Групата LockBit, доскоро смятана за най-опасната киберпрестъпна организация в света, претърпя внезапен срив, оставяйки след себе си въпроси относно ролята на руската държава в нейното съществуване и съдбата на предполагаемия ѝ лидер — Дмитрий Хорощев.

Какво беше LockBit?

LockBit не беше просто група, а услуга за предоставяне на рансъмуер по модела „Ransomware-as-a-Service“ (RaaS). Тя предлагаше на глобална мрежа от хакери всичко необходимо — зловреден софтуер, комуникационна инфраструктура, хостинг на откраднати данни и възможности за пране на криптовалути. Според Държавния департамент на САЩ, от 2020 до началото на 2024 г. LockBit е атакувала над 2500 жертви по целия свят, с изискан откуп за стотици милиони долари, от които поне 150 милиона са платени.

Първият удар — февруари 2024

През февруари 2024 г. групата претърпя съкрушителен удар: британската Национална криминална агенция (NCA), съвместно с ФБР и други международни партньори, обяви, че е проникнала в мрежата на LockBit и е поела контрол над част от инфраструктурата ѝ.

През същата година NCA идентифицира лидера на групата като руския гражданин Дмитрий Хорощев, известен още като LockBitSupp. САЩ обявиха награда до 10 милиона долара за информация, водеща до неговия арест.

Вторият удар — „вкус на собственото лекарство“

През 2025 г. LockBit преживя нов, още по-унищожителен пробив, този път неизвестен хакер проникна в системите им, открадна данни и остави подигравателно съобщение:

„Не вършете престъпления. Престъплението е лошо. Целувки от Прага.“

Иронично, самата LockBit стана жертва на методите, които години наред използваше срещу други.

Разпад или еволюция?

Въпреки че групата претърпя тежък удар, експерти предупреждават, че това не е краят на киберпрестъпността. „Отрежеш една глава и на нейно място израстват други“, казва френски представител по киберсигурност. Групи като Conti, RansomHub и нововъзникващи формации запълват празнината.

LockBit държеше 44% от всички рансъмуер атаки в света през 2023 г., но сега доминацията ѝ отслабва. Данни от криптопортфейли и онлайн комуникации показват, че наследниците извършват атаки с по-малки откупи и по-ниска възвращаемост, което предполага разпад на централизираната структура.

Русия – спонсор или пасивен наблюдател?

Макар и без категорични доказателства за директно спонсорство, експерти са единодушни: рускоговорящи групи доминират сцената. Сред десетте най-големи RaaS доставчици само две са китайски — останалите са свързани с Русия или нейните сателити.

„Не можем да кажем, че руската държава спонсорира тези групи, но фактът, че те действат с пълна безнаказаност, я прави съучастник“, казва френският експерт.

Особено след инвазията в Украйна през 2022 г., всякакво междудържавно сътрудничество по киберпрестъпления е спряло. Пример е случаят с групата REvil (Sodinokibi) — арестувана с помощта на ФБР и ФСБ през 2022 г., но след началото на войната подобна координация вече не съществува.

Съдбата на LockBitSupp – жива мистерия

След като беше идентифициран, Дмитрий Хорощев изчезна от публичното пространство. Не е ясно дали е жив, дали все още е в Русия или какво е неговото положение. Кремъл отрича да има информация. Но докато не напусне границите на Русия, арестът му изглежда малко вероятен.

 Заключение

Падането на LockBit е символично и стратегически важно, но не слага край на ерата на рансъмуера. То само подчертава колко адаптивен и устойчив е киберпрестъпният свят, особено когато действа от държави, които не само не съдействат, но понякога изглеждат благосклонни към подобна дейност.

В битката срещу транснационалната киберзаплаха, отсъствието на международно сътрудничество създава огромна празнина — една, която престъпниците с удоволствие запълват.