ФБР уничтожила инфраструктуру «самой вредоносной» хакерской группы в мире. Обвинения предъявлены двум россиянам

Американские, британские, украинские и европейские правоохранительные органы объявили об уничтожении инфраструктуры крупнейшей группировки хакеров-вымогателей LockBit, имеющей российские корни пишет The Insider.

Двое предполагаемых участников группировки задержаны в Украине, сообщила национальная полиция этой страны. Один участник задержан в Польше. Министерство юстиции США также рассекретило документы, согласно которым двум россиянам — Артуру Сунгатову и Ивану Кондратьеву — предъявлено обвинение в участии в деятельности LockBit.

В ходе операции с кодовым названием «Операция Кронос» полицейские заблокировали более 200 криптокошельков, через которые группировка управляла деньгами, изъяли 34 сервера и получили контроль над 14 тысячами почтовых адресов хакеров, сообщил Европол. Правоохранительные органы изъяли и опубликовали ключи, которые помогут жертвам вымогателей расшифровать свои данные.

«На сегодняшний день это крупнейшая операция против хакеров-вымогателей, координированная Европолом. Мы уничтожили преступную инфраструктуру LockBit на всех уровнях, нанесли серьезный урон их возможностям и авторитету», — заявил замдиректора Европола Жан-Филипп Лекуфф.

В общей сложности, участникам LockBit приписывают почти 2300 успешных атак, за которые они получили более 140 миллионов долларов выкупа. Несмотря на то, что в правилах для аффилиатов был прописан запрет на атаки медицинских учреждений, они регулярно атаковали компьютерные сети больниц в США и Канаде.

К примеру, в результате атаки группировки в сентябре 2023 года службы скорой помощи двух больниц в штате Нью-Йорк не работали более недели. Атака на детскую больницу в Торонто в январе 2023 года привела к невозможности продолжать лечение или устанавливать диагнозы пациентов на протяжении нескольких дней. В общей сложности, по данным аналитиков, только за 2023 год LockBit атаковал почти 70 больниц по всему миру.

Также в 2023 году группировка зашифровала данные британской почтовой службы (Royal Mail) и компании Boeing. В ноябре 2023 года атака на крупнейший в мире банк (китайский ICBC) нарушила торги облигациями США. В случае, когда жертвы отказывались платить выкуп, украденные у них данные (финансовые, данные сотрудников или информация о производстве) публиковались н​​а сайте, посвященном жертвам хакеров.

По словам Дмитрия Смилянца, топ-менеджера компании Recorded Future, специализирующейся на исследовании сетевых угроз, LockBit — это самая большая и самая активная группировка вымогателей в истории. За информацию о ее администраторах власти США назначили награду в 10 миллионов долларов.

Что такое LockBit

Вирус-вымогатель (ransomware), который впоследствии получил название LockBit, впервые был замечен в 2019 году. Подобные вредоносные программы блокируют доступ к данным, системе или отдельному компьютеру, пока не будет перечислен выкуп (ransom, отсюда и название такого типа атак) организатору атаки.

В 2021 году он был перезапущен под названием LockBit 2.0, а в 2022 году стал наиболее распространенным вирусом-вымогателем в мире. Канадское Управление защиты связи отмечало, что LockBit может быть ответственен за 44% всех атак с применением подобного рода вредоносного ПО в мире.

Одна из причин этого — бизнес-модель хакеров, так называемая «программа вымогатель как услуга» (Ransomware-as-a-Service, RaaS). Человек, который хотел бы заняться распространением вирусов-вымогателей, покупал у администраторов LockBit панель доступа, инструкции и новейшие версии вирусов, а в случае успешной атаки выплачивал процент выкупа администраторам. В случае с LockBit администрация забирала себе до 20% выкупа, полученного у жертвы.

Так выглядит записка с инструкциями об оплате выкупа, которую получали жертвы LockBit

Так выглядит записка с инструкциями об оплате выкупа, которую получали жертвы LockBit

Основными жертвами LockBit, как и других подобных группировок, становились американские компании. Прежде всего это происходило потому, что многие фирмы зарегистрированы в США. К тому же их прибыль больше, чем у компаний в других странах.

В то же время компании на территории бывшего СНГ как правило не страдали от атак вымогателей. Во-первых, запрет «работать по СНГ» был прописан в правилах для новых членов группы (так называемых аффилиатов). Во-вторых, в самом коде вируса была прописана проверка языка атакуемой системы. Если это был русский, украинский, грузинский, казахский, армянский, кыргызский, таджикский, туркменский, узбекский или азербайджанский язык — вне зависимости от алфавита — атака на серверы не производилась.

Фрагмент кода вредоносной программы LockBit 2.0, проверяющей язык системы, на которую может быть осуществлена атака

Фрагмент кода вредоносной программы LockBit 2.0, проверяющей язык системы, на которую может быть осуществлена атака
Источник: Chuong Dong

Предполагалось, что в случае, когда жертва платит выкуп, ее данные полностью удаляются с серверов LockBit, но в результате операции выяснилось, что это не так. Как сообщил на пресс-конференции по итогам «Операции Кронос» Грэм Биггар, директор Национального агентства Великобритании по борьбе с преступностью, на серверах группировки были обнаружены данные даже тех компаний, которые заплатили выкуп. «Это подтверждает, что даже если выкуп заплачен, это не гарантирует, что данные будут удалены, несмотря на все обещания преступников», — подчеркнул Биггар.

Правоохранительные органы разных стран ранее предупреждали компании, что выплата выкупов опасна, так как спонсирует и мотивирует преступные группировки и одновременно не гарантирует, что ключи шифрования будут выданы, либо что данные вообще удастся расшифровать. Одна из причин удачи злоумышленников — небрежно написанный код шифровальщика и прочих программ, которые используют хакеры.

Аналитики японской компании-разработчика ПО для кибербезопасности Trend Micro подчеркивают, что LockBit стремился к необычным подходам, в том числе маркетинговым. Сюда относится и объявленный администратором выкуп за собственный «деанон», и программа «баг баунти» — публичное соревнование с призами за найденные погрешности в коде вымогателя. Как правило, такие призы за «баги» выдают крупные технологические компании, но не преступники. Самой известной рекламной акцией LockBit стал призыв сделать татуировки с логотипом группировки. За них полагалась награда в 1000 долларов. В ходе расследования аналитики выяснили, кто получил от группировки призы за тату.

Татуировка, сделанная одним из участников конкурса

Татуировка, сделанная одним из участников конкурса
Скриншот с форума XSS

Российские корни

LockBit, как и другие группировки-вымогатели, прочно ассоциируется у исследователей и правоохранительных органов с российскими хакерами. Глава Lock Bit, который (или которая) скрывается под никнеймом LockBitSupp, общается на русском языке и чаще всего делает это на старейшем русскоязычном хакерском форуме XSS

Пример сообщения администратора LockBit на форуме XSS в 2022 году

Пример сообщения администратора LockBit на форуме XSS в 2022 году

Американские правоохранительные органы обещали раскрыть информацию об администраторе группировки 23 февраля 2024 года, однако так и не сделали этого. Вместо этого за информацию о нем они объявили награду в 10 миллионов долларов. Аналогичную награду Госдеп ранее объявил за информацию о россиянине Михаиле Матвееве, которого также считают причастным к атакам на критическую инфраструктуру в США и других странах и к распространению вирусов-вымогателей.

LockBitSupp ранее и сам предлагал хакерам деанонимизировать себя за вознаграждение в миллион долларов. По его словам, сделать это пытались даже российские или украинские полицейские, имеющие доступ к базе Интерпола. При этом до того, как сайт группировки взломали и захватили полицейские, на нем было указано, что она базируется в Нидерландах.

После сообщения о том, что инфраструктуру LockBit захватили американские правоохранители, Минюст США вынес обвинения в связях с группировкой двум россиянам. Один из них, Иван Кондратьев, ассоциируется с никнеймом Bassterlord. Именно Bassterlord написал два руководства по вирусам-вымогателям и обучал других хакеров пользоваться ими. По его словам, имея на руках оба написанных им руководства, заниматься вымогательством смог бы человек, который вообще ничего не знает о программировании, не говоря уже о хакинге. Ранее он также сотрудничал с группировками Revil, Ransomexx и Avaddon. Он уходил из LockBit, однако вернулся в марте 2023 года, но уже через месяц объявил, что уходит из хакинга, поскольку заработал достаточно. «Мне таких денег за всю жизнь не <обналичить>», — прокомментировал он свой уход 29 марта.

Однако судя по обвинительному акту, составленному судом в Нью-Джерси, Кондратьев продолжал атаковать компании как минимум вплоть до июля 2023 года.

Практически всё время, которое он занимался хакингом, Кондратьев жил на территории оккупированной Луганской области. Впрочем, как минимум с 2021 года он также периодически жил в Новомосковске — именно этот город в Тульской области указан в санкционном списке США. Из утечек данных известно, в частности, что он заказывал доставку еды в Новомосковске.

По его словам, к вымогательству его подтолкнула необходимость оплачивать лечение матери, и так он связался с Revil и LockBit. Власти США обвинили его в атаках на государственные и частные учреждения в штатах Орегон, Пуэрто-Рико и Нью-Йорк, а также считают причастным к атакам на компании в Сингапуре, Тайване и Ливане.

Другой россиянин, против которого США также выдвинули обвинения и ввели санкции, — казанец Артур Сунгатов. В Татарстане человек с таким именем, датой рождения и адресом электронной почты как минимум с 2016 года занимается розничной торговлей — он был директором супермаркета, а в 2023 году купил долю в тепличном хозяйстве «Зеленая республика», которое торгует салатами и овощами. Также в 2023 году со своим партнером по торговле зеленью Тимуром Нуруллиным Сунгатов купил казанскую фирму, которая занимается ремонтом компьютеров и техники для майнинга.

Судя по группам в Telegram, на которые он подписан со своего основного аккаунта, Сунгатов в последние пять лет действительно в первую очередь интересуется майнингом, оборудованием для него и криптовалютами, а в последний год также — получением виз или гражданства в других странах. Однако, по информации американского следствия, Сунгатов в январе 2021 года решил стать аффилиатом LockBit и начал атаковать компании в США, продолжая делать это как минимум до августа 2022 года.

Также в обвинении подчеркивается, что Сунгатов и Кондратьев «участвовали в сговоре» с другими представителями LockBit, «включая россиян Михаила Матвеева и Михаила Васильева». Матвеев — широко известный хакер, использующий никнеймы Wazawaka и Boriscelcin. В мае 2023 года ФБР объявило его в розыск по обвинению в причастности к группировкам LockBit, Babuk и Hive. В США считают, что Матвеев, который живет в России, причастен к блокировке нефтепровода Colonial Pipeline в 2021 году.

Михаил Васильев — гражданин России и Канады, он задержан в Онтарио в ноябре 2022 года также по обвинению в сотрудничестве с LockBit. На его компьютере нашли скриншоты переписки с администратором LockBitSupp и инструкции по запуску «панели вымогателя» — то есть, он был одним из аффилиатов. Однако американские власти считали, что Васильев играл одну из ключевых ролей в иерархии LockBit. В феврале 2023 года Васильева освободили под залог и не стали экстрадировать в США, где ему грозили обвинения во всех взломах, которые связывают с LockBit. Однако в декабре Васильев снова попал в канадскую тюрьму, и снова по обвинениям в вымогательстве и взломах.

В июне 2023 года в США был задержан еще один россиян, которого подозревали в связях с LockBit. 20-летнего чеченца Руслана Астамирова обвинили в пяти атаках с помощью вирусов-вымогателей: в США, а также «Азии, Европе и Африке». Астамиров тоже был аффилиатом LockBit. На форуме XSS после его ареста администратор группировки отметил, что многие партнеры крайне плохо заботятся о своей безопасности.

Компания Chainalysis, специализирующаяся на анализе операций в блокчейне, участвовала в расследовании в отношении LockBit. По ее данным, с главного криптокошелька LockBit осуществлялись переводы на кошелек прокремлевского военного обозревателя Бориса Рожина (Colonelcassad), однако когда и какие суммы получал от администрации LockBit Z-блогер, компания не указала.

Задержания и разоблачения

23 февраля полиция США сообщила, что администратор LockBit «сотрудничает с правоохранительными органами». Никакой дополнительной информации полиция не предоставила, однако намекнула на то, что он находится в России.

Скриншот с захваченного ФБР сайта. «LockBitSupp говорил, что ездит на «Ламборгини»... он ездит на «Мерседесе» (но запчасти достать может быть нелегко)».

Скриншот с захваченного ФБР сайта. «LockBitSupp говорил, что ездит на «Ламборгини»… он ездит на «Мерседесе» (но запчасти достать может быть нелегко)».

Задержанный в рамках операции гражданин Польши участвовал в отмывании денег для членов LockBit, говорится в заявлении на захваченном полицией сайте в даркнете. Полиция опубликовала также никнеймы всех партнеров группировки и даты их регистрации, а в панели управления вирусом разослала сообщение о том, что серверы захвачены, за что «можно поблагодарить дырявую инфраструктуру LockBitSupp. В общей сложности, правоохранительным органам стало известно о 187 аффилиатах.

Панель аффилиата LockBit с информацией о перехвате контроля правоохранительными органами. «Возможно, мы скоро свяжемся с вами», — говорится в сообщении

Панель аффилиата LockBit с информацией о перехвате контроля правоохранительными органами. «Возможно, мы скоро свяжемся с вами», — говорится в сообщении
Скриншот: vx-underground

Правоохранительные органы признают, что арестованы «не все, кто связан с LockBit». «Мы арестовали не всех, кто связан с LockBit. Это долгосрочный процесс. Сейчас мы собрали огромное количество информации и будем подбираться к этим людям, особенно если они будут находиться в доступных нам в юрисдикциях. Но теперь все они знают, что мы следим за ними, ищем их, и будут постоянно оглядываться через плечо», — заявил в ходе пресс-конференции Жан-Филипп Лекуфф.

Администратор группировки заявил, что пострадали не все серверы. «Резервные сервера без PHP не тронуты», — цитирует его коллекционер вредоносного ПО vx-underground. По его информации, в настоящее время руководство LockBit занимается восстановлением своей инфраструктуры.

По словам аналитика Recorded Future Александера Лесли, изъятие информации об инфраструктуре LockBit и аффилиатах группировки приведет к множеству новых обвинений и уголовных дел. «Некоторые аффилиаты уже негодуют в своих аккаунтах в социальных сетях, что агенты ФБР пытаются связаться с ними через специальный чат, и утверждают, что знают их IP-адреса, настоящие имена. Они недовольны тем, что их обманул LockBit, а их персональные данные теперь доступны правоохранительным органам», — рассказал Лесли на брифинге, посвященном операции. По его мнению, в отношении всех предполагаемых участников группировки будут проводиться расследования.

Перспективы группировки

LockBit — не первая группировка вымогателей, раскрытая правоохранительными органами. В январе 2022 года после запроса из США в России были арестованы как минимум восьми подозреваемых по делу группировки вымогателей REvil. В результате группировка перестала существовать в прежнем виде, однако российским следователям удалось практически развалить дело, инициированное запросом ФБР.

Как сообщал «Коммерсантъ», в итоговом обвинении нет ни потерпевших, ни суммы ущерба, в уголовном деле нет. В 2022 году прекратила деятельность российская группировка Conti. После того как она заявила о своей поддержке российского вторжения в Украину в феврале 2022 года, недовольные участники группировки «слили» переписку администраторов, и через несколько месяцев она перестала существовать. После таких «облав» группировки, действующие по бизнес-модели RaaS, теряют доверие аффилиатов, и едва ли могут вернуться к прежней активности. Они либо проводят ребрендинг, либо распадаются на множество небольших группировок, отмечает Лесли.

Подобный «ребрендинг» прошла российская хакерская группировка Evil Corp после того как ее предполагаемых лидеров, Максима Якубца и Игоря Турашева, ФБР обвинило в отмывании денег и киберпреступлениях. Якубец, согласно расследованию «Медузы», связан с ФСБ, и ему и другим участникам группировки не были предъявлены какие-либо обвинения в России. После санкций со стороны США Evil Corp продолжила свою деятельность под новыми именами.

По мнению аналитиков Mandiant и Chainalysis, причина, по которой группировка постоянно меняет имена, при этом почти не меняя технологию — американские санкции, наложенные на нее, связанных с ней людей и криптокошельки. Компании, которым предстоит заплатить выкуп, не знают, что имеют дело с подсанкционной группировкой, поэтому с большей вероятностью переводили деньги Evil Corp под новым именем. Такой же тактики придерживалась и DarkSide — еще одна группировка, связанная с Михаилом Матвеевым.

Исходный код самого вируса, который использовался для шифрования данных, дважды «утекал», что позволило другим группировкам осуществлять подобные атаки и даже выдавать себя за LockBit, отмечает Trend Micro. Впрочем, если использующие его хакеры не изменят код, использовать его больше не удастся — ключи для расшифровки данных жертв вируса уже известны и опубликованы на специальном сайте.