Marea Britanie a condus o operațiune de dezorganizare a ceea ce se crede a fi cel mai mare grup criminal de ransomware din lume. National Crime Agency (NCA) s-a infiltrat în sistemele aparținând Lockbit și i-a furat datele, conform BBC.
Se crede că organizația are sediul în Rusia și, după volum, este cel mai prolific grup de ransomware care vinde servicii altor infractori.
Luni seară, pe site-ul web al Lockbit a apărut un mesaj în care se spunea că acesta se află „acum sub controlul forțelor de ordine”.
Operațiunea este prezentată ca fiind una dintre cele mai importante perturbări ale lumii infractorilor cibernetici. FBI, Europol și alte țări au fost, de asemenea, implicate în această operațiune de lungă durată, dar este prima de acest gen condusă de Regatul Unit.
Infractorii folosesc Lockbit pentru a intra în computerele aparținând companiilor și organizațiilor și pentru a bloca utilizatorii până la plata unei răscumpărări. De asemenea, aceștia fură adesea date și amenință că le vor face publice.
Grupul a apărut în jurul anului 2019 și s-a impus ca un jucător dominant. Unele estimări sugerează că deține aproximativ 20-25% din piața de ransomware.

Printre țintele de profil înalt raportate de Lockbit se numără Royal Mail din Marea Britanie, care a fost atacată în ianuarie 2023, perturbând livrările internaționale. În noiembrie anul trecut, Industrial & Commercial Bank of China (ICBC) a fost, de asemenea, lovită, cu repercusiuni majore în lumea financiară. Printre alte persoane despre care s-a raportat că au fost lovite se numără furnizorii NHS, firma de avocatură Allen & Overy și compania aerospațială Boeing.
Operațiunea se desfășoară de ceva timp în secret, iar forțele de ordine au colectat date înainte de a trece la o fază mai publică luni seara.
Experții tehnici ai NCA au reușit să pătrundă în sistemele proprii ale Lockbit și să preia controlul. În acest fel, au reușit să fure o cantitate mare de date despre activitățile grupului infracțional.
Având în vedere că multe companii nu recunosc că au fost piratate și uneori plătesc o răscumpărare, aceste date ar putea oferi o perspectivă unică și asupra adevăratei dimensiuni a activității grupului.
Pe măsură ce au trecut la faza mai deschisă a operațiunii, forțele de ordine au făcut publică infiltrarea lor.
Aceștia au preluat controlul site-ului de pe dark web, unde Lockbit și-a făcut publice activitățile și l-a înlocuit cu emblemele diferitelor agenții de aplicare a legii și cu un mesaj pe care scria „Site-ul se află sub controlul Agenției Naționale de Combatere a Criminalității din Regatul Unit, care lucrează în strânsă cooperare cu FBI și cu grupul operativ internațional de aplicare a legii, „Operation Cronos”.”
În cadrul unei conferințe de presă marți dimineață, șeful NCA, Graeme Biggar, a declarat că a evaluat că grupul a fost responsabil pentru 25% din atacurile ransomware din ultimul an.
El a sugerat că incidentele au dus la pierderi în valoare totală de miliarde de euro. El a spus că au existat mii de victime la nivel global, inclusiv 200 de victime cunoscute în Marea Britanie – deși a adăugat că, în realitate, este posibil să fi fost mult mai multe.
Lockbit funcționează prin vânzarea serviciilor sale criminale, acționând ca un ghișeu unic pentru clienții cunoscuți sub numele de afiliați.
Acești afiliați plătesc pentru a putea efectua operațiuni de piraterie informatică și primesc atât software-ul malițios, cât și consultanță.
Însă, în urma acțiunii întreprinse de forțele de ordine, afiliații care au încercat să se conecteze la site au fost întâmpinați cu un alt mesaj în care li se explica faptul că datele interne ale Lockbit se află acum în mâinile forțelor de ordine, inclusiv detalii despre victime, suma de bani extorcată „și multe, multe altele”. Mesajul adaugă: „S-ar putea să luăm legătura cu dvs. foarte curând”.
În trecut au mai existat așa-numite „eliminări”, dar în multe cazuri grupurile infracționale au reapărut la scurt timp după ce operațiunile lor online au fost întrerupte de forțele de ordine, ceea ce a limitat impactul pe termen lung.
În acest caz, însă, cei care se află în spatele operațiunii speră să aibă un impact mai semnificativ prin subminarea credibilității grupului și prin atacarea reputației acestuia. Grupul se bazează foarte mult pe branding. A plătit chiar și persoane pentru a-și tatua marca Lockbit pe corp.
Scopul este de a semăna neîncredere, făcându-i pe afiliați să realizeze că autoritățile de aplicare a legii au acum datele lor și de a crea o prăpastie între ei și cei care conduc Lockbit, făcându-i pe ceilalți infractori să creadă că este riscant să lucreze cu ei pe viitor, de teamă că autoritățile de aplicare a legii îi urmăresc.
Se crede că cei din spatele grupului Lockbit au sediul în Rusia, ceea ce înseamnă că, la fel ca și alte grupuri similare, nu pot fi arestați de către forțele de ordine. Acest lucru înseamnă că întreruperea este adesea singura opțiune realistă pentru a încerca să le submineze activitatea, precum și pentru a îmbunătăți apărarea cibernetică.
Atunci când FBI a desfășurat anul trecut o operațiune similară împotriva unui grup numit Blackcat, aceasta a dus la o luptă pentru controlul site-ului între grup și forțele de ordine din SUA, semn că aceste operațiuni nu decurg întotdeauna exact conform planului.
Dar speranța este că această operațiune, cu expunerea foarte publică a activităților Lockbit, îi va perturba suficient de mult pentru a împiedica o revenire rapidă.