LockBit ransomware – rozbicie grupy
W świat cyberprzestępstw uderzyła wieść, która brzmi jak scenariusz filmowy. Rostislav Panev, programista z podwójnym obywatelstwem rosyjskim i izraelskim, został oskarżony w Stanach Zjednoczonych o stworzenie i utrzymywanie LockBit – jednej z najbardziej destrukcyjnych grup ransomware. Od 2019 roku do lutego 2024 LockBit był postrachem globalnych systemów komputerowych, generując zyski szacowane na 500 milionów dolarów.
Panev, aresztowany w sierpniu 2023 roku w Izraelu, oczekuje na ekstradycję. Jak wynika z dochodzeń, zarobił około 230 tysięcy dolarów, przyjmując wynagrodzenie w kryptowalutach za swoje usługi programistyczne dla LockBit. Ale czy to tylko szczyt góry lodowej? Analiza jego komputera wykazała dostęp do narzędzi kluczowych dla działań grupy, takich jak StealBit – oprogramowanie służące do kradzieży danych przed ich szyfrowaniem.
Mechanizmy działania LockBit
LockBit zasłynął jako usługa ransomware-as-a-service (RaaS), umożliwiająca wynajęcie infrastruktury do przeprowadzania ataków. Ich celem były:
- instytucje rządowe i infrastruktura krytyczna,
- szpitale i placówki edukacyjne,
- małe firmy i korporacje międzynarodowe.
Grupa zyskała niesławną reputację, atakując ponad 2 500 podmiotów w 120 krajach, w tym 1 800 w samych Stanach Zjednoczonych.
Panev nie był jedynie „trybikiemw maszynie”. Tworzył kod wyłączający oprogramowanie antywirusowe, drukujący notatki z żądaniami okupu oraz infekujący sieci komputerowe całymi falami malware’u. Jego współpraca z liderami grupy, takimi jak Dmitry Yuryevich Khoroshev, była kluczowa dla rozwoju infrastruktury LockBit.
Czy LockBit wróci na scenę?
Operacja Cronos, międzynarodowe działania organów ścigania, doprowadziła do likwidacji infrastruktury LockBit na początku 2024 roku. Był to znacący cios dla grupy, której działalność zyskała miano jednego z największych zagrożeń cyberbezpieczeństwa ostatnich lat. Jednak informacje o zapowiadanej na luty 2025 wersji LockBit 4.0 sugerują, że organizacja mimo strat nie zrezygnowała z dalszych planów.
Pojawienie się nowej wersji oprogramowania ransomware budzi pytania o zdolność grupy do odbudowy swojej pozycji w zmienionym krajobrazie cyberprzestępczości. Czy LockBit 4.0 będzie próbą powrotu do dawnej dominacji, czy raczej dowodem na to, że przestępczość w sieci jest nieustannie ewoluującym zagrożeniem? Możliwe, że nowe technologie i strategie działania pomogą grupie zrekonstruować swoją infrastrukturę i odzyskać dawną skuteczność.
Kolejne ciosy w świat cyberprzestępstw
Upadek LockBit to nie jedyna historia wojen cyberprzestrzennych. Daniel Christian Hulea, 30-letni Rumun, został skazany na 20 lat więzienia za współpracę z NetWalker – grupą ransomware, której działania szczególnie uderzyły w sektor zdrowotny podczas pandemii COVID-19. Według oskarżenia, Hulea wraz z współpracownikami zdobył ponad 1 595 bitcoinów w ramach okupów, co odpowiada łącznej wartości ponad 21 milionów dolarów. Organizacja ta stała się symbolem bezwzględności cyberprzestępstw, wykorzystując globalny kryzys zdrowotny jako okazję do maksymalizacji zysków.
Podobnie głęboko ingerował w świat cyberprzestępstw Mark Sokolovsky, twórca Raccoon Stealer. Jego oprogramowanie, sprzedawane za 200 dolarów miesięcznie, umożliwiało kradzież wrażliwych danych z komputerów ofiar na masową skalę. Choć wyrok pięciu lat więzienia dla Sokolovskiego wydaje się relatywnie łagodny w porównaniu z przypadkiem Hulei, konsekwencje jego działalności dotknęły tysięcy ofiar na całym świecie, a skradzione informacje zostały sprzedane na czarnych rynkach.
Największe akcje przeciwko cyberprzestępczości w ostatnich latach:
- Operacja Cronos – likwidacja infrastruktury LockBit przez międzynarodowe siły ścigania (2024).
- Zatrzymanie NetWalker – aresztowanie kluczowych członków grupy i konfiskata ich serwerów (2021).
- Zatrzymanie Marka Sokolovskiego – likwidacja operacji Raccoon Stealer (2022).
- Aresztowanie Sebastiena Vachon-Desjardins – kluczowy członek NetWalker skazany na 20 lat więzienia (2022).
- Zatrzymanie Vitalii Antonenko – zlikwidowanie siatki zajmującej się kradzieżą danych kart kredytowych (2024).
Co nas czeka w przyszłości?
Czy możliwe jest całkowite wyeliminowanie ransomware? A może nowe grupy już teraz czają się w cieniu, gotowe przejąć schedę po LockBit? Niezależnie od odpowiedzi, walka z cyberprzestępstwem staje się coraz bardziej skomplikowana, a granice między cyberbezpieczeństwem a przestępczością coraz bardziej zatarte.
LockBit może być symbolem upadku i odrodzenia, ale także przypomnieniem, że w cyfrowym świecie każdy ma coś do stracenia. Czy Twoje dane są bezpieczne? A może już teraz stanowią towar na czarnym rynku?