LockBit — история слишком успешного бизнеса на хакерах. Часть 2

В течение 2023 бренд LockBit обрастал не лучшими нарративами, портившими репутацию в глазах действующих и потенциальных партнеров.

Угрозы слить данные британской Royal Mail, подрядчика SpaceX и других крупных жертв оказывались либо блефом (после истечения срока данные не публиковались), либо преувеличением (сливалась мелочь).

Партнеры уходили из-за технических проблем LockBit (разработчика для фиксов больше не было) к конкурентам. В июне LockBit и вовсе потерял свой статус короля рансомвари — группа CL0P взломала одной атакой на MoveIt почти в 2 раза больше жертв, чем партнеры LockBit на то время.

Один из брокеров первоначального доступа, давший LockBit доступ во взломанную им компанию, вызвал того на арбитраж XSS. Админ постановил, что LockBit должен заплатить брокеру 10% от выкупа, хотя никакого соглашения между ответчиком и истцом документально установлено не было. LockBit отказывается платить и его банят — одновременно и на XSS, и на Exploit. Админ RAMP, к которому публично обратился LockBit, пишет, что тот сделку не нарушил, ибо таковой не было.

В феврале 2024 ФБР проводит операцию Cronos и взламывает и дефейсит onion-сайт LockBit. LockBitSupp пишет, что это его недоработка, а не их заслуга — мол, он давно не обновлял PHP и там была старая уязвимость, которой федералы и воспользовались. Несмотря на обесценивание работы федералов, они начинают доксить кучу людей — ники 194 партнеров и реальные ФИО 69 человек, присоединившихся через уже захваченный ФБР сайт. Задоксили силовики и самого LockBitSupp.

Согласно их данным, это гражданин РФ из Воронежа — Дмитрий Юрьевич Хорошев, 1996 г.р.. LockBitSupp сайт вернул на рельсы другого домена, а Хорошева пожалел, сказав, что ФБР задоксили ни в чем неповинного человека. Связано это с деаноном или нет, но довольно активный LockBitSupp после публикации ФБР ушел в оффлайн на 2 недели. Ходят слухи, что к нему в это время могли наведаться гэбисты для расстановки точек над «ё».

После слов о моральном кодексе, не позволяющем атаковать медицинские учреждения и фейковых бесплатных ключей, переданных пострадавшей в 2022 канадской детской больнице, партнерам работать с LockBit не сильно хотелось — даже киберпреступники видят проблему в преступлениях против детей. После взлома сайта LockBit федералы опубликовали данные, согласно которым 4% всех атак совершались именно на медицинские организации, что сегодня стало трендом.

Лгут федералы, правы они или просто ошиблись, но громкие слова и противоречивые атаки после операции Cronos пока что не вселяют никакой уверенности в будущее LockBit. Прошел её организатор пик своей славы или нет — покажет время.

OnionLinks2

Свежее