В петък, 10 ноември, групата LockBit обяви, че ден по-рано е проникнала в база данни на американското подразделение на Китайската индустриална и търговска банка. Групата се асоциира със скорошните рансъмуер атаките на някои от най-големите организации в света и с едноименния зловреден софтуер, който използва, за да ги осъществява.

Рекламиран като "най-бързия софтуер за криптиране в целия свят", LockBit се предлага на пазара като услуга - RaaS (от рансъмуер като услуга) и се използва за криптиране и изнудване чрез поверителна информация и данни.

Само за три години LockBit се превърна в една от най-големите заплахи за рансъмуер в света, като особено засегнати са бизнеси и организации в Съединените щати, отбелязва "Ройтерс". Министерството на правосъдието на САЩ обяви, че LockBit е бил използван срещу най-малко хиляда субекта в САЩ и по света, а групата е получила "десетки милиони долари в реални плащания за откуп".

Засегнати са организации, упражняващи дейност в почти всяка индустрия - от финансови услуги и хранителна промишленост до училища, транспорт и държавни служби.

В началото на годината LockBit беше свързана и с инцидент, който засегна международните операции на британските Кралски пощи. Жертва на LockBit стана и британската автокомпания Pendragon, която отказа да плати искане за откуп в размер на 60 млн. долара.

LockBit е идентифицирана като нов субект в сферата на киберпрестъпността през 2020 г., когато неговият едноименен злонамерен софтуер е открит във форуми за киберпрестъпления на руски език. Това кара някои анализатори по сигурността да смятат, че групата произлиза от Русия. Тя обаче не е декларирала подкрепа за никое правителство, нито някое правителство официално я е припознало като свързана с определена държава.

Първоначално злонамереният софтуер, използван от групата, е известен като ".abcd". Наречен е така на файловото разширение на криптираните след поразяването със софтуера файлове, с което стават недостъпни за оригиналните им собственици. Рансъмуерът и групите зад него често се преименуват, за да избегнат правоприлагането, или започват да се представят под име, което звучи и се опитват да наложат като търговска марка, след като станат прекалено известни.

Според американската фирма за киберсигурност Trustwave LockBit доминира в рансъмуер нишата и използва големи плащания, за да набира опитни актьори. Малко по-малко от половината от атаките с рансъмуер в периода януари-септември 2022 г. са били извършени с LockBit, сочат данните на Deep Instinct - израелска фирма за киберсигурност.

Сред последните жертви на групата е и "Боинг". В петък, 10 ноември, Lockbit разгласи непублични данни на компанията - един от лидерите в областта на отбраната и космоса. През октомври групата обяви, че е копирала "огромно количество" чувствителни данни от многомилиардната корпорация и ѝ постави ултиматум да заплати откуп до 2 ноември, ако не иска данните да станат достъпни за всеки. В изявление "Боинг" потвърди, че "елементи" от бизнеса на компанията с части и дистрибуция са били засегнати при инцидент с киберсигурността.

По-рано през годината хакерска акция на бандата в групата за финансово-търговски услуги ION прекъсна операциите на клиенти, сред които са някои от най-големите световни банки, брокерски компании и хедж фондове.

Бандата за киберпрестъпления заразява системата на организацията на жертвата с ransomware - злонамерен софтуер, използван за криптиране (кодиране) на данни така, че да могат да бъдат четени само оторизирани лица. След тази първа и ключова стъпка LockBit се свърза с жертвите и поставя ултиматум - да платят откуп, ако искат да възстановят достъпа и контрола си над компрометираните данни. Такъв откуп обикновено се иска под формата на криптовалута, тъй като е по-трудна за проследяване и осигурява анонимност на получателя.

САЩ и длъжностни лица в алианс от 40 държави се опитват да спрат глобалния бич на софтуера за откуп, като споделят разузнавателна информация трансгранично, включително адреси на портфейлите на криптовалута на такива престъпници.

Lockbit поддържа блог, който се хоства в тъмната мрежа (dark web) и се актуализира редовно с допълване на списъка от организации, които са станали жертва на групата. До имената им има хронометри, отброяващи оставащото време до крайния срок, даден на всяка организация за плащане на откуп. Ако времето бъде просрочено, Lockbit публикува чувствителните данни, които е събрала.

Често организациите-жертви се обръщат към компании за киберсигурност, за да идентифицират какви данни са изтекли и да договорят суми за откуп с хакерите. Според анализатори по сигурността такива разговори и преговори обикновено се водят неофициално и могат да отнемат дни или седмици.

По тази причина не всички имена на организации, атакувани с/от LockBit, се показват в блога на групата. Именно такъв е случаят с Китайската индустриална и търговска банка, чието американско подразделение заяви, че работи по възстановяване от пробива.

Отчасти успехът на LockBit зависи до голяма степен от нейните така наречени "съдружници" - престъпни групи-съмишленици, които са вербувани за извършване на атаки с помощта на цифровите инструменти за изнудване на Lockbit.

В уебсайта си бандата се хвали с успехите си в хакването на различни организации и излага подробен набор от правила за киберпрестъпниците, които могат да подадат "формуляр за кандидатстване", за да работят с тях. Принципът на подбор е чрез референции: "Помолете вашите приятели или познати, които вече работят с нас, да гарантират за вас".

Освен че увеличава капацитета ѝ, работейки в мрежа от киберпрестъпни групи LockBit затруднява проследяването на своята хакерска дейност и опитите за откуп на жертвите, тъй като използваните от участващите в мрежата съдружници тактики и техники могат да варират при всяка атака.