2024/06/07 16:56:25

LockBit (вирус-вымогатель)


Содержание

Вирусы-вымогатели (шифровальщики)

Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware

Хроника

2024

Двое россиян в США признались в участии в хакерской группировки Lockbit

18 июля 2024 года Министерство юстиции США сообщило о том, что двое россиян признали себя участниками хакерской группировки LockBit, специализирующейся на проведении кибератак с применением вируса-вымогателя. В незаконной деятельности сознались Руслан Астамиров и Михаил Васильев, которым грозит длительное тюремное заключение. Подробнее здесь

ФБР получило 7 тыс. ключей дешифрования вируса-вымогателя LockBit и начало помогать людям разблокировать компьютеры

Федеральное бюро расследований США (ФБР) объявило о получении более 7 тыс. ключей дешифрования для вируса-вымогателя LockBit, что позволяет агентству помогать жертвам этого вредоносного ПО восстановить доступ к своим данным. Об этом сообщил 6 июня 2024 года Брайан Ворндран, помощник директора кибернетического подразделения ФБР.

По словам Ворндрана, сбой в работе LockBit позволил ФБР получить ключи, и теперь подразделение активно помогает пострадавшим вернуть свои данные. Агентство призывает всех, кто стал жертвой этой кибератаки, обратиться в центр жалоб на интернет-преступления для получения помощи.

ФБР объявило о получении более 7 тыс. ключей дешифрования для вируса-вымогателя LockBit

Ворндран отметил, что этот шаг стал возможен спустя почти три месяца после того, как LockBit был отключен в ходе международной операции правоохранительных органов. Несмотря на это, менее чем через неделю, группа вернулась в сеть. Сейчас количество доступных ключей дешифрования значительно превышает изъятые ранее 1000 ключей в ходе февральских рейдов.

В феврале 2024 года власти Великобритании, США и Австралии объявили о новых санкциях против LockBit, назвав имя предполагаемого администратора группы — россиянина Дмитрия Хорошева, известного как LockBitSupp. По данным правоохранительных органов, власти США предлагали вознаграждение в 10 млн долларов за раскрытие его личности. В результате его идентификации он был подвергнут санкциям со стороны Министерства иностранных дел Великобритании, Управления по контролю за иностранными активами Министерства финансов США и Министерства иностранных дел Австралии.

Эрих Крон, специалист по повышению осведомленности о безопасности компании KnowBe4 Inc., отметил важность сохранения зашифрованных данных, даже если они были восстановлены из резервных копий.

«
Инфраструктура неоднократно подвергалась атакам, и ключи дешифрования становились доступными, — отметил Крон. — Даже организации, которые восстанавливали данные из резервных копий, часто сталкивались с нехваткой некоторых данных. В таких случаях предоставленные ключи дешифровки могут помочь восстановить утраченную информацию. Безусловно, возможность восстановить данные — это приятно, однако это не решает проблему для тех организаций, чьи данные были обнародованы за отказ платить выкуп. К сожалению, шифрование — это лишь часть проблемы.[1]
»

Лидер группировки попал под санкции США

7 мая 2024 года США ввели санкции против россиянина Дмитрия Хорошева, который, как утверждается, является лидером крупнейшей в мире группировки хакеров-вымогателей LockBit. За информацию, которая приведет к его аресту, назначено вознаграждение в размере $10 млн. Подробнее здесь.

2023

Знаменитая группировка вымогателей объявила о воровстве информации у Boeing

В конце октября на сайте одной из наиболее активных группировок вымогателей LockBit появилось сообщение о взломе информационных систем компании Boeing с помощью неизвестной ранее уязвимости и организации утечки конфиденциальных данных. Хакеры опубликовали полученные от компании данные. Подробнее

Атака вируса-вымогателя на ИТ-системы Varian парализовала работу оборудования в больницах

В начале августа 2023 года компания Siemens Healthineers сообщила о том, что компьютерная инфраструктура ее дочерней организации Varian Medical Systems подверглась кибератаке, за которой стоит группировка вымогателей LockBit. Хакерское вторжение парализовало работу оборудования в медицинских учреждениях. Подробнее здесь.

Работа крупнейшего порта Японии парализована из-за атаки вируса-вымогателя

5 июля 2023 года администрация крупнейшего грузового порта Японии, расположенного в городе Нагоя, сообщила о хакерском вторжении. В результате атаки вируса-вымогателя компьютерные системы оказались парализованы. Подробнее здесь.

Хакеры выложили в открытый доступ данные 8,9 млн пациентов одной из крупнейших в США сеть стоматологий, которая отказалась платить выкуп в $10 млн

26 мая 2023 года компания MCNA Dental (Managed Care of North America), один из крупнейших в США поставщиков стоматологических услуг и сервисов медицинского страхования, сообщила о взломе своей информационной инфраструктуры. Киберпреступники украли данные приблизительно о 8,9 млн пациентов. Подробнее здесь.

Банда вымогателей LockBit начала применять шифровальщик на базе кода нашумевшего вредоноса Conti

Банда вымогателей LockBit снова начала использовать сторонние шифровальщики в своих атаках. На этот раз злоумышленники воспользовались программой, основанной на утечке исходного кода Conti. Об этом стало известно 2 февраля 2023 года.

С момента начала своей активности LockBit использовала множество вариаций различных шифровальщиков данных.

Банда вымогателей Conti была расформирована в мае 2022 года после серии утечек данных. В сеть было слито около 170 тысяч внутренних сообщений киберпреступников, а также исходный код одноимённого шифровальщика. Вскоре после утечки исходного кода Conti — другие хакерские группировки начали использовать его для создания своих собственных шифровальщиков.

Аналитик вредоносных программ, известный как CyberGeeksTech, произвёл обратную разработку (reverse-engineering) полученного образца LockBit Green и сообщил, что он определенно основан на шифраторе Conti.

«
Странно, что они решили создать полезную нагрузку на основе Conti, у них же есть свой собственный шифровальщик, — сообщил CyberGeeksTech.
»

При тестировании образца на виртуальной машине было замечено, что записка с требованием выкупа была изменена. Используется старый шаблон от LockBit 3.0.

Записка о выкупе LockBit Green

Также было замечено, что шифровальщик добавляет к зашифрованным файлам расширение «.fc59d76b», а не «.lockbit», как это было раньше. Возможно, расширение не фиксированное, а отличается от запуска к запуску вредоноса.

Другое расширение зашифрованных файлов, используемое в LockBit Green

Пока исследователи ломают голову, зачем группировка LockBit использует шифровальщик на основе Conti, в сети уже строят теории заговора. Некоторые специалисты по безопасности считают, что за LockBit Green как раз и стоят бывшие участники банды Conti, и им банально удобнее пользоваться своей собственной разработкой[2].

2022

Японская полиция научилась разблокировать компьютеры, зараженные LockBit

В конце декабря 2022 года появилась информация о том, что правоохранительным органам Японии удалось успешно восстановить данные нескольких компаний, атакованных опасным вирусом-вымогателем.

Речь идёт о вредоносной программе LockBit. Она появилась ориентировочно в конце 2019 года и быстро стала одним из самых распространённых шифровальщиков-вымогателей. Цели варьируются от крупных транснациональных корпораций до местных органов власти. LockBit автоматически отыскивает подходящую жертву, распространяется по сети и зашифровывает все данные на инфицированных устройствах. После этого злоумышленники требуют выкуп за восстановление доступа к информации.

Японская полиция научилась разблокировать компьютеры в госкомпаниях, зараженные самым распространенным в мире вирусом-вымогателем

Как теперь сообщается, японской полиции удалось расшифровать корпоративные данные, заблокированные зловредом LockBit, без уплаты выкупа. В частности, с апреля 2022 года Национальное полицейское агентство Японии помогло восстановить информацию трём компаниям (в том числе из госсектора), которые стали жертвами названного вымогателя.

«
Мы смогли избежать потери данных или необходимости платить за их возврат, — сказал представитель компании Nittan, которая в сентябре 2022-го подверглась атаке LockBit.
»

Какие-либо подробности о технике восстановления зашифрованных файлов не раскрываются. Отмечается лишь, что в полиции Японии работают около 2400 следователей и технических специалистов, занимающихся киберпреступностью, в том числе около 450 экспертов, привлечённых из промышленности и научной отрасли.

Опрос, проведённый Trend Micro среди 2958 предприятий и организаций в 26 странах мира в мае и июне 2022-го, показал, что 66% из них подвергались атакам программ-вымогателей за последние три года. Причём более 40% жертв заявили, что согласились на требования злоумышленников о выплате выкупа.[3]

В ИТ-инфраструктуру оборонного гиганта Thales проник вирус-вымогатель. Хакеры требуют выкуп

11 ноября 2022 года хакеры атаковали американский филиал крупнейшей французской корпорации Thales, специализирующейся в том числе на военной электронике и средствах киберзащиты. Данные опубликованы на платформе хакерской группы LockBit. Подробнее здесь.

Завод Foxconn в Мексике атакован кибервымогателями

1 июня 2022 года стало известно о том, что LockBit 2.0, использующая одноименную программу-вымогатель, заявила, что успешно атаковала завод Foxconn в Мексике. Злоумышленники угрожают выложить украденную информацию в сеть 11 июня. Подробнее здесь.

Вирус-вымогатель LockBit начал блокировать систем клиентов Accenture

В конце августа 2021 года стало известно о том, что хакерская группа LockBit воспользовалась учетными данными, к которым был получен доступ во время кибератаки на Accenture, и начала блокировать системы клиентов компании. Подробнее здесь.

Accenture атаковал вирус-вымогатель Lockbit

В начале августа 2021 года компания Accenture стала жертвой атаки вируса-вымогателя Lockbit. Представители компании утверждают, что инцидент мало повлиял на ее деятельность. Подробнее здесь.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания