Веб-сайт банды вымогателей LockBit закрыт ФБР и международными правоохранительными органами

Киберотделение Национального агентства по борьбе с преступностью Великобритании, ФБР и международные партнеры отрезали злоумышленникам доступ к веб-сайту LockBit, который использовался как крупный магазин программ-вымогателей как услуги.

Что такое группа вымогателей LockBit?

По данным CISA, LockBit был наиболее распространенным типом программ-вымогателей, развернутых во всем мире в 2023 году. Вымогатели LockBit могли быть развернуты через скомпрометированные ссылки на веб-сайты, фишинг, кражу учетных данных или другие методы. С момента своего первого появления в январе 2020 года LockBit атаковал более 2000 жертв, общая сумма выплат с помощью программ-вымогателей составила более 120 миллионов долларов.

Банда управляла веб-сайтами, предлагающими программы-вымогатели как услугу, как законный бизнес, предлагая блог об утечках данных, программу вознаграждения за обнаружение уязвимостей в программах-вымогателях и регулярные обновления. Злоумышленникам, известным как «партнеры», будет предоставлена ​​программа-вымогатель с сайтов LockBit.

SEE: IBM и ISC2 предлагают совместный курс сертификации по кибербезопасности для начинающих. (Техреспублик)

Программа-вымогатель LockBit была развернута против организаций в различных отраслях, в частности в производстве, производстве полупроводников и здравоохранении. Кроме того, злоумышленники, использующие LockBit, направили программу-вымогатель на муниципальные объекты, в том числе на Королевскую почту Великобритании.

Сайт LockBit закрыт

20 февраля Министерство юстиции США объявило, что международные правоохранительные органы закрыли многочисленные веб-сайты, которые банда LockBit использовала для запуска атак с использованием программ-вымогателей. Правоохранительные группы из США, Великобритании, Франции, Германии, Швейцарии, Японии, Австралии, Швеции, Канады, Нидерландов, Финляндии и Европейского Союза внесли свой вклад в захват сайтов LockBit.

Согласно пресс-релизу, пяти отдельным предполагаемым членам LockBit были предъявлены обвинения в «участии в заговоре LockBit».

«За годы инновационной следственной работы ФБР и наши партнеры значительно ухудшили возможности тех хакеров, которые ответственны за запуск разрушительных атак с использованием программ-вымогателей на критическую инфраструктуру и другие государственные и частные организации по всему миру», — написал директор ФБР Кристофер А. Рэй в своем докладе. пресс-релиз.

«Для лиц, принимающих решения в сфере ИТ-решений, этот инцидент служит ярким напоминанием о необходимости принятия надежных мер кибербезопасности, ценности сотрудничества с правоохранительными органами и сообществами кибербезопасности, а также о необходимости гибкой, информированной стратегии реагирования», — сказала Лиза Плаггемье, исполнительный директор Национального альянса кибербезопасности в электронном письме TechRepublic.

Есть ли дешифратор для LockBit?

Национальное агентство по борьбе с преступностью Великобритании и международные партнеры создали возможности расшифровки, которые могут разблокировать данные, хранящиеся в LockBit с целью выкупа. Организации, на которые нацелен LockBit, могут отправить форму в ФБР, чтобы узнать, подойдет ли им технология дешифрования.

«Мы меняем ситуацию с LockBit — предоставляя ключи для расшифровки, разблокируя данные жертв и преследуя преступных партнеров LockBit по всему миру», — заявила заместитель генерального прокурора Лиза Монако в пресс-релизе Министерства юстиции.

Реакция злоумышленников на удаление LockBit

После взлома LockBit команда компании Searchlight Cyber, занимающейся разведкой киберугроз, проследила за общением в даркнете и обнаружила, что некоторые злоумышленники не были уверены, что сайт LockBit будет недоступен навсегда.

«Даже известные участники (на форуме Dark Web XSS), известные своей историей продажи первоначального доступа к корпоративным сетям – возможно, даже филиалы банды вымогателей – не были уверены, стоит ли им беспокоиться или нет, не зная, в какой степени инфраструктура LockBit был скомпрометирован», — сказал Влад Миронеску, аналитик по анализу угроз Searchlight Cyber, в электронном письме, предоставленном TechRepublic.

«Мы также наблюдали, как некоторые злоумышленники активно обвиняли LockBit в плохой операционной безопасности, среди предположений, что правоохранительные органы использовали уязвимости, обнаруженные в инфраструктуре LockBit, чтобы уничтожить группу», — сказал Миронеску.

Как смягчить атаки программ-вымогателей

Следуйте лучшим практикам кибербезопасности, чтобы снизить риск использования программ-вымогателей в вашей организации, в том числе:

Не нажимайте на подозрительные ссылки или подозрительные электронные письма. Постоянное обновление программного и аппаратного обеспечения. Резервное копирование ваших данных, включая хранение критически важных данных в автономном режиме. Применение принципа безопасности с наименьшими привилегиями, предоставляющего пользователям доступ только к тем данным компании, которые им нужны. Использование сильных спам-фильтров и брандмауэров.

Плаггемьер отметил, что хорошая многоуровневая стратегия безопасности также включает в себя обучение сотрудников, надежную защиту конечных точек, строгий контроль доступа и управление привилегиями, службы анализа угроз, внесение в белые списки приложений, регулярные проверки безопасности, тестирование на проникновение и участие в совместных инициативах по обмену информацией.

«Такой комплексный подход обеспечивает готовность и устойчивость к атакам программ-вымогателей, защищая критически важные активы и данные», — сказал Плаггемье.