LockBit — история слишком успешного бизнеса на хакерах. Часть 1

В 2010-х в среде киберкриминала набрал популярность вид вредоносного ПО, шифрующий данные жертвы для вымогания денег за расшифровку (ransomware).

Сначала такое ПО продавали за тонны нефти, а затем смекнули, что куда выгоднее его “сдавать в аренду” хакерам-партнерам, чтобы те ломали системы, шифровали их с помощью этого ПО и делились процентом от выкупа с провайдеров. Так появилась модель «шифрование-как-услуга» или Ransomware-as-a-Service (RaaS).

В январе 2020 к компании вымогателей на XSS, Exploit и др. хак-форумах присоединился новый игрок под именем LockBit. Он вносит депозит в $100 000 в BTC и предлагает шифровальщик за крайне привлекательные для партнеров на то время 20% от полученного выкупа. Но LockBit работал так плохо, что не выполнял свою чуть ли не основную задачу — шифрование сетевых папок Windows, о чем говорили партнеры, требуя весь его депозит.

LockBitSupp (основной аккаунт на форумах) нанял специалиста по сетевым папкам, положив таким образом начало разработки LockBit 2.0 с новым сайтом слитых данных и стилером StealBit. Стилер нужен для кражи данных перед их шифрованием, т.к. против компаний с бэкапами последнее не эффективно, а вот публикации хакерами украденных данных они все равно будут опасаться.

В мае 2021 крупный конкурент — DarkSide — атаковал Colonial Pipelines. После драмы между США и РФ из-за атаки админ XSS закрывает для непосвященных тему рансомвари на форуме. В январе 2022 REvil — еще 1 крупный конкурент LockBit, которого тот обвинял в аморальных атаках на госпитали для детей, — закрыт ФСБ. В это время LockBit собирает урожай бывших партнеров ушедших с рынка, либо подпортивших репутацию провайдеров RaaS.

Без каких-либо проблем для оттока партнеров среди гигантов рынка остается лишь Conti. LockBit даже не пришлось дискредитировать их клеветой, как с REvil (как выяснилось, за атакой на тот госпиталь стояла как раз Conti) — лидер группы сделал это сам, когда влез в политику в феврале 2022. Охотящийся за партнерами LockBit через месяц после падения Conti выкатывает обновление — LockBit 3.0 — и заявки от новых партнеров полились рекой.

Обновление сопровождается конкурсами на тату и программой вознаграждения за найденную в шифровальщике уязвимость. Одна уязвимость вскрывает подноготную разработки сразу нескольких шифровальщиков. LockBit отказывается платить вознаграждение за эту уязвимость, т.к. она была найдена ранее в шифровальщике Black Matter (ребрендинг DarkSide), разработчика которого LockBit и нанял для работы над 3-й версией.

Будучи обычным ленивым человеком, разработчик просто взял код со своей прошлой работы и добавил его в LockBit 3.0. После этого в адрес разраба с урезанной зарплатой и не очень хорошим опсеком пошли угрозы со стороны работодателя в дополнение к угрозам от DarkSide. Интересно, что он еще успел поработать и на Conti. В итоге разраб устал и просто вышел из игры, опубликовав исходный код билдера (сборщика для конфигурации шифровальщика под конкретную атаку) последней, 3-й версии. Так началось падение LockBit.

Свежее