Վիքիպեդիա

LockBit

LockBit, կիբերհանցավոր խմբավորում, որն առաջարկում է «փրկագին ծրագիր որպես ծառայություն» (Ransomware as a Service կամ RaaS): Խմբի կողմից մշակված ծրագրակազմը (որը նույնպես կոչվում է փրկագին ծրագիր) հնարավորություն է տալիս չարամիտներին, ովքեր պատրաստ են վճարել դրա օգտագործման համար, իրականացնել հարձակումներ երկակի մարտավարությամբ. նրանք ոչ միայն ծածկագրում են զոհի տվյալները և պահանջում փրկագին, այլև սպառնում են հրապարակայնորեն տարածել դրանք համացանցում, եթե իրենց պահանջները չկատարվեն[1]:

LockBit
Ransomware gang Խմբագրել Wikidata
Ստեղծում2019 Խմբագրել Wikidata
Տիրապետում էռուսերեն Խմբագրել Wikidata

LockBit-ը գործում է փոխկապակցված գործընկերների (affiliate) վրա հիմնված RaaS մոդելով, որտեղ հիմնական մշակողները պահպանում են վնասակար ծրագիրը, վճարումների ենթակառուցվածքը և տվյալների արտահոսքի կայքերը, իսկ գործընկերները պատասխանատու են զոհերի ցանցեր մուտք գործելու, տվյալների արտահանման և ներքին տեղաշարժերի համար[2]: Դերերի այս բաժանումը թույլ է տալիս մասշտաբավորել գործողությունները և նպաստել է խմբավորման կողմից իրականացվող հարձակումների մեծ ծավալին տարբեր ոլորտներում: Ներթափանցման հայտնի մեթոդները ներառում են գողացված հավատարմագրերի օգտագործումը և հանրային հասանելիություն ունեցող ծառայությունների խոցելիությունների շահագործումը[3]:

Համակարգերի ծածկագրումից բացի, LockBit հարձակումները սովորաբար ներառում են զգայուն տվյալների գողություն և նպատակաուղղված փորձեր՝ հայտնաբերելու ու անջատելու պահուստային պատճենման համակարգերը (backups) և ստվերային պատճենները, ինչը բարդացնում և երկարացնում է տուժած կազմակերպությունների վերականգնման գործընթացը[4]:

Ըստ տարբեր պետական գերատեսչությունների համատեղ հայտարարության՝ LockBit-ը 2022 թվականին եղել է աշխարհի ամենաակտիվ փրկագին ծրագիրը[5]: 2023 թվականի սկզբի տվյալներով՝ այն պատասխանատու էր գլոբալ մասշտաբով փրկագին ծրագրերի բոլոր միջադեպերի 44%-ի համար[6]: Միացյալ Նահանգներում 2020 թվականի հունվարից մինչև 2023 թվականի մայիսն ընկած ժամանակահատվածում LockBit-ն օգտագործվել է մոտ 1700 հարձակումներում, իսկ հաքերներին վճարված փրկագինը կազմել է շուրջ 91 միլիոն ԱՄՆ դոլար[5]:

Պետական մարմինները պաշտոնապես չեն կապել խմբավորումը որևէ կոնկրետ պետության հետ: «LockBit» անվամբ ծրագրակազմը առաջին անգամ հայտնվել է ռուսալեզու կիբերհանցավոր ֆորումում 2020 թվականի հունվարին[5]: Խմբավորումը հետապնդում է ֆինանսական շահ[6]: Այնուամենայնիվ, «Inside Darknet»-ին տված հարցազրույցում խմբի անդամները պնդել են, որ իրենք ռուս չեն[7]:

2024 թվականի փետրվարին իրավապահ մարմինները գրավեցին LockBit-ի դարքնեթում գտնվող այն կայքերը, որոնք օգտագործվում էին հարձակումների համար[8]: Սակայն հետագայում հաղորդվեց LockBit փրկագին ծրագրով նոր հարձակումների մասին, քանի որ խմբավորումը փորձում էր վերականգնել իր գործունեությունը[9]:

2025 թվականի մայիսին LockBit խմբավորման ենթակառուցվածքը կրկին կոտրվեց և ենթարկվեց դեֆեյսի (defacement): Այս տվյալների կոտրումը հանգեցրեց մեծածավալ տեղեկատվության հրապարակմանը, ինչի արդյունքում բացահայտվեցին Բիթքոյն դրամապանակների հասցեներ, հանրային ծածկագրման բանալիներ, զոհերի հետ ներքին չատերի մատյաններ, գործընկերների տվյալներ և այլ զգայուն տեղեկություններ[10][11]:

Նկարագրություն

խմբագրել

LockBit ծրագրակազմը գրված է եղել C և C++ ծրագրավորման լեզուներով, մինչև որ 2024 թվականի գործողության ժամանակ մշակման փուլում գտնվող LockBit-NG-Dev տարբերակի համար սկսեց օգտագործվել .NET-ը[9]: Այն մուտք է գործում համակարգչային համակարգեր՝ օգտագործելով գնված հասանելիությունները, չթարմացված խոցելիությունները, ներքին հասանելիությունը և զրոյական օրվա էքսպլոյտները՝ նման այլ վնասակար ծրագրերին: Այնուհետև LockBit-ը վերահսկողություն է հաստատում վարակված համակարգի վրա, հավաքում է ցանցային տեղեկատվություն, գողանում և ծածկագրում է տվյալները: Դրանից հետո զոհից պահանջվում է փրկագին վճարել տվյալների վերծանման համար, որպեսզի դրանք նորից հասանելի դառնան, իսկ հանցագործները խոստանում են ջնջել իրենց մոտ եղած պատճենը՝ հակառակ դեպքում սպառնալով հրապարակել տվյալները[12]: (Թեև փրկագնի վճարման դեպքում տվյալները չեն հրապարակվում, իրավապահների կողմից LockBit-ի ենթակառուցվածքի գրավման ժամանակ պարզվեց, որ դրանք իրականում չեն ջնջվել[13]):

LockBit-ը ուշադրության արժանացավ իր ստեղծած «StealBit» վնասակար ծրագրի շնորհիվ, որն ավտոմատացնում է տվյալների փոխանցումը ներթափանցողին: Այս գործիքը ներդրվել է LockBit 2.0 տարբերակի հետ, որն ունի արագ և արդյունավետ ծածկագրման հնարավորություններ: Իր ազդեցության գոտին ընդլայնելու համար LockBit-ը թողարկեց նաև Linux-ESXI Locker 1.0 տարբերակը, որը թիրախավորում է Linux հոստերը, մասնավորապես՝ VMware ESXi սերվերները[1]:

LockBit-ը հավաքագրում է գործընկերներ և համագործակցում այլ հանցավոր խմբերի հետ: Նրանք վարձում են ցանցային հասանելիության բրոքերների, համագործակցում են այնպիսի կազմակերպությունների հետ, ինչպիսին է Maze-ը, և հավաքագրում են ինսայդերների թիրախավորված ընկերություններից: Տաղանդավոր հաքերներ ներգրավելու համար նրանք հովանավորել են տեխնիկական հոդվածներ գրելու ընդհատակյա մրցույթներ[1]:

LockBit-ը թիրախավորել է տարբեր արդյունաբերական ոլորտներ ամբողջ աշխարհում, սակայն առողջապահության և կրթության ոլորտները ամենամեծ զոհերն են: Ըստ Trend Micro-ի՝ հարձակման փորձերի քանակով առաջատար թիրախային երկրներն են Միացյալ Նահանգները, Հնդկաստանը և Բրազիլիան[1]:

LockBit-ն արդյունավետ է և հարմարվող. նրանք շեշտը դնում են իրենց ծրագրի արագության և հնարավորությունների վրա՝ զոհերին գրավելու համար: Թիրախավորելիս նրանք հաշվի են առնում նաև արտաքին գործոնները, օրինակ՝ տվյալների գաղտնիության մասին օրենքները: LockBit-ի հաջողությունը մեծապես հիմնված է իր գործընկերային ծրագրի վրա, որն օգնում է նրանց նորարարություններ անել և մրցակցել փրկագին ծրագրերի շուկայում[1]:

Դարքնեթում գտնվող իր կայքում LockBit-ը նշել է, որ ինքը «գտնվում է Նիդերլանդներում, լիովին ապաքաղաքական է և միայն շահագրգռված է փողով»[14]:

Տեխնիկա և մարտավարություն

խմբագրել

LockBit-ի օպերատորները հաճախ սկզբնական մուտք են ստանում՝ շահագործելով Remote Desktop Protocol (RDP) խոցելի սերվերները կամ գործընկերներից գնված գողացված հավատարմագրերը: Մուտքի ուղիները ներառում են նաև ֆիշինգային էլեկտրոնային նամակներ՝ վնասակար հավելվածներով կամ հղումներով, թույլ RDP կամ VPN գաղտնաբառերի կոտրումը (brute-force) և խոցելիությունների շահագործումը (օրինակ՝ CVE-2018-13379-ը Fortinet VPN-ներում)[1]:

Տեղադրվելուց հետո LockBit փրկագին ծրագիրը հաճախ գործարկվում է Microsoft Windows-ում՝ հրամանային տողի արգումենտների, պլանավորված առաջադրանքների կամ PowerShell սկրիպտների միջոցով (օրինակ՝ PowerShell Empire): LockBit-ն օգտագործում է այնպիսի գործիքներ, ինչպիսիք են Mimikatz-ը, GMER-ը, Process Hacker-ը և ռեեստրի փոփոխությունները՝ հավատարմագրեր հավաքելու, անվտանգության համակարգերն անջատելու և պաշտպանությունից խուսափելու համար: Այն սկանավորում է ցանցային միացումները՝ բարձր արժեք ունեցող թիրախներ (օրինակ՝ դոմենի կարգավորիչներ) հայտնաբերելու համար՝ օգտագործելով Advanced Port Scanner-ի նման սկաներներ[1]:

Ցանցի ներսում կողմնային տեղաշարժի համար LockBit-ը տարածվում է SMB ֆայլերի փոխանակման միացումների միջոցով՝ օգտագործելով ավելի վաղ հավաքված հավատարմագրերը: Այլ տեխնիկաները ներառում են տարածումը վտանգված Group Policy օբյեկտների միջոցով կամ PsExec-ի և Cobalt Strike-ի նման գործիքների օգտագործումը[1]:

LockBit-ի հարձակման վերջնական փուլը ֆայլերի և ցանցային թղթապանակների ծածկագրումն է՝ օգտագործելով AES և RSA ալգորիթմները: Այն ծածկագրում է յուրաքանչյուր ֆայլի միայն առաջին մի քանի կիլոբայթը՝ գործընթացն արագացնելու համար, և ավելացնում է «.lockbit» ընդլայնումը: Այնուհետև LockBit-ը փոխում է աշխատասեղանի պաստառը փրկագնի պահանջով նշումով, ինչպես նաև կարող է տպել այդ նշումը միացված տպիչների միջոցով: Նպատակը փրկագնի կորզումն է՝ համակարգի աշխատանքը վերականգնելու և ֆայլերի հասանելիությունը վերադարձնելու դիմաց[1]:

Պատմություն

խմբագրել

LockBit վնասակար ծրագիրը նախկինում հայտնի էր «.abcd» անվամբ՝ ի պատիվ այն ֆայլային ընդլայնման, որն ավելացվում էր ծածկագրված ֆայլերին՝ դրանք անհասանելի դարձնելուց հետո[15]:

LockBit-ն առաջին անգամ նկատվել է 2019 թվականի սեպտեմբերին[16]:

LockBit 2.0

խմբագրել

LockBit 2.0-ն հայտնվեց 2021 թվականին[16] և ուշադրության կենտրոնում հայտնվեց նույն տարում Accenture-ի վրա կատարված հարձակմամբ, որտեղ, հավանաբար, ինսայդերն էր օգնել խմբավորմանը ներթափանցել ցանց: LockBit-ը հրապարակեց այս հարձակման ժամանակ գողացված տվյալների մի մասը[17]:

2022 թվականի հունվարին Thales էլեկտրոնային ընկերությունը դարձավ LockBit 2.0-ի զոհերից մեկը[18]:

2022 թվականի հուլիսին հարձակման ենթարկվեցին La Poste Mobile-ի վարչական և կառավարման ծառայությունները[19]:

2022 թվականի սեպտեմբերին խմբավորման հաքերները հայտարարեցին 28 կազմակերպությունների դեմ հարձակումների մասին, որոնցից 12-ը ֆրանսիական էին[20]: Դրանց թվում թիրախավորվել էր Կորբեյ-Էսոն հիվանդանոցը, որից պահանջվել էր 10 միլիոն ԱՄՆ դոլար փրկագին[21]:

2022 թվականի հոկտեմբերին LockBit խմբավորումը ստանձնեց Մեծ Բրիտանիայի ավտոմոբիլային մանրածախ վաճառքով զբաղվող Pendragon PLC խմբի վրա հարձակման պատասխանատվությունը՝ պահանջելով 60 միլիոն ԱՄՆ դոլար փրկագին ֆայլերը վերծանելու և դրանք չհրապարակելու համար. ընկերությունը հայտարարեց, որ մերժել է պահանջը[22]:

2022 թվականի հոկտեմբերի 31-ին LockBit հաքերային խմբավորումը հայտարարեց Thales Group-ի վրա երկրորդ անգամ հարձակվելու մասին և փրկագին չպահանջեց, բայց նշեց, որ տվյալները կհրապարակվեն: Հաքերային խմբավորումն առաջարկեց իր օգնությունը տվյալների գողությունից տուժած Thales-ի հաճախորդներին՝ ընկերության դեմ բողոք ներկայացնելու համար, քանի որ վերջինս «մեծապես անտեսել է գաղտնիության կանոնները»[23]: 2022 թվականի նոյեմբերի 10-ին LockBit 3.0 խմբավորումը դարքնեթում հրապարակեց 9,5 ԳԲ ծավալով արխիվ՝ Իտալիայում և Մալայզիայում Thales-ի պայմանագրերի վերաբերյալ գողացված տեղեկություններով[24]:

2022 թվականի նոյեմբերին OEHC-ն (Office d'Équipement Hydraulique de Corse) դարձավ հարձակման զոհ, ինչի հետևանքով ընկերության համակարգչային տվյալները ծածկագրվեցին: Հաքերային խմբի կողմից ներկայացվեց փրկագնի պահանջ, որին OEHC-ն չպատասխանեց[25]:

2022 թվականի դեկտեմբերին LockBit հաքերային խմբավորումը ստանձնեց Կալիֆոռնիայի ֆինանսների նախարարության վրա հարձակման պատասխանատվությունը: Նահանգապետի գրասենյակը խոստովանեց, որ դարձել է հարձակման զոհ՝ չհստակեցնելով դրա մասշտաբները: LockBit-ը պնդում էր, որ գողացել է 246,000 ֆայլ՝ 75,3 ԳԲ ընդհանուր ծավալով[26]:

2022 թվականի դեկտեմբերին հաքերային խմբավորումը հայտարարեց Լիսաբոնի նավահանգստի վրա հարձակման մասին: Փրկագինը սահմանվել էր 1,5 միլիոն ԱՄՆ դոլար, որը պետք է վճարվեր մինչև 2023 թվականի հունվարի 18-ը[27]:

2022 թվականի դեկտեմբերի 18-ին հաքերների մի խումբ հարձակվեց Տորոնտոյի Հիվանդ երեխաների հիվանդանոցի (Hospital for Sick Children) վրա: Գիտակցելով իրենց սխալը՝ հաքերային խմբավորումը դադարեցրեց հարձակումը, ներողություն խնդրեց և առաջարկեց անվճար լուծում ծածկագրված ֆայլերը վերականգնելու համար[28]: Հետագա հարցազրույցում LockBit-ի անդամները նշել են, որ իրենք հիվանդանոցների վրա չհարձակվելու քաղաքականություն ունեն[7]:

LockBit 3.0

խմբագրել

2022 թվականի հունիսի վերջին, երկամսյա բետա թեստավորումից հետո, խմբավորումը թողարկեց «LockBit 3.0»-ը՝ իրենց փրկագին ծրագրի վերջին տարբերակը: Հատկանշական է, որ խմբավորումը ներդրեց սխալների հայտնաբերման պարգևատրման (bug bounty) ծրագիր, որն առաջինն էր իր տեսակի մեջ փրկագին ծրագրերի գործողությունների ոլորտում: Նրանք հրավիրեցին անվտանգության հետազոտողներին փորձարկել իրենց ծրագրակազմը՝ անվտանգությունը բարելավելու նպատակով, առաջարկելով զգալի դրամական պարգևներ՝ 1,000-ից մինչև 1 միլիոն ԱՄՆ դոլար[1]:

2022 թվականի օգոստոսին գերմանական սարքավորումներ արտադրող Continental ընկերությունը ենթարկվեց LockBit-ի հարձակմանը: 2022 թվականի նոյեմբերին, չստանալով պատասխան փրկագնի պահանջին, հաքերային խմբավորումը հրապարակեց գողացված տվյալների մի մասը և առաջարկեց ամբողջական հասանելիություն 50 միլիոն եվրոյի դիմաց: Գողացված տվյալների թվում էին խմբի աշխատակիցների անձնական կյանքին վերաբերող տեղեկություններ, ինչպես նաև նամակագրություն գերմանական ավտոարտադրողների հետ: Տվյալների գողությունից բացի, վտանգն այն էր, որ դա ճանապարհ էր բացում արդյունաբերական լրտեսության համար: Մասնավորապես, Volkswagen-ի հետ նամակագրության մեջ առկա էին ՏՏ ոլորտի մանրամասներ՝ ինքնակառավարվող վարումից մինչև ժամանցային համակարգեր, որոնցում Volkswagen-ը ցանկանում էր, որ Continental-ը ներդրումներ կատարեր[29]:

2022 թվականի նոյեմբերին ԱՄՆ արդարադատության նախարարությունը հայտարարեց Ռուսաստանի և Կանադայի երկքաղաքացի Միխայիլ Վասիլևի ձերբակալության մասին՝ կապված LockBit արշավի հետ: Ըստ մեղադրանքի՝ Վասիլևը դավադրություն է կազմակերպել LockBit-ում ներգրավված այլ անձանց հետ: 2022 թվականի նոյեմբերի դրությամբ այս ծրագիրն օգտագործվել էր ավելի քան 1000 հարձակումներում ողջ աշխարհում: Զեկույցների համաձայն՝ LockBit-ի օպերատորները ներկայացրել էին առնվազն 100 միլիոն դոլարի փրկագնի պահանջ, որից տասնյակ միլիոնները վճարվել էին զոհերի կողմից[30]:

2023 թվականի հունվարին հաքերային խմբավորումը հայտարարեց ֆրանսիական Nuxe շքեղության ապրանքների ընկերության և մասնավոր կլինիկաների ELSAN խմբի վրա հարձակման մասին: Հաքերները գողացել էին 821 ԳԲ տվյալ ընկերության կենտրոնակայանից[31]: Նույն ամսում Royal Mail-ի միջազգային արտահանման ծառայությունները լուրջ խափանումներ ունեցան LockBit-ի հարձակման պատճառով[32]:

2023 թվականի փետրվարին խմբավորումը ստանձնեց կանադական Indigo Books and Music գրախանութների ցանցի վրա հարձակման պատասխանատվությունը[33]:

2023 թվականի մայիսի 16-ին հաքերները հայտարարեցին չինական China Daily թերթի հոնկոնգյան մասնաճյուղի վրա հարձակման մասին: Սա առաջին դեպքն էր, երբ խմբավորումը հարձակվում էր չինական ընկերության վրա: LockBit-ը չի հարձակվում ռուսական կազմակերպությունների վրա և խուսափում է Ռուսաստանի դաշնակիցներին թիրախավորելուց[34]:

2023 թվականի հունիսին ԱՄՆ արդարադատության նախարարությունը հայտարարեց Ռուսաստանի քաղաքացի Ռուսլան Մագոմեդովիչ Աստամիրովի դեմ քրեական մեղադրանքների մասին՝ LockBit արշավին որպես գործընկեր մասնակցելու համար: Ըստ մեղադրանքի՝ նա իրականացրել էր առնվազն հինգ հարձակում և փրկագնի մի մասը ստացել բիթքոյնով[35]:

2023 թվականի հունիսի վերջին TSMC խմբավորումը դարձավ հարձակման զոհ իր մատակարարներից մեկի միջոցով: LockBit-ը պահանջեց 70 միլիոն դոլար փրկագին[36]:

2023 թվականի հոկտեմբերին LockBit-ը հայտարարեց Boeing-ից զգայուն տվյալներ գողանալու մասին[37]: Նոյեմբերին խմբավորումը համացանցում հրապարակեց գողացված ներքին տվյալները:

2023 թվականի նոյեմբերին LockBit-ը հարձակվեց չինական պետական «Չինաստանի արդյունաբերական և առևտրային բանկի» (ICBC) ամերիկյան մասնաճյուղի վրա[38]: ICBC-ն այդ ժամանակ համարվում էր աշխարհի խոշորագույն վարկատուն՝ ըստ ակտիվների:

2024 թվականի հունվարին խմբավորումը հարձակվեց Ֆուլտոն շրջանի (Ջորջիա, ԱՄՆ) համակարգիչների վրա[39]: Շրջանային իշխանությունները հայտարարեցին, որ փրկագին չեն վճարել և որ հարձակումը կապված չի եղել ընտրական գործընթացների հետ:

2024 թվականի մայիսին խմբավորումը հարձակվեց կանադական London Drugs առևտրային ցանցի վրա՝ պահանջելով 25 միլիոն դոլար փրկագին: Ընկերությունը հրաժարվեց վճարել, ինչից հետո LockBit-ը հրապարակեց գողացված տվյալները:

2024 թվականի հունիսին LockBit-ը հարձակվեց Զագրեբի համալսարանական հիվանդանոցային կենտրոնի վրա, որը Խորվաթիայի խոշորագույն բժշկական հաստատությունն է: Հարձակումը հիվանդանոցի աշխատանքը «50 տարով հետ գցեց՝ ստիպելով անցնել թղթի ու մատիտի»: Խորվաթիայի կառավարությունը հրաժարվեց բանակցել հանցագործների հետ[40]:

2025 թվականի մարտին Forescout-ի հետազոտողները հայտնեցին, որ Mora_001 հաքերային խմբավորումն օգտագործել է LockBit 3.0-ի տարբերակը (հայտնի որպես LockBit Black) որպես հիմք նոր՝ «SuperBlack» տեսակի վնասակար ծրագրի համար: Ըստ «The Register»-ի՝ հանցագործները փոփոխել են բնօրինակ ծրագիրը՝ հեռացնելով LockBit-ի բրենդինգը և ավելացնելով տվյալների արտահանման հատուկ մոդուլ[41]:

LockBit-NG-Dev (LockBit 4?)

խմբագրել

Երբ 2024 թվականի փետրվարին իրավապահ մարմինները փակեցին LockBit-ի սերվերը, պարզվեց, որ նոր տարբերակը՝ LockBit-NG-Dev-ը (որը հավանաբար պետք է թողարկվեր որպես LockBit 4.0), գտնվում էր մշակման առաջ փուլում[42]: Trend Micro-ն հրապարակեց դրա վերաբերյալ մանրամասն զեկույց[43]:

2024 թվականի դեկտեմբերին LockBit-ը հայտարարեց իր փրկագին ծրագրի 4.0 տարբերակի մասին, որի թողարկումը նախատեսված էր 2025 թվականի փետրվարին: Խմբավորումն ընդլայնեց իր դարքնեթյան ենթակառուցվածքը և հետազոտողների հետ կիսվեց նմուշներով: Գործարկումը հաջորդեց նույն տարվա սկզբին իրավապահների կողմից իրականացված խոշոր գործողությանը, որը խաթարել էր խմբի աշխատանքը[44]:

Իր 2024 թվականի Ինտերնետային հանցագործությունների զեկույցում ՀԴԲ-ն (FBI) նշել է LockBit-ը որպես ԱՄՆ կրիտիկական ենթակառուցվածքների վրա ամենաշատ հարձակվող փրկագին ծրագիրը: Cisco Talos-ը նույնպես դասել է LockBit-ին որպես առաջատար խմբավորում՝ ըստ հարձակումների ծավալի, որին բաժին է ընկնում հարձակումների 16 տոկոսը: Հետազոտողները խմբի շարունակական գործունեությունը կապում են LockBit-ի «builder»-ի արտահոսքի հետ և նշում, որ խմբավորման գործունեության խաթարումը կարող էր խթանել մրցակից օպերացիաների աճը, ինչպիսիք են Akira-ն և RansomHub-ը[45]:

Իրավապահների կողմից իրականացված գրավումը 2024 թվականին

խմբագրել

2024 թվականի փետրվարի 19-ին Հանցավորության դեմ պայքարի ազգային գործակալությունը (NCA)՝ համագործակցելով Եվրոպոլի և այլ միջազգային իրավապահ մարմինների հետ, «Կրոնոս» գործողության շրջանակներում իր վերահսկողության տակ վերցրեց LockBit հաքերային խմբին պատկանող դարքնեթյան կայքերը[46]: Չհաստատված տեղեկությունների համաձայն՝ LockBit-ը հայտարարել էր, որ PHP ծրագրավորման լեզվով աշխատող իրենց սերվերները վնասվել են, սակայն պահուստային սերվերները, որոնք չեն օգտագործում PHP, «մնացել են անձեռնմխելի»[14]: Ձերբակալություններ են իրականացվել Ուկրաինայում, Լեհաստանում և ԱՄՆ-ում: Նշվել են նաև երկու ռուսաստանցիների անուններ, սակայն նրանք չեն ձերբակալվել: Ըստ NCA-ի գլխավոր տնօրեն Գրեմ Բիգարի՝ իրավապահները «վերահսկողություն են հաստատել նրանց ենթակառուցվածքների վրա, առգրավել են ելակետային կոդը և ստացել բանալիներ, որոնք կօգնեն զոհերին վերծանել իրենց համակարգերը»[13]: LockBit 3.0-ի համար վերծանիչը (decryptor) ստեղծվել է առգրավված բանալիների հիման վրա և անվճար հասանելի դարձել «No More Ransom» հարթակում: Գործողությունից հետո իրավապահները խմբի կայքում տեղեկություններ հրապարակեցին այն մասին, որ LockBit-ն ունեցել է առնվազն 188 գործընկեր (affiliates)[9]: Իրավապահները նաև հայտնաբերել են 30,000 բիթքոյն հասցեներ, որոնք օգտագործվել են փրկագնի վճարումներից ստացված շահույթը կառավարելու համար, և որոնցում առկա էր 2,200 BTC (շուրջ 112 միլիոն ԱՄՆ դոլար)[47]:

Գործունեություն առգրավումից հետո

խմբագրել

2024 թվականի փետրվարի 22-ի դրությամբ LockBit փրկագին ծրագիրը դեռ շարունակում էր տարածվել[9][48]: 2024 թվականի փետրվարի 24-ին հայտնվեց մի նոր կայք, որը պնդում էր, թե կառավարվում է LockBit-ի կողմից[49]: Նոր կայքում նշված էին ավելի քան մեկ տասնյակ ենթադրյալ զոհեր, այդ թվում՝ ՀԴԲ-ն, հիվանդանոցներ և Ջորջիա նահանգի Ֆուլտոն շրջանը[49]: Կայքը սպառնում էր հրապարակել Ֆուլտոն շրջանին վերաբերող տեղեկությունները, եթե փրկագինը չվճարվեր մինչև 2024 թվականի մարտի 2-ը[49]: Այն նաև պնդում էր, որ տիրապետում է սպանության գործով երդվյալ ատենակալների ինքնությանը[49]: Բացի այդ, սպառնալիք կար հրապարակել Ֆուլտոն շրջանի այն փաստաթղթերը, որոնք առնչվում էին Դոնալդ Թրամփի դեմ դատական գործերին[49]:

2024 թվականի մայիսի 7-ին մեղադրանքներ և պատժամիջոցներ հայտարարվեցին Դմիտրի Խորոշևի դեմ, ով համարվում է LockBit-ի ադմինիստրատորն ու մշակողը[50][51]:

2024 թվականի մայիսի 21-ին LockBit-ը ստանձնեց կանադական London Drugs առևտրային ցանցի կորպորատիվ գրասենյակների վրա հարձակման պատասխանատվությունը՝ պահանջելով 25 միլիոն դոլար փրկագին[52]: Հարձակման պատճառով London Drugs-ի բոլոր խանութները ողջ երկրում փակ մնացին 2024 թվականի ապրիլի 28-ից մայիսի 7-ը[53]: Ընկերությունը հրաժարվեց վճարել փրկագինը և հայտարարեց, որ հաճախորդների և հիմնական աշխատակիցների տվյալները չեն տուժել[52]:

2024 թվականի հունիսին LockBit-ը հայտարարեց Evolve Bank & Trust-ի՝ բազմաթիվ ֆինտեք ընկերությունների (ներառյալ Stripe, Mercury, Affirm և Airwallex) գործընկեր բանկի տվյալների զանգվածային արտահոսքի մասին[54]: Խմբավորումը սկզբում սպառնում էր հրապարակել ԱՄՆ Դաշնային պահուստային համակարգի տվյալները, սակայն պարզվեց, որ արտահոսած տեղեկատվությունը ստացվել էր անմիջապես Evolve բանկից, այլ ոչ թե Դաշնային պահուստից[55]:

2025 թվականին իսրայելցի մշակող Ռոստիսլավ Պանևը արտահանձնվեց ԱՄՆ՝ LockBit փրկագին ծրագրի մշակմանը մասնակցելու մեղադրանքով[56]: Ըստ վերլուծաբանների՝ 2025 թվականի մայիսին LockBit-ը ենթարկվել էր հակահարձակման (հաքի)[57]:

2025 թվականի սեպտեմբերին անվտանգության հետազոտողները հայտնեցին LockBit 5.0 նոր տարբերակի հայտնվելու մասին, ինչը նշանավորեց խմբավորման վերածնունդը 2024 թվականի իրավապահների գործողությունից հետո: Թարմացված տարբերակը ներկայացրեց հատուկ վնասակար կոդեր (payloads) Windows, Linux և VMware ESXi միջավայրերի համար՝ արտացոլելով խմբի կենտրոնացումը կորպորատիվ ցանցերի դեմ բազմահարթակ հարձակումների վրա[58]:

Տեխնիկական վերլուծությունները մատնանշեցին պաշտպանական մեխանիզմներից խուսափելու կատարելագործված մեթոդներ, այդ թվում՝ լոգերի մաքրում, Event Tracing for Windows (ETW) համակարգի շրջանցում և խորը օբֆուսկացիա (կոդի քողարկում), ինչպես նաև XChaCha20 և Curve25519 կոդավորման ալգորիթմների կիրառում: Բազմահարթակ հնարավորությունները թույլ են տալիս խմբի անդամներին իրականացնել համակարգված հարձակումներ տարբեր ենթակառուցվածքների, հատկապես վիրտուալացված միջավայրերի վրա[59]:

Ծանոթագրություններ

խմբագրել
  1. 1 2 3 4 5 6 7 8 9 10 «Ransomware Spotlight: LockBit». Trendmicro. Արխիվացված օրիգինալից 2023-07-07-ին. Վերցված է 2023-07-07-ին.
  2. «Understanding Ransomware Threat Actors: LockBit». CISA. Վերցված է 2026-02-23-ին.
  3. «Ransomware Spotlight: LockBit». Trend Micro. Վերցված է 2026-02-23-ին.
  4. «The State of Ransomware 2023». Sophos. Վերցված է 2026-02-23-ին.
  5. 1 2 3 «Understanding Ransomware Threat Actors: LockBit». CISA. 2023-06-14. Արխիվացված օրիգինալից 2023-11-25-ին. Վերցված է 2023-11-25-ին.
  6. 1 2 Tunney, Catharine (2023 թ․ փետրվարի 3). «Intelligence agency says ransomware group with Russian ties poses 'an enduring threat' to Canada». Canadian Broadcasting Corporation. Արխիվացված օրիգինալից 2023 թ․ նոյեմբերի 25-ին. Վերցված է 2023 թ․ նոյեմբերի 25-ին.
  7. 1 2 «Inside Darknet Podcast - Episode 27 - LockBit Group». YouTube. 2024. Վերցված է 2024 թ․ օգոստոսի 14-ին.
  8. Sharwood, Simon (2024-02-20). «LockBit ransomware gang disrupted by global operation». The Register. Արխիվացված օրիգինալից 2024-02-21-ին. Վերցված է 2024-02-21-ին.
  9. 1 2 3 4 Gatlan, Sergiu (2024 թ․ փետրվարի 22). «ScreenConnect servers hacked in LockBit ransomware attacks». BleepingComputer. Վերցված է 2024 թ․ փետրվարի 23-ին.
  10. «LockBit ransomware gang hacked, victim negotiations exposed». BleepingComputer (ամերիկյան անգլերեն). Վերցված է 2025-05-13-ին.
  11. cointrackdaily (2025-05-08). «LockBit leak exposes 60,000 Bitcoin addresses in major blow to ransomware syndicate». Coin Track Daily (ամերիկյան անգլերեն). Վերցված է 2025-05-08-ին.
  12. «How LockBit Ransomware Works (TT&P)». BlackBerry. Արխիվացված օրիգինալից 2024 թ․ փետրվարի 20-ին. Վերցված է 2024 թ․ փետրվարի 20-ին.
  13. 1 2 Hern, Alex (2024-02-20). «UK and US hack the hackers to bring down LockBit crime gang». The Guardian. Վերցված է 2024-02-20-ին.
  14. 1 2 «Prolific cybercrime gang disrupted by joint UK, US and EU operation». The Guardian. Reuters. 2024 թ․ փետրվարի 19. Արխիվացված օրիգինալից 2024 թ․ փետրվարի 20-ին. Վերցված է 2024 թ․ փետրվարի 20-ին.
  15. Milmo, Dan (2023-01-13). «What is LockBit ransomware and how does it operate?». The Guardian (բրիտանական անգլերեն). ISSN 0261-3077. Արխիվացված օրիգինալից 2023-06-14-ին. Վերցված է 2023-07-20-ին.
  16. 1 2 «What Is LockBit Ransomware?». Blackberry. Արխիվացված օրիգինալից 2023-07-20-ին. Վերցված է 2023-07-20-ին.
  17. «LockBit 2.0 Ransomware: An In-Depth Look at Lockfile & LockBit». Avertium. Արխիվացված օրիգինալից 2023-07-07-ին. Վերցված է 2023-07-07-ին.
  18. Damien Licata Caruso (2022 թ․ հունվարի 18). «Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale». Le Parisien (ֆրանսերեն). Վերցված է 2023 թ․ հուլիսի 21-ին.
  19. «Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile . La Tribune (ֆրանսերեն). 2022-07-08. Վերցված է 2023-07-21-ին.
  20. Bodnar, Bogdan (2022-09-14). «Les hackers de l'hôpital de Corbeil-Essonnes revendiquent 12 cyberattaques d'organismes français». Numerama (ֆրանսերեն). Վերցված է 2023-07-21-ին.
  21. «Cybercriminalité: l'hôpital de Corbeil-Essonnes refuse de payer la rançon, les hackeurs ont commencé à diffuser des données». Le Monde (ֆրանսերեն). 2022-09-25. Վերցված է 2023-07-21-ին.
  22. «Pendragon car dealer refuses $60 million LockBit ransomware demand». BleepingComputer. 2022 թ․ հոկտեմբերի 24. Վերցված է 2023 թ․ հուլիսի 21-ին.
  23. «INFO FRANCEINFO. Un groupe de hackers revendique une cyberattaque against Thales». Franceinfo (ֆրանսերեն). 2022-10-31. Վերցված է 2023-07-21-ին.
  24. «Cybersécurité: des données volées à Thales publiées sur le darkweb». Le Figaro (ֆրանսերեն). 2022-11-11. Վերցված է 2023-07-21-ին.
  25. «Cyberattaque: L'OEHC refuse de négocier, et promet un retour à la normale le plus rapidement possible». France 3 Corse ViaStella (ֆրանսերեն). 2022-11-16. Վերցված է 2023-07-21-ին.
  26. Ilascu, Ionut (2022 թ․ դեկտեմբերի 13). «LockBit claims attack on California's Department of Finance». BleepingComputer (ամերիկյան անգլերեն). Վերցված է 2023-07-21-ին.
  27. «LockBit ransomware claims attack on Port of Lisbon in Portugal». BleepingComputer (ամերիկյան անգլերեն). Վերցված է 2023-07-21-ին.
  28. «Ransomware: après l'attaque d'un hôpital pour enfants, comment ce gang de pirates s'est excusé». Clubic (ֆրանսերեն). 2023-01-02. Վերցված է 2023-07-21-ին.
  29. «Continental victime d'une cyberattaque à 50 millions de dollars». Les Echos (ֆրանսերեն). 2022-11-15. Վերցված է 2023-07-21-ին.
  30. «Russian-Canadian arrested over global LockBit ransomware campaign». BBC News (բրիտանական անգլերեն). 2022-11-10. Վերցված է 2023-07-20-ին.
  31. Thierry, Gabriel (2023-01-26). «Le leader français de la santé privée visé par LockBit». ZDNet France (ֆրանսերեն). Վերցված է 2023-07-21-ին.
  32. «Royal Mail faces threat from ransomware group LockBit». Reuters. 2023-02-08. Վերցված է 2023-07-20-ին.
  33. «Qu'est-ce que LockBit, le rançongiciel utilisé contre les librairies Indigo?». Les affaires (ֆրանսերեն). Վերցված է 2023-07-21-ին.
  34. Bodnar, Bogdan (2023-05-16). «Cyberattaque contre un grand média chinois, pourquoi est-ce inédit . Numerama (ֆրանսերեն). Վերցված է 2023-07-21-ին.
  35. «Russian National Arrested and Charged with Conspiring to Commit LockBit Ransomware Attacks». www.justice.gov. 2023-06-15. Վերցված է 2023-07-20-ին.
  36. «TSMC denies LockBit hack as ransomware gang demands $70 million». BleepingComputer. Վերցված է 2023-07-21-ին.
  37. Vigliarolo, Brandon (2023-10-30). «LockBit alleges it boarded Boeing, stole 'sensitive data'». The Register.
  38. «World's Biggest Bank Forced to Trade Via USB Stick After Hack». Bloomberg. 2023-11-10. Վերցված է 2023-11-10-ին.
  39. Chidi, George (2024-02-12). «Fulton county's systems were hacked». The Guardian.
  40. «Croatian hospital's data leaked on dark web after cyberattack». Yahoo! Finance. 2024-07-02.
  41. «New kids on the ransomware block channel Lockbit to raid Fortinet firewalls». The Register. 2025 թ․ մարտի 14. Վերցված է 2025 թ․ ապրիլի 24-ին.
  42. Toulas, Bill (2024 թ․ փետրվարի 22). «LockBit ransomware secretly building next-gen encryptor before takedown». Bleeping Computer. Վերցված է 2024 թ․ փետրվարի 23-ին.
  43. Technical Appendix: LockBit-NG-Dev Detailed Analysis (PDF) (Report). Trend Research. 2024 թ․ փետրվարի 22. Վերցված է 2024 թ․ փետրվարի 23-ին.
  44. «LockBit Admins Tease a New Ransomware Version». Infosecurity Magazine. 2024 թ․ դեկտեմբերի 20. Վերցված է 2025 թ․ ապրիլի 24-ին.
  45. «Ransomware scum and other crims bilked victims out of a 'staggering' $16.6B last year, says FBI». The Register. 2025 թ․ ապրիլի 24. Վերցված է 2025 թ․ ապրիլի 24-ին.
  46. Gatlan, Sergiu (2024-02-19). «LockBit ransomware disrupted by global police operation». BleepingComputer.
  47. «LockBit ransomware gang has over $110 million in unspent bitcoin». BleepingComputer. Վերցված է 2024-02-24-ին.
  48. Goodin, Dan (2024-02-22). «Ransomware associated with LockBit still spreading 2 days after server takedown». Ars Technica. Վերցված է 2024-02-22-ին.
  49. 1 2 3 4 5 Lyons, Jessica (2024-02-26). «Back from the dead: LockBit taunts cops, threatens to leak Trump docs». The Register. Վերցված է 2024-02-26-ին.
  50. «LockBit leader unmasked and sanctioned». NCA. 2024-05-07. Վերցված է 2024-05-07-ին.
  51. «U.S. Charges Russian National with Developing and Operating LockBit Ransomware». Justice.gov. 2024-05-07. Վերցված է 2024-05-07-ին.
  52. 1 2 «London Drugs hackers seek millions in ransom on claims of stolen employee data». Global News. Վերցված է 2024-05-22-ին.
  53. «All London Drugs stores in Western Canada reopen following cyberattack». Global News. Վերցված է 2024-05-22-ին.
  54. Xie, Teresa; Gorrivan, Charles (2024-06-26). «Evolve Bank & Trust Confirms Data Was Stolen in Cyber Attack». Bloomberg. Վերցված է 2024-06-27-ին.
  55. Croft, Daniel (2024-06-26). «LockBit lies about US Federal Reserve data, publishes alleged Evolve Bank data». www.cyberdaily.au. Վերցված է 2024-06-27-ին.
  56. «Alleged Israeli LockBit Developer Rostislav Panev Extradited to U.S. for Cybercrime Charges». The Hacker News. Վերցված է 2025-04-07-ին.
  57. Reuters
  58. «LockBit strikes with new 5.0 version targeting Windows, Linux and ESXi systems». Acronis. Վերցված է 2026-02-23-ին.
  59. «New LockBit 5.0 Targets Windows, Linux, ESXi». Trend Micro. Վերցված է 2026-02-23-ին.
Ստացված է «https://hy.wikipedia.org/w/index.php?title=LockBit&oldid=10757223» էջից