Правоприлагащите органи от 10 държави са прекъснали известната операция за рансъмуер на LockBit в рамките на съвместна операция, известна като „Операция Кронос“.

Според банер, поставен на уебсайта за изтичане на данни на LockBit, сайтът вече е под контрола на Националната агенция за борба с престъпността на Обединеното кралство.

„Сайтът вече е под контрола на правоприлагащите органи. Този сайт сега е под контрола на Националната агенция за борба с престъпността на Обединеното кралство, която работи в тясно сътрудничество с ФБР и международната работна група на правоприлагащите органи „Операция Кронос“,“ гласи банерът.

„Можем да потвърдим, че услугите на Lockbit са били прекъснати в резултат на действия на международните правоприлагащи органи – това е продължаваща и развиваща се операция.“

Макар че сайтът за изтичане на информация на Lockbit вече не е достъпен, показвайки банера за конфискация или грешка „Невъзможно е да се свържеш“, която гласи, че връзката е отказана, някои от другите сайтове на бандата в тъмната мрежа (включително други сайтове, използвани за хостване на данни и изпращане на частни съобщения до бандата) все още работят.

„NCA може да потвърди, че услугите на LockBit са били прекъснати в резултат на действия на международните правоприлагащи органи. Това е продължаваща и развиваща се операция“, заяви говорител.

Очаква се правоприлагащите органи, които стоят зад операция „Хронос“, да публикуват съвместно прессъобщение утре в 12:30 ч. централноевропейско време.

Операцията LockBit се изпълнява от  LockBitSupp, който комуникира чрез услугата за съобщения Tox. Статусът на профила му в услугата сега показва съобщение, в което се посочва, че ФБР е пробило сървърите на операцията за рансъмуер с помощта на експлойт на PHP.

„FBI f****d up servers via PHP, backup servers without PHP can’t be touched“, гласи преведеното съобщение за статуса на LockBitSupp, написано на руски език.

Операцията LockBit ransomware-as-a-service (RaaS) се появи през септември 2019 г. и оттогава е насочена към широк кръг високопоставени организации по целия свят.

Полицията също така е свалила панела на филиала на LockBit и е добавила съобщение, в което се казва, че са иззети и изходният код на LockBit, чатове и информация за жертвите.

„Правоприлагащите органи поеха контрола върху платформата на Lockbit и получиха цялата информация, която се съхранява там. Тази информация е свързана с групата Lockbit и с вас, нейния филиал. Разполагаме с изходен код, подробности за жертвите, които сте атакували, сумата на изнудваните пари, откраднатите данни, чатове и много, много други“, гласи съобщението, показано на панела на LockBit.

„Можете да благодарите на Lockbitsupp и тяхната дефектна инфраструктура за тази ситуация… Може би ще се свържем с вас много скоро. Приятно прекарване на деня. С уважение, Националната агенция за борба с престъпността на Обединеното кралство, ФБР, Европол и Оперативната група за правоприлагане „Кронос“.“

Иззетият панел LockBit (vx-underground)

Списъкът с жертви на LockBit включва Кралската поща на Обединеното кралство, град Оукланд, автомобилния гигант Continental и италианската служба за вътрешни приходи.

Неотдавна Bank of America предупреди клиентите си, че личната им информация е била изложена на риск при нарушаване на сигурността на данните, след като Infosys McCamish Systems (IMS), един от доставчиците на услуги, е бил хакнат при атака, за която се твърди, че е дело на бандата LockBit ransomware.

Органите за киберсигурност в Съединените щати и партньорите им по света заявиха в съвместна консултация, публикувана през юни, че бандата LockBit е изнудила най-малко 91 млн. долара от американски организации след цели 1700 атаки от 2020 г. насам.

През последните години правоприлагащите органи иззеха и сървърите на рансъмуера ALPHV (BlackCat) и сайтовете за плащане и изтичане на данни на рансъмуера Hive в Tor.