Mastodon
Zdjęcie okładkowe wpisu Zamknięcie grupy LockBit – zatrzymania w Polsce i w Ukrainie

Zamknięcie grupy LockBit – zatrzymania w Polsce i w Ukrainie

0
Dodane: 9 miesięcy temu

Cyberprzestępcza grupa LockBit była do niedawna jednym z najniebezpieczniejszych gangów ransomware w cyberprzestrzeni. Dzięki kooperacji służb z wielu krajów udało się doprowadzić do utrudnienia działań przestępców, doszło też do zatrzymań.

Grupa LockBit nie jest może podmiotem znanym szerszej publiczności, ale w cyberprzestrzeni byli groźnymi agresorami. To właśnie ta grupa odpowiada np. za atak ransomware przezprowadzony na tajwańskie TSMC, czołowego producenta chipów na świecie. W naszym serwisie pisał o tym Krzysztof Kołacz.

Hakerzy żądają od TSMC 70 mln USD

W lutym bieżącego roku zamknięta została strona internetowa grupy LockBit. Operacji przeprowadzonej przez brytyjskie National Crime Agency (NCA), we współpracy z organami ścigania z całego świata, towarzyszyło zatrzymanie dwóch mężczyzn: jednego w Polsce i jednego w Ukrainie. Zdaniem Chestera Wisniewskiego, eksperta firmy Sophos, starania służb na rzecz walki z cyberprzestępczością, są nie tylko zasadne, ale również pozwalają zobaczyć, jak funkcjonują grupy hakerskie i z jakich narzędzi można korzystać, aby skutecznie utrudniać im działalność.

W większości przypadków trzon grupy przestępczej posługującej się ransomware tworzą programiści odpowiedzialni za tworzenie złośliwego oprogramowania, stron internetowych i witryn służących ofiarom do płatności okupów. Gangi potrzebują do tych działań osób, które zajmują się praniem pieniędzy oraz negocjatorów posługujących się językiem angielskim. Same ataki przeprowadzają tak zwani „partnerzy” – cyberprzestępcy korzystający z platformy, na której udostępniono oprogramowanie ransomware. Jeśli uda im się wyłudzić pieniądze, dzielą się wpływami z gangiem, z którego zasobów korzystali.

Hacker in the hood sitting at laptop, information hacking. Internet spy, male programmer trying to hack an encrypted network

Chester Wisniewski, dyrektor ds. technologii w firmie Sophos tłumaczy, że grupy ransomware są ze sobą bardzo luźno powiązane. Jego zdaniem zamknięcie strony LockBit nie oznacza, że zrzeszeni w niej cyberprzestępcy zakończyli swoje kariery.

LockBit należy traktować jak markę. Zamknięcie go niekoniecznie musi wpływać na tworzące ją osoby. To prawda, że tej grupie, po objęciu sankcjami w USA, trudniej będzie wyłudzić okupy od amerykańskich firm. Jednak jej członkowie mogą pojawić się ponownie np. jako CryptoMegaUnicornBit i cały cykl zacznie się od nowa – objaśnia Chester Wisniewski. – Sankcje jedynie ograniczą prędkość, z jaką działają cyberprzestępcy, ale nie są realnym, długofalowym rozwiązaniem problemu ransomware – przekonuje.

Ekspert jednocześnie przekonuje, że wspólne działania organów ścigania z różnych krajów są bardzo skuteczne. Dzięki współpracy służb, cyberprzestępcy, przeciwko którym wniesiono akt oskarżenia w Stanach Zjednoczonych, zostali zatrzymani w Polsce (za pranie pieniędzy) i w Ukrainie (nie ujawniono szczegółów), a przed sądem staną we Francji.

Sukces służb wynika poniekąd również stąd, że sami hakerzy mają problemy z własnym cyberbezpieczeństwem. Wspomniane zatrzymania członków grupy LockBit były możliwe dzięki zinfiltrowaniu infrastruktury cyberprzestępców przez organy ścigania. Chester Wisniewski tłumaczy, że najgroźniejsi hakerzy mogą paść ofiarą podobnych błędów, na które polują u swoich ofiar.

Były już przypadki, że organy ścigania „włamywały się” do systemów atakujących, wykorzystując luki zero-day w zabezpieczeniach przeglądarek internetowych i oprogramowania. Cyberprzestępców namierzano również przez to, że zapominali oni o używaniu VPN-a i zapewniającej anonimowość przeglądarki Tor. Tak zwane błędy bezpieczeństwa operacyjnego (OpSec) mogą ostatecznie pogrążyć nawet tych, którzy sami korzystają z najbardziej wyrafinowanych metod, by nielegalnie pozyskać cenne dane – komentuje specjalista Sophos.

Jego zdaniem do skutecznej walki z cyberprzestępczością konieczne są zarówno inwestycje w umiejętności i liczebność cyberpolicjantów, jak również edukacja przedstawicieli sądów. Tylko w ten sposób operacje mające na celu rozbicie grup hakerskich „od środka” będą mogły być zatwierdzane regularnie i częściej będą kończyć się sukcesem.

Międzynarodowe działania na rzecz zamknięcia strony internetowej grupy LockBit należy traktować jako częściowy sukces. Służbom nie udało się bowiem całkowicie wyłączyć sieci należącej do cyberprzestępców, w tym witryny, na której umieszczono wykradzione ofiarom hakerów treści w odwecie za niezapłacone okupy. Mimo to przestępcom został wysłany jasny sygnał: jesteśmy wśród was i widzimy, co robicie.

Od pewnego czasu obserwujemy, że gangi ransomware zachowują się paranoicznie i mają przeświadczenie, że w ich struktury mogli wniknąć przedstawiciele służb. Już samo takie myślenie może sprawić, że ze współpracy z grupami cyberprzestępczymi zrezygnują potencjalni partnerzy – podkreśla Chester Wisniewski. – Zwiększa to koszty prowadzenia przez nich działalności, co oczywiście działa na naszą korzyść. To najlepszy dowód na to, że presja naprawdę ma sens i że w walce z hakerami warto korzystać z wszystkich dostępnych narzędzi – podsumowuje.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .