Веб-сайт, связанный с операцией по распространению вируса-вымогателя LockBit, появился в сети в субботу, менее чем через неделю после того, как операция правоохранительных органов вывела из строя десятки серверов, связанных с этой группировкой, что подчеркивает спекулятивный характер борьбы с известными операторами программ-вымогателей.
На новом сайте LockBit опубликован список предполагаемых жертв, чьи данные преступная группировка угрожает раскрыть, если они не заплатят выкуп. В список входят как новые, так и старые объекты, включая правительственные системы округа Фултон, штат Джорджия, где власти ранее в этом месяце признали наличие серьёзной проблемы кибербезопасности.
В сомнительном, бессвязном сообщении, опубликованном в субботу, администраторы LockBit заявили, что данные округа Фултон стали причиной того, что ФБР начало операцию, учитывая, что «украденные документы содержат много интересного и связанного с судебными делами Дональда Трампа, которые могут повлиять на предстоящие выборы в США».
«Если бы не ситуация с выборами, ФБР продолжало бы сидеть на моем сервере, ожидая каких-либо зацепок, чтобы арестовать меня и моих сообщников», — говорится в заявлении, и добавляется, что LockBit собиралась опубликовать документы округа Фултон в тот день, когда правоохранительные органы отключили серверы.
Власти округа Фултон преследуют бывшего президента Дональда Трампа по обвинению в попытке отменить результаты президентских выборов 2020 года в Джорджии.
Пока не ясно, владеет ли LockBit, которая до проведенной на прошлой неделе правоохранительными органами операции считалась самой плодовитой в мире группой по распространению вирусов-вымогателей, файлами, связанными с Трампом, а британские власти, сыгравшие ведущую роль в операции по ее пресечению, заявили на прошлой неделе , что она началась в 2022 году.
В своем сообщении в субботу администраторы LockBit перечислили более двух десятков серверов, на которых, по их утверждению, хранятся данные жертв, а также более дюжины зеркал и полдюжины доменов, связанных с новым блогом.
В сообщении также говорилось, что группа считает, что её сайт, вероятно, был заблокирован из-за уязвимости в серверном программном обеспечении PHP. Уязвимая версия программного обеспечения не обновлялась, потому что «за пять лет купания в деньгах я стал очень ленивым», — говорилось в сообщении.
В заявлении, опубликованном во вторник на сайте CyberScoop, NCA заявило, что «смогло раскрыть всю их преступную операцию», и что LockBit остаётся «полностью скомпрометированной». Агентство предполагало, что группа «попытается перегруппироваться», но также «собрало огромный объём разведывательной информации о них и связанных с ними лицах, и наша работа по их выявлению и пресечению продолжается».
ФБР не ответило на вопросы о предполагаемом возвращении LockBit.
LockBitSupp, контактное лицо для публичных вопросов к группе, не ответил на ряд вопросов, отправленных в понедельник днем.
Баннер на новом сайте, каким он был вечером в понедельник, 26 февраля 2024 г. (CyberScoop).
По состоянию на понедельник точная степень доступности услуг LockBit для хакеров-преступников оставалась неясной, однако исследователи, изучающие сообщества вирусов-вымогателей, заявили, что попытка LockBit реанимировать свою деятельность не стала неожиданностью.
«Никто не позволит многомиллионному бизнесу рухнуть без борьбы», — заявил в понедельник CyberScoop Бретт Кэллоу, аналитик по угрозам компании Emsisoft. Кэллоу предупредил, что заявления LockBit «кажутся неправдоподобными и отдают отчаянием», и добавил, что «по всей вероятности, бренд Lockbit уже мёртв».
«Ни один разумный филиал не захочет сотрудничать с операцией, которая была настолько скомпрометирована и, если уж на то пошло, весьма вероятно, что она все еще полностью скомпрометирована», — сказал он.
Кэллоу заявил, что возвращение LockBit демонстрирует «бейте крота в борьбе с программами-вымогателями». В декабре ФБР конфисковало несколько серверов, связанных с группой ALPHV, занимающейся распространением вирусов-вымогателей, однако спустя несколько часов группировка заявила, что «отменила» их и возобновила работу.
«Пока не будут произведены аресты, группировки не удержатся», — сказал Кэллоу. «Мы видели это на примере ALPHV, и теперь видим это на примере LockBit».
В рамках операции против LockBit, проведенной на прошлой неделе, власти арестовали трех мужчин: одного в Польше и отца с сыном на Украине — за их предполагаемую роль в деятельности LockBit.
Главный администратор группы, известный в интернете как LockBitSupp, по всей видимости, остаётся на свободе. Правоохранительные органы заявили в пятницу, что раскроют личность LockBitSupp, но вместо этого опубликовали сообщение о том, что им известно его местонахождение, автомобиль, на котором он ездит, и сумма денег, которые у него есть. Власти также заявили, что LockBitSupp «сотрудничал с правоохранительными органами», возможно, с целью подорвать репутацию группы в киберпреступной среде.
Государственный департамент США предложил вознаграждение в размере до 15 миллионов долларов за информацию, которая поможет идентифицировать и/или арестовать руководство LockBit или лиц, замешанных в атаках, связанных с LockBit.
Адам Хики, бывший заместитель помощника генерального прокурора в Отделе национальной безопасности Министерства юстиции, на прошлой неделе заявил CyberScoop, что, хотя удаление вредоносных программ имеет важное значение, одних лишь операций правоохранительных органов будет недостаточно, чтобы искоренить явление программ-вымогателей.
«Некоторые страны не желают применять к своим гражданам достаточно непротиворечивые и нейтральные правила о том, что считается преступным поведением в интернете, если это отвечает их целям», — сказал Хики. «Если люди, совершающие подобные действия, в конечном итоге не будут арестованы и привлечены к ответственности ни их, ни нашим правительством, рынок для этого останется».
На новом сайте LockBit опубликован список предполагаемых жертв, чьи данные преступная группировка угрожает раскрыть, если они не заплатят выкуп. В список входят как новые, так и старые объекты, включая правительственные системы округа Фултон, штат Джорджия, где власти ранее в этом месяце признали наличие серьёзной проблемы кибербезопасности.
В сомнительном, бессвязном сообщении, опубликованном в субботу, администраторы LockBit заявили, что данные округа Фултон стали причиной того, что ФБР начало операцию, учитывая, что «украденные документы содержат много интересного и связанного с судебными делами Дональда Трампа, которые могут повлиять на предстоящие выборы в США».
«Если бы не ситуация с выборами, ФБР продолжало бы сидеть на моем сервере, ожидая каких-либо зацепок, чтобы арестовать меня и моих сообщников», — говорится в заявлении, и добавляется, что LockBit собиралась опубликовать документы округа Фултон в тот день, когда правоохранительные органы отключили серверы.
Власти округа Фултон преследуют бывшего президента Дональда Трампа по обвинению в попытке отменить результаты президентских выборов 2020 года в Джорджии.
Пока не ясно, владеет ли LockBit, которая до проведенной на прошлой неделе правоохранительными органами операции считалась самой плодовитой в мире группой по распространению вирусов-вымогателей, файлами, связанными с Трампом, а британские власти, сыгравшие ведущую роль в операции по ее пресечению, заявили на прошлой неделе , что она началась в 2022 году.
В своем сообщении в субботу администраторы LockBit перечислили более двух десятков серверов, на которых, по их утверждению, хранятся данные жертв, а также более дюжины зеркал и полдюжины доменов, связанных с новым блогом.
В сообщении также говорилось, что группа считает, что её сайт, вероятно, был заблокирован из-за уязвимости в серверном программном обеспечении PHP. Уязвимая версия программного обеспечения не обновлялась, потому что «за пять лет купания в деньгах я стал очень ленивым», — говорилось в сообщении.
В заявлении, опубликованном во вторник на сайте CyberScoop, NCA заявило, что «смогло раскрыть всю их преступную операцию», и что LockBit остаётся «полностью скомпрометированной». Агентство предполагало, что группа «попытается перегруппироваться», но также «собрало огромный объём разведывательной информации о них и связанных с ними лицах, и наша работа по их выявлению и пресечению продолжается».
ФБР не ответило на вопросы о предполагаемом возвращении LockBit.
LockBitSupp, контактное лицо для публичных вопросов к группе, не ответил на ряд вопросов, отправленных в понедельник днем.
По состоянию на понедельник точная степень доступности услуг LockBit для хакеров-преступников оставалась неясной, однако исследователи, изучающие сообщества вирусов-вымогателей, заявили, что попытка LockBit реанимировать свою деятельность не стала неожиданностью.
«Никто не позволит многомиллионному бизнесу рухнуть без борьбы», — заявил в понедельник CyberScoop Бретт Кэллоу, аналитик по угрозам компании Emsisoft. Кэллоу предупредил, что заявления LockBit «кажутся неправдоподобными и отдают отчаянием», и добавил, что «по всей вероятности, бренд Lockbit уже мёртв».
«Ни один разумный филиал не захочет сотрудничать с операцией, которая была настолько скомпрометирована и, если уж на то пошло, весьма вероятно, что она все еще полностью скомпрометирована», — сказал он.
Кэллоу заявил, что возвращение LockBit демонстрирует «бейте крота в борьбе с программами-вымогателями». В декабре ФБР конфисковало несколько серверов, связанных с группой ALPHV, занимающейся распространением вирусов-вымогателей, однако спустя несколько часов группировка заявила, что «отменила» их и возобновила работу.
«Пока не будут произведены аресты, группировки не удержатся», — сказал Кэллоу. «Мы видели это на примере ALPHV, и теперь видим это на примере LockBit».
В рамках операции против LockBit, проведенной на прошлой неделе, власти арестовали трех мужчин: одного в Польше и отца с сыном на Украине — за их предполагаемую роль в деятельности LockBit.
Главный администратор группы, известный в интернете как LockBitSupp, по всей видимости, остаётся на свободе. Правоохранительные органы заявили в пятницу, что раскроют личность LockBitSupp, но вместо этого опубликовали сообщение о том, что им известно его местонахождение, автомобиль, на котором он ездит, и сумма денег, которые у него есть. Власти также заявили, что LockBitSupp «сотрудничал с правоохранительными органами», возможно, с целью подорвать репутацию группы в киберпреступной среде.
Государственный департамент США предложил вознаграждение в размере до 15 миллионов долларов за информацию, которая поможет идентифицировать и/или арестовать руководство LockBit или лиц, замешанных в атаках, связанных с LockBit.
Адам Хики, бывший заместитель помощника генерального прокурора в Отделе национальной безопасности Министерства юстиции, на прошлой неделе заявил CyberScoop, что, хотя удаление вредоносных программ имеет важное значение, одних лишь операций правоохранительных органов будет недостаточно, чтобы искоренить явление программ-вымогателей.
«Некоторые страны не желают применять к своим гражданам достаточно непротиворечивые и нейтральные правила о том, что считается преступным поведением в интернете, если это отвечает их целям», — сказал Хики. «Если люди, совершающие подобные действия, в конечном итоге не будут арестованы и привлечены к ответственности ни их, ни нашим правительством, рынок для этого останется».
