LockBit توقیف شد – انتشار کلیدهای رمزگشایی و دستگیری دو نفر از عوامل این گروه

طی یک عملیات بین ‌المللی سایبری، چندین دامنه دارک ‌نت مورد استفاده توسط یکی از خطرناک‌ترین گروه‌‌های باج ‌افزاری به نام LockBit توقیف شد. در حالی که وسعت این عملیات، با نام رمز Cronos (کرونوس)، در حال حاضر ناشناخته است، اما با بازدید از وب سایت این گروه، یک بنر توقیف حاوی پیام “این سایت هم اکنون تحت کنترل مجریان قانون است” نمایش داده می‌شود.

مقامات یازده کشور استرالیا، کانادا، فنلاند، فرانسه، آلمان، ژاپن، هلند، سوئد، سوئیس، بریتانیا و ایالات متحده آمریکا در کنار یوروپل در این عملیات مشترک همکاری داشته‌اند.

گروه تحقیقاتی بدافزار VX-Underground در پیامی که در X (توئیتر سابق) منتشر نمود، اظهار داشت که وب‌ سایت‌ ها با سوء استفاده از یک نقص امنیتی بحرانی ( CVE-2023-3824 امتیاز CVSS: 9.8) در کد PHP، توقیف شده‌‌اند که می‌تواند منجر به اجرای کد از راه دور شود.

34 سرور متعلق به شرکت‌های وابسته به LockBit نیز برچیده شده و بیش از 1000 کلید رمزگشایی از سرورهای مصادره شده، بازیابی شده است.

سازمان‌های مجری قانون همچنین در یادداشتی که بر‌ جای گذاشته‌‌اند اظهار داشتند که «کد منبع، جزئیات قربانیانی که مورد حمله قرار گرفته‌اند، مقدار پول اخاذی شده، داده‌‌های ربوده شده، چت‌‌ها و بسیاری اطلاعات دیگر را در اختیار دارند. همچنین این سازمان‌ها اذعان داشتند بدست آوردن این اطلاعات به دلیل «زیرساخت دارای نقص LockBit» میسر شده است.

LockBit که در سوم سپتامبر 2019 فعالیت خود را آغاز کرده است، یکی از خطرناک‌ترین و بدنام ترین باج افزارهای تاریخ بوده که تا به امروز بیش از دو هزار قربانی داشته است. تخمین زده می‌شود که این باج افزار حداقل 91 میلیون دلار از سازمان‌های آمریکایی اخاذی کرده است.

این گروه در حملات خود از تاکتیکی به نام اخاذی مضاعف برای سرقت داده‌های حساس پیش از رمزگذاری آنها پیروی می‌کند و عوامل تهدید بر قربانیان فشار می‌آورند تا برای رمزگشایی فایل‌هایشان و جلوگیری از انتشار داده‌هایشان، باج پرداخت کنند.

سرقت داده ها با استفاده از ابزار استخراج داده‌های سفارشی با نام رمز StealBit تسهیل می‌گردد. این زیرساخت که برای سازماندهی و انتقال داده‌های قربانیان استفاده می‌شد، هم اکنون توقیف شده است.

LockBit، بر اساس داده های به اشتراک گذاشته شده توسط شرکت امنیت سایبری ReliaQuest در سه ماهه چهارم سال 2023، 275 قربانی را در پورتال خود فهرست کرده است که بیشتر از تعداد قربانیان تمام رقبای این باج افزار می‌باشد.

آژانس ملی جرائم بریتانیا (NCA) پس از آن که گروه باج افزاری LockBit توقیف شد، بیستم فوریه ۲۰۲۴ از دستگیری دو عامل LockBit در لهستان و اوکراین خبر داد. بیش از 200 حساب ارز دیجیتال مرتبط با این گروه مسدود شده است. کیفرخواست‌ها و تحریم‌هایی نیز در ایالات متحده علیه دو شهروند روسی دیگر که گفته می‌شود حملات LockBit را به انجام رسانده‌اند، باز شده است.

آرتور سونگاتوف و ایوان گنادیویچ کوندراتیف (معروف به Bassterlord) متهم به استقرار LockBit علیه قربانیان متعدد در سراسر ایالات متحده، از جمله مشاغل تولیدی و سایر صنایع، و همچنین قربانیان در سراسر جهان در صنایع نیمه هادی و سایر صنایع، در ایالات متحده هستند.

منابع