LockBit upadł, ale te 5 innych zagrożeń ransomware zajmie jego miejsce
Szybkie linki
⭐ Co to jest LockBit Ransomware?
⭐ Co się stało z LockBit?
⭐ 5 rodzajów ransomware, które zastąpią LockBit
⭐ Czy LockBit Ransomware jest całkowicie gotowy?
Kluczowe wnioski
Organy ścigania z powodzeniem ograniczyły możliwości operacyjne LockBit, znanej grupy ransomware, atakując jej infrastrukturę i sieć afiliacyjną. Warto jednak zauważyć, że istnieją inne powstające grupy ransomware, które z niecierpliwością czekają, aby wykorzystać każdą okazję do wypełnienia pustki pozostawionej przez niepowodzenie LockBit.
Poinformowano, że niektóre organizacje odpowiedzialne za usunięcie LockBit zaczęły udostępniać narzędzia deszyfrujące dla osób dotkniętych incydentem; należy jednak zauważyć, że obecnie nie można zagwarantować pomyślnego odzyskania danych.
Pomimo upadku LockBit, wiele nowych grup ransomware zyskało na znaczeniu, a kilka godnych uwagi odmian jest obecnie w stanie przejąć jego dawną rolę w cyberprzestępczym krajobrazie.
W ostatnim czasie LockBit zyskał złą sławę jako szczególnie nikczemna grupa ransomware, gromadząca znaczne sumy poprzez wymuszenia, szacowane na ponad kilkaset milionów dolarów, jednocześnie powodując rozległe uszkodzenia ogromnych ilości informacji cyfrowych.
W wyniku skoordynowanych działań organów ścigania, LockBit doświadczył znacznych niepowodzeń związanych z usunięciem swojej strony internetowej i ujawnieniem sieci partnerskiej oraz rezerw kryptowalut. Należy jednak zauważyć, że nie oznacza to zaprzestania działalności oprogramowania ransomware, ponieważ liczne alternatywne formy nadal istnieją i stanowią zagrożenie.
Co to jest LockBit Ransomware?
Ransomware to szczególnie nikczemna forma złośliwego oprogramowania, która wymusza na ofiarach zamknięcie ich urządzenia komputerowego w nieprzeniknionej barierze, czyniąc je bezużytecznym do czasu zapłacenia okupu za ujawnienie poufnych informacji.
LockBit to nielegalna organizacja odpowiedzialna za rozwój, obsługę i dystrybucję tytułowego oprogramowania ransomware znanego jako LockBit. Jego zła sława wynika z szerokiego wpływu na wiele przedsiębiorstw, instytucji i osób prywatnych na całym świecie, a szacunki wskazują na potencjalne przychody w wysokości wielu miliardów dolarów.
LockBit wykazuje niezwykłą cechę, ponieważ posiada zdolność do autonomicznego rozprzestrzeniania się, co czyni go wysoce zaraźliwym i trudnym do powstrzymania.Samoreplikujący się charakter LockBit odróżnia go od innych form ransomware, czyniąc go wyjątkowo niebezpiecznym ze względu na jego zdolność do szybkiego rozprzestrzeniania się przy minimalnej interwencji człowieka. W związku z tym powstrzymanie epidemii ransomware LockBit wiąże się ze znacznymi trudnościami, ponieważ złośliwe oprogramowanie może niezależnie atakować nowe ofiary.
Rzeczywiście, kolektyw LockBit jest znany z konsekwentnego aktualizowania swojego oprogramowania ransomware o innowacyjne funkcje i udoskonalania jego możliwości w celu utrzymania jego siły. Ostatnia znacząca wersja LockBit 3.0 miała miejsce w czerwcu 2022 roku.
Co się stało z LockBit?
19 lutego 2024 r. różne organy ścigania, takie jak Federalne Biuro Śledcze (FBI), brytyjska Narodowa Agencja ds. Przestępczości i Europol, ogłosiły, że skoordynowany wysiłek skutecznie ograniczył funkcjonalność przestępczego przedsiębiorstwa LockBit.
W wyniku operacji Cronos właściciele i współpracownicy LockBit, w tym osoby uczestniczące w sieci partnerskiej wykorzystującej ransomware jako usługę, zostali wykluczeni ze swojej sieci, co spowodowało zamknięcie około 11 000 nazw domen i serwerów. Ponadto zatrzymano dwie osoby związane z rozwojem LockBit, a w ramach tej operacji zatrzymano również dodatkowych członków programu partnerskiego LockBit.
Według CISA ataki LockBit stanowiły ponad 15 procent wszystkich ataków ransomware w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Australii i Nowej Zelandii w 2022 roku, co jest fenomenalną liczbą. Ale ponieważ główne konto administracyjne i platforma LockBit znajdują się pod kontrolą władz, jego zdolność do uruchamiania i kontrolowania sieci została skutecznie wyeliminowana.
Kiedy narzędzia deszyfrujące LockBit staną się dostępne?
Kilka uczestniczących podmiotów odpowiedzialnych za operację LockBit szybko podjęło działania, dystrybuując narzędzia deszyfrujące i dostarczając kody kluczy, aby pomóc poszkodowanym osobom w przywróceniu ich danych, które zostały zaszyfrowane podczas cyberataku.
⭐ US/FBI: Skontaktuj się z FBI, aby uzyskać klucze za pośrednictwem LockBit Victims
Prosimy o kontakt z National Crime Agency (NCA) przy użyciu podanego adresu e-mail, [email protected] , w celu uzyskania kluczy dostępu do konta w tej agencji.
⭐ Others/Europol, Polite (NL) Postępuj zgodnie z instrukcjami deszyfrowania Lockbit 3.0 na No More Ransom
Chociaż nie ma pewności co do pomyślnego odzyskania plików zaszyfrowanych za pomocą LockBit, próba ich odzyskania jest z pewnością uzasadniona, zwłaszcza że LockBit nie dostarczał konsekwentnie dokładnych kluczy deszyfrujących, nawet w przypadkach, w których zapłacono okup.
5 rodzajów oprogramowania ransomware, które zastąpi LockBit
LockBit, znany gracz w dziedzinie oprogramowania ransomware, był odpowiedzialny za dużą ilość tego rodzaju złośliwego oprogramowania. Jest to jednak tylko jedna z kilku obecnie aktywnych grup ransomware. Zaprzestanie działalności LockBit może spowodować tymczasową pustkę, którą mogą wykorzystać inne kolektywy ransomware. Biorąc pod uwagę tę możliwość, przedstawiam pięć różnych odmian ransomware, które zasługują na uwagę:
Oferty ransomware-as-a-service (RaaS), takie jak ALPHV/BlackCat, były odpowiedzialne za zainfekowanie wielu globalnych podmiotów. Godność tego konkretnego szczepu polega na jego unikalnej konstrukcji; będąc napisanym w całości w języku programowania Rust, może skutecznie wykorzystywać zarówno systemy operacyjne Windows, jak i Linux.
Grupa Cl0p jest podobno aktywna od co najmniej 2019 roku i uważa się, że zebrała ponad pół miliarda dolarów poprzez żądania okupu. To przestępcze przedsiębiorstwo znane jest z wykradania poufnych informacji od swoich celów, wykorzystując te skradzione dane jako środek przymusu do wymuszenia zapłaty okupu - nie tylko w celu odblokowania zaszyfrowanych plików, ale także w celu zapobieżenia publicznemu ujawnieniu poufnych danych.
Pojawienie się oprogramowania ransomware Play, które jest alternatywnie określane jako PlayCrypt, zostało zgłoszone w 2022 roku. Ta konkretna odmiana złośliwego oprogramowania wykorzystuje rozszerzenie pliku “.play” podczas swoich cyberataków. Podobnie jak Cl0p, zaobserwowano, że ta grupa ransomware wykorzystuje strategie podwójnego wymuszenia i wykorzystuje różne luki w zabezpieczeniach, aby atakować niczego niepodejrzewających użytkowników.
Royal stosuje innowacyjne podejście, oferując ransomware jako model usługowy, zachowując jednocześnie unikalne środki prywatności dla swoich operacji w porównaniu z innymi grupami ransomware. Niemniej jednak, podobnie jak inne grupy, Royal wykorzystuje techniki wielu wymuszeń, które obejmują nieautoryzowane pozyskiwanie poufnych danych, a następnie żądania zapłaty okupu na podstawie takich skradzionych informacji.
W połowie 2023 r. bezprecedensowa fala ataków ransomware pojawiła się pozornie znikąd, charakteryzując się wieloma metodami wymuszeń i widocznymi powiązaniami z prominentnymi frakcjami ransomware, takimi jak RansomHouse.
Badania Malwarebytes pokazują, że podczas gdy LockBit był jednym z najbardziej rozpowszechnionych rodzajów oprogramowania ransomware, dziesięć największych organizacji ransomware jest odpowiedzialnych za 70 procent wszystkich ataków ransomware. Tak więc, nawet bez LockBit, ransomware absolutnie czeka na skrzydłach.
Czy LockBit Ransomware został całkowicie usunięty?
Choć wiadomość o upadku LockBit jest niesamowita, nie, LockBit ransomware nie jest całkowicie w ziemi. Ars Technica donosi o nowych atakach LockBit kilka dni po usunięciu, a to z kilku powodów.
Niezależnie od faktu, że infrastruktura LockBit została zamknięta, niekoniecznie oznacza to, że kod ransomware nie istnieje. W 2022 r. wersja kodu źródłowego LockBit została ujawniona publicznie, co mogło wywołać te ostatnie incydenty. Ponadto LockBit posiadał rozległą globalną sieć obejmującą wiele krajów. Chociaż jego główny ośrodek operacyjny znajdował się w Rosji, jest wysoce prawdopodobne, że organizacja o takiej skali i złożoności posiada środki awaryjne, w tym systemy kopii zapasowych i strategie przywracania łączności, choć potencjalnie wymagające pewnego czasu na odtworzenie.
Niewątpliwie nie ma pewności, czy w przyszłości będziemy świadkami odrodzenia się ransomware LockBit.