Četrtek, 2. 10. 2025, 4.00
8 ur, 41 minut
Vrnitev zloglasnega virusa, ki je teroriziral svet

Z izsiljevalskim virusom LockBit je bilo po podatkih britanske narodne agencije za boj proti kriminalu (NCA) napadenih več kot sto bolnišnic in drugih zdravstvenih ustanov po vsem svetu, več tisoč žrtev pa se je s kiberkriminalci tudi pogajalo o plačilu odkupnine. Hekerji, povezani s kiberkriminalno združbo LockBit, so sicer napadali predvsem institucije, organizacije in podjetja, za katere so vedeli, da bi jim zaklep podatkov z izsiljevalskim virusom ali povzročil ogromno škode ali pa izredno ogrozil njihovo delovanje, kot so bolnišnice ter logistična in podjetja s področja energetike.
Strokovnjaki za informacijsko varnost opozarjajo, da se je po nekajmesečnem zatišju znova aktiviralo združenje kiberkriminalcev, ki stoji za zloglasnim zlonamernim programom LockBit. Ta je bil nekaj časa najbolj škodljiv izsiljevalski virus na svetu. Kiberkriminalno združenje je mednarodnim organom pregona v veliki meri uspelo razbiti že v začetku leta 2024, a še niso ujeli njegovega vodje, Rusa Dmitrija Jurjeviča Koroševa, za katerega je v ZDA razpisana nagrada v višini 8,5 milijona evrov.
Najnovejši izsiljevalski virus LockBit, imenovan LockBit 5.0, ki ob okužbi računalniškega sistema zašifrira vse datoteke in žrtvi izstavi račun, ki ga mora plačati, da jih dobi nazaj, je nevarnejši kot kadarkoli prej, v analizi grožnje opozarjajo strokovnjaki podjetja s področja informacijske varnosti TrendMicro.
Okužbo z LockBit 5.0 je po njihovih navedbah težje izslediti, izsiljevalski virus pa je zasnovan tako, da preobremeni tarčne informacijske sisteme, saj lahko hkrati okuži oziroma poskusi premagati varnostne mehanizme na več različnih platformah, kot so Windows, Linux ali VMware ESXi, so posvarili.
Poslovna škoda, ki jo je napadenim podjetjem in organizacijam z zaklepanjem njihovih podatkov in onemogočanjem normalnega delovanja povzročil Lockbit, se meri v milijardah evrov.
Rusija ni na spisku tarč
Izvorna koda novih različic virusa LockBit sicer vsebuje indice, da je bil zasnovan v Rusiji oziroma da so ga razvili ruski programerji, so dodali. Med drugim vsebuje mehanizme, ki preprečujejo izsiljevalske napade na tarče v Rusiji (oziroma vse, pri katerih je zaznana sistemska uporaba ruskega jezika).
Za zdaj sicer še ni jasno, ali že poteka množična kampanja napadov z LockBit 5.0 ali so okužbe omejene na nekaj primerov, so še zapisali pri TrendMicro. Dogajanje bodo budno spremljali tudi v bodoče.
Kiberkriminalni imperij
Internetna mafija Lockbit sicer obstaja od leta 2019, razvila pa je že opisani istoimenski izsiljevalski virus, ki po okužbi zašifrira podatke na žrtvinem računalniku in za odklep zahteva odkupnino, a ne le to – podatke tudi ukrade in žrtvi grozi, da bodo v primeru neplačila odkupnine javno objavljeni na spletu.
Dmitri Jurjevič Korošev, 33-letni državljan Rusije, je bil lani razkrinkan kot prvi mož kiberkriminalne združbe LockBit.
Z izsiljevalskim virusom LockBit je bilo po podatkih britanske narodne agencije za boj proti kriminalu (NCA ) napadenih več kot sto bolnišnic in drugih zdravstvenih ustanov po vsem svetu, več tisoč žrtev pa se je s kiberkriminalci tudi pogajalo o plačilu odkupnine.
Hekerji, povezani s kiberkriminalno združbo LockBit, so sicer napadali predvsem institucije, organizacije in podjetja, za katere so vedeli, da bi jim zaklep podatkov z izsiljevalskim virusom ali povzročil ogromno škode ali pa izredno ogrozil njihovo delovanje, kot so na primer bolnišnice ter logistična in podjetja s področja energetike.
Izsiljevanje, ki ga je mogoče najeti
Izsiljevalski virus LockBit je tudi temelj poslovnega modela istoimenske kriminalne združbe Lockbit, saj ga v zameno za plačilo v uporabo ponuja drugim kiberkriminalcem oziroma jim ga prodaja kot storitev, pri čemer "naročnik" združbi Lockbit plača za izvedbo kibernetskega napada na želeno tarčo.
Mednarodni organi pregona so LockBit razbili že v začetku leta 2024, a se je po navedbah strokovnjakov za informacijsko varnost vrnil med žive.
Lockbit je bil samo v letu 2023, svojem najbolj plodovitnem, odgovoren za četrtino vseh kibernetskih napadov po vsem svetu, navajajo pri NCA. Kanadski obveščevalci so medtem leta 2023 ocenili, da je Lockbit povzročil skoraj polovico vseh napadov z izsiljevalskimi virusi.
Žrtve so Lockbitu in njihovim strankam po ocenah ameriških oblasti do zdaj plačale že za skoraj pol milijarde evrov odkupnin, od tega naj bi si kar petino, torej skoraj sto milijonov evrov, prisvojil glavni človek LockBita – Dmitrij Jurjevič Korošev.
Poslovna škoda, ki jo je napadenim podjetjem in organizacijam z zaklepanjem njihovih podatkov in onemogočanjem normalnega delovanja povzročil Lockbit, je sicer še za red velikosti višja in se meri v milijardah evrov.
Zanj ponujajo deset milijonov dolarjev
Korošev, ki je bil sprva znan zgolj kot LockBitSupp, anonimni administrator in glavni razvijalec izsiljevalskih virusov zloglasne internetne mafije, je bil kot vodja operacij kiberkriminalne združbe LockBit razkrinkan v začetku leta 2024.
Nekoliko ironično je, da je Dmitri Korošev dolgo ponujal nagrado v višini desetih milijonov ameriških dolarjev vsakemu, ki bi lahko razkril njegovo identiteto, zdaj pa enako nagrado za informacije, ki bi vodile do njegovega prijetja in obsodbe, ponujajo ameriški organi pregona.
Zoper Koroševa so tožilci v ZDA, kjer je LockBit izvedel največ najbolj škodljivih napadov, leta 2024 vložili obtožnico, ki obsega 26 točk, med drugim pa ga bremeni več poskusov goljufij, izsiljevanja, izsiljevanja z občutljivimi podatki in povzročanja škode na računalniških sistemih.
Združene države Amerike za informacije, ki bi vodile do prijetja Koroševa – domnevno se skriva v domači Rusiji – sicer ponujajo tudi nagrado v višini do deset milijonov dolarjev, kar je okrog 8,5 milijona evrov.
Če bi se Korošev udeležil sojenja v ZDA – malo je sicer verjetno, da bo to storil prostovoljno – in bil spoznan za krivega vse očitanih kaznivih dejanj, bi bil lahko obsojen na kar 185-letno zaporno kazen, plačati pa bi moral tudi denarno kazen v znesku več milijonov dolarjev.
LockBit se je vrnil, po tem ko so ga že skoraj razsuli na prafaktorje
Mednarodni organi pregona na čelu z NCA, FBI in Europolom so februarja lani sicer razkrili rezultate operacije Cronos, katere glavni cilj je bil prekiniti dejavnosti kiberkriminalne združbe Lockbit, identificirati odgovorne osebe in pomagati njihovim žrtvam.
Sodelujočim v operaciji Cronos je uspelo vdreti v omrežje združbe Lockbit na temnem spletu in prevzeti nadzor nad njihovo glavno spletno stranjo, pridobili pa so tudi več kot tisoč ključev za dešifriranje ukradenih podatkov in seznam strank, ki so vodstvu Lockbita plačevale za uporabo izsiljevalskega virusa oziroma kibernetske napade.
Iz Europola so lani sporočili, da so ob zasegu infrastrukture in spletne strani, na kateri so bili objavljeni podatki, ki jih je Lockbit po okužbi z izsiljevalskim virusom ukradel žrtvam, ugasnili 34 strežnikov, zamrznili več kot dvesto denarnic za kriptovalute, ki so bile uporabljene za nakazila odkupnin, in zaprli več kot 14 tisoč uporabniških računov različnih spletnih storitev, ki so jih hekerji uporabljali za izvrševanje kibernetskih napadov.
Operacija sicer ni potekala samo na (temnem) spletu, temveč tudi v resničnem življenju. V Ukrajini so organi pregona februarja aretirali dve osebi, očeta in sina, ki ju sumijo partnerstva z vodstvom organizacije Lockbit, eno osebo pa so aretirali tudi na Poljskem. Pri NCA pričakujejo, da bo zaradi razkritja seznama strank oziroma naročnikov kibernetskih napadov sledilo še več aretacij.