kolovodja internetne mafije: Smo že nazaj in če do sobote ne plačate, razkrijemo vse

Lockbit se je medtem v soboto spet postavil na noge, je v dolgem zapisu, objavljenem na novi spletni strani na temnem spletu, zatrdil nekdo, ki se predstavlja z vzdevkom LockBitSupp in naj bi bil dejanski vodja Lockbita. 

LockBitSupp je preiskovalni urad FBI in druge, ki so razmontirali prejšnje omrežje kiberkriminalne združbe, označil za premalo temeljite in da ima še vedno dostop do ukradenih podatkov na strežnikih, do katerih se operacija Cronos ni dokopala. FBI je anonimnež obtožil tudi, da se je proti njim zarotil samo zaradi enega razloga – da v javnost ne bi prišli podatki, ki so bili ukradeni med kibernetskim napadom na občinska omrežja v okrožju Fulton v ameriški zvezni državi Georgii. 

Posnetek zaslona nove spletne strani združbe Lockbit, na kateri je ob tranši dokumentov, ki so bili ukradeni administrativnemu omrežju okrožja Fulton v Georgii, odštevalnik časa. Rok, do katerega bo kolovodja Lockbita sprejemal odkupnino, preden domnevno uresniči grožnjo in objavi podatke, je 2. marec. Foto: Krebs on Security

Zapisano je LockBitSupp tudi podkrepil z novo spletno stranjo, na kateri je objavil tranše ukradenih podatkov več različnih žrtev kibernetskih napadov, med katerimi pa posebej izstopa zbirka podatkov iz okrožja Fulton, natančneje podatkov o sodnih procesih, ki potekajo na tamkajšnjem višjem sodišču.

Na spletni strani je zraven pasica, ki odšteva čas. Dnevi, ure in minute se iztečejo v soboto. Takrat bo javno objavil dokumente iz Fultona, grozi LockBitSupp. Tisti, ki ga razkritje vsebine dokumentov skrbi, lahko zadevo reši s tem, da Lockbitu plača odkupnino. Kakšen znesek zahteva, ni znano. 

Kaj je tako posebnega v dokumentih iz okrožja Fulton? V prvi vrsti Donald Trump. 

Kot na svojem portalu Krebs on Security opozarja strokovnjak za informacijsko varnost Brian Krebs, tranša ukradenih dokumentov iz sodnega sistema okrožja Fulton med drugim vsebuje do zdaj še zapečatene podatke o občutljivih sodnih procesih, ki zadevajo sojenje moškemu, obtoženemu umora, sojenje osebi, ki naj bi zlorabljala otroke in sojenje glasbenemu zvezdniku Jefferyju Lamarju Williamsu, bolj znanemu po vzdevku Young Thug. Sploh v prvem primeru naj bi obstajala nevarnost, da bi se v javnosti znašli podatki o ključnih pričah, zaradi česar bi lahko bila ogrožena njihova življenja.

Na višjem sodišču v okrožju Fulton poteka tudi proces, ki odmeva po vsem svetu. V ameriški zvezni državi Georgia je bila lani namreč vložena obtožnica proti nekdanjemu predsedniku ZDA in najverjetnejšemu novemu kandidatu za republikansko nominacijo na prihajajočih ameriških predsedniških volitvah Donaldu Trumpu. 

Uradna fotografija Trumpa, ko se je avgusta lani predal organom pregona v okrožju Fulton. Šlo je sicer le za formalnost, saj je bil na prostor izpuščen po zgolj pol ure. Foto: Reuters
Državna tožilka okrožja Fulton v Georgii Fani Willis je proti Trumpu in osemnajsterici drugih oseb obtožnico vložila zaradi poskusov vplivanja na uradnike, da spremenijo rezultat zadnjih predsedniških volitev v ZDA. Trump se bo moral v Georgii soočiti še z obtožbami o laganju uradnim osebam, ponarejanju dokumentov in spodbujanju uradnikov h kršenju zaprisege (STA).

Kot je v zapisu navedel domnevni vodja kiberkriminalne združbe Lockbit, je "v dokumentih o sodnih procesih, ki vključujejo Donalda Trumpa, veliko zanimivih podatkov, ki bi lahko vplivali na izid bližajočih se predsedniških volitev v ZDA".

Dodal je tudi, da bo zagotovo volil za Donalda Trumpa, kar pa je zelo malo verjetno, saj se LockBitSupp skoraj zagotovo ne nahaja v ZDA in najverjetneje sploh ni ameriški državljan.