Киберпреступники LockBit заработали $91 миллион за 1700 атак на американские учреждения

Специалисты по кибербезопасности из США и других стран опубликовали совместный анализ , посвященный деятельности группировки LockBit, которая с конца 2019 года занимается распространением вымогательского вируса-шифровальщика. По данным анализа, LockBit смогла выручить около 91 миллиона долларов денежного выкупа с примерно 1700 организаций в США.

Такое громадное число атак за несколько лет активности обусловлено в том числе и тем, что хакеры LockBit работают по модели RaaS, предоставляя вымогательские услуги как сервис, и предоставляют другим группам злоумышленников возможность заказать индивидуальную атаку за определенную плату. При этом доход от выкупа делится между разработчиками LockBit и их партнерами, которые получают до 75% от суммы денежного выкупа.

Кроме того, судя по периодической несогласованности действий хакеров, можно чётко понять, что LockBit имеет несколько филиалов, может даже десятки таковых. Поэтому у них и получается держать столь высокую планку по количеству атак.

Авторы анализа, в который вошли представители США, Австралии, Канады, Великобритании, Германии, Франции и Новой Зеландии утверждают, что LockBit сейчас является главной глобальной угрозой в области кибербезопасности. На своём сайте утечки эта группировка заявляет на о наибольшем числе жертв, чем любая другая вымогательская банда.

Согласно отчётам, полученным от MS-ISAC в течение прошлого года, около 16% от всех инцидентов с вымогательским софтом, затрагивающих правительственные и муниципальные организации США, были связаны именно с LockBit, которая атаковала местные правительства, учебные заведения различных уровней и даже экстренные службы.

«В 2022 году LockBit был самым распространенным вариантом программы-вымогателя во всем мире и продолжает оставаться таковым в 2023 году», — заявили аналитики.

«С января 2020 года партнеры LockBit атаковали организации различного размера во многих секторах критической инфраструктуры, включая финансовые услуги, пищевую и сельскохозяйственную промышленность, образование, энергетику, правительство и экстренные службы, здравоохранение, производство и транспорт», — добавили исследователи.

В анализе также приводится список из примерно 30 открытых инструментов и подробная карта MITRE ATT&CK с более чем 40 тактиками, техниками и процедурами (TTP), используемыми LockBit и их партнёрами в своих атаках.

«ФБР призывает все организации ознакомиться с этим анализом и внедрить рекомендуемые меры по снижению рисков, чтобы лучше защититься от угрозы LockBit», — заявил Брайан Ворндран, заместитель директора кибернетического подразделения ФБР.

LockBit впервые появился на радарах исследователей в сентябре 2019 года как RaaS-сервис. В июне 2021 года вышла вторая версия вымогателя LockBit, а 2022 году — третья, с рядом значительных улучшений, таких как возможность оплаты выкупа криптовалютой Zcash, новые методы шантажа и первая программа вознаграждения за обнаружение ошибок в вымогательском софте.

С тех пор LockBit не раз заявляла о крупных жертвах своих атак, включая автомобильного гигант Continental, итальянскую налоговую службу, британскую королевскую почту и город Окленд.