Μια ομάδα εγκληματιών του κυβερνοχώρου με το όνομα Lockbit, η οποία ανακοίνωσε την περασμένη Παρασκευή ότι πραγματοποίησε κυβερνοεπίθεση σε βάρος της μεγαλύτερης τράπεζας της Κίνας (ICBC), έχει θέσει στο στόχαστρο μερικούς από τους μεγαλύτερους οργανισμούς παγκοσμίως, κλέβοντας ευαίσθητα στοιχεία τους και ζητώντας λύτρα προκειμένου να μην τα διαρρεύσει. Τι γνωρίζουμε όμως μέχρι στιγμής για την εν λόγω ομάδα;
Ποια είναι η προέλευση της Lockbit;
Η Lockbit ανακαλύφθηκε το 2020 όταν το επώνυμο κακόβουλο λογισμικό της βρέθηκε σε ρωσόφωνα φόρουμ κυβερνοεγκλήματος, με αποτέλεσμα κάποιοι αναλυτές του τομέα της Ασφάλειας να θεωρήσουν πως η συμμορία έχει την έδρα της στη Ρωσία. Ωστόσο, η ομάδα δεν έχει επιδείξει υποστήριξη προς καμία κυβέρνηση και καμία κυβέρνηση δεν την έχει συνδέσει επισήμως με κάποιο συγκεκριμένο κράτος.
«Βρισκόμαστε στην Ολλανδία, δεν έχουμε καμία σχέση με την πολιτική και μας ενδιαφέρει μόνο το χρήμα», λέει η συμμορία στο μπλογκ της στο σκοτεινό διαδίκτυο (dark web).
Σε μόλις τρία χρόνια, η Lockbit εξελίχθηκε στη μεγαλύτερη απειλή κακόβουλου λογισμικού για λύτρα σε παγκόσμιο επίπεδο, σύμφωνα με αξιωματούχους των Ηνωμένων Πολιτειών. Ο αντίκτυπος των δραστηριοτήτων της έχει γίνει πιο έντονα αισθητός στις ΗΠΑ, καθώς έχει «χτυπήσει» περισσότερους από 1.700 αμερικανικούς οργανισμούς από όλους σχεδόν τους τομείς της βιομηχανίας, όπως οι χρηματοοικονομικές υπηρεσίες, τα τρόφιμα, τα σχολεία, οι μεταφορές καθώς και κυβερνητικά τμήματα.
Μεταξύ των πιο πρόσφατων θυμάτων της ήταν και ο κολοσσός Boeing, που δραστηριοποιείται στον τομέα της Αμυνας και της κατασκευής αεροσκαφών. Την Παρασκευή, η Lockbit διέρρευσε μια σειρά από εσωτερικά δεδομένα, στα οποία απέκτησε πρόσβαση, παραβιάζοντας τα συστήματα της Boeing. Νωρίτερα κατά το τρέχον έτος, η διαδικτυακή συμμορία παραβίασε τον όμιλο χρηματοοικονομικών υπηρεσιών ION, διακόπτοντας τις δραστηριότητές με πελάτες που περιελάμβαναν κάποιες από τις μεγαλύτερες τράπεζες στον κόσμο, χρηματιστηριακές εταιρείες και hedge funds (επενδυτικά κεφάλαια).
Η μάστιγα του ransomware
Η εν λόγω ομάδα κυβερνοεγκλήματος «μολύνει» το σύστημα των «θυμάτων» της με κακόβουλο λογισμικό που κρυπτογραφεί δεδομένα (ransomware) και στην συνέχεια εξαναγκάζει τους στόχους της να πληρώσουν λύτρα για την αποκρυπτογράφηση ή το ξεκλείδωμα των εν λόγω δεδομένων. Τα λύτρα αυτά ζητούνται συνήθως σε μορφή κρυπτονομίσματος, το οποίο είναι δυσκολότερο να εντοπιστεί και παρέχει ανωνυμία στον αποδέκτη των ποσών.
Αξιωματούχοι τόσο από τις ΗΠΑ όσο και από άλλες χώρες έχουν προσπαθήσει να αναχαιτίσουν την παγκόσμια μάστιγα του ransomware μέσω της ανταλλαγής πληροφοριών μεταξύ κρατών σχετικά με τις ηλεκτρονικές διευθύνσεις των λογαριασμών κρυπτονομίσματος που ανήκουν σε αυτούς τους εγκληματίες.
Στο σκοτεινό διαδίκτυο, το μπλογκ της Lockbit παρουσιάζει μια όλο και μεγαλύτερη λίστα οργανισμών που έχουν πέσει θύματά της και η οποία επικαιροποιείται σχεδόν καθημερινά. Δίπλα από τα ονόματά των οργανισμών αυτών, υπάρχουν ψηφιακά ρολόγια που δείχνουν τον αριθμό των ημερών που τους απομένουν για να πληρώσουν τα λύτρα και στην περίπτωση που δεν το κάνουν, η εγκληματική ομάδα θα κοινοποιήσει τα ευαίσθητα δεδομένα που συνέλεξε.
Πολλές φορές, οι οργανισμοί που μπαίνουν στο στόχαστρο της Lockbit, αναζητούν τη βοήθεια εταιρειών κυβερνοασφάλειας για να ταυτοποιήσουν τα δεδομένα που παραβιάστηκαν και να διαπραγματευτούν με τους χάκερ σχετικά με τα λύτρα. Τέτοιες παρασκηνιακές συνομιλίες συνήθως παραμένουν ιδιωτικές και είναι πιθανό να διαρκέσουν ημέρες ή μήνες, σύμφωνα με αναλυτές.
Είναι μάλιστα συχνό φαινόμενο, τα ονόματα κάποιων στόχων της Lockbit να μην εμφανίζονται στο blog της εάν η απειλή έγινε μυστικά. Για παράδειγμα, η μονάδα της κινεζικής ICBC στις ΗΠΑ, η οποία έχει δηλώσει ότι προσπαθεί να αποκαταστήσει τη ζημιά της κυβερνοεπίθεσης που δέχθηκε, δεν βρισκόταν στη λίστα του μπλογκ της Lockbit την Παρασκευή.
Ενας «ιστός» εγκλήματος στο dark web
Η επιτυχία των δραστηριοτήτων της Lockbit εξαρτάται εν μέρει από τους λεγόμενους «συμμάχους» της, δηλαδή εγκληματικές ομάδες με παρόμοια νοοτροπία που επιστρατεύονται για να πραγματοποιούν κυβερνοεπιθέσεις, χρησιμοποιώντας τα ψηφιακά εργαλεία εκβιασμού της Lockbit.
Στην ιστοσελίδα της, η εγκληματική ομάδα καυχιέται για τις επιτυχημένες παραβιάσεις δεδομένων διάφορων εταιρειών και παραθέτει μια λεπτομερή λίστα με κανόνες για κυβερνο-εγκληματίες που μπορούν να υποβάλουν «αίτηση» προκειμένου να συνεργαστούν μαζί της. «Ζητήστε από τους φίλους ή τους γνωστούς σας που δουλεύουν ήδη μαζί μας, να εγγυηθούν για εσάς», αναφέρει ένας εκ των κανόνων.
Αυτός ο «ιστός» συμμαχιών μεταξύ ομάδων κυβερνοεγκλήματος καθιστά δύσκολο τον εντοπισμό τέτοιου είδους δραστηριοτήτων, καθώς οι τακτικές και οι τεχνικές τους ποικίλουν και δεν είναι ίδιες σε κάθε επίθεση.
Πηγή: Reuters