Komentář: Konec ransomwaru LockBit, největší objasnění toho, jak ransomwarové skupiny fungují

V pondělí 19. února oznámily globální orgány činné v trestním řízení v čele s britskou Národní kriminální agenturou významné vítězství v souvislosti s vysoce rozšířenou skupinou ransomwaru LockBit, když se jim podařilo úspěšně zlikvidovat webovou infrastrukturu skupiny, zatknout dva její členy a dva další obvinit.

Tým bezpečnostních specialistů Sophos X-Ops sledoval vývoj skupiny LockBit v uplynulých čtyřech a půl letech. Podle analýzy týmu Sophos X-Ops zaměřeného na reakce na incidenty (Sophos IR) patřil LockBit od roku 2020 mezi deset nejčastěji hlášených ransomwarových útoků; po zániku Conti na začátku roku 2022 se LockBit vyšvihl na první místo žebříčku. V roce 2023 nakonec stál za jednou pětinou všech ransomwarových infiltrací zaznamenaných týmem Sophos IR, přičemž v těchto údajích byl co do všudypřítomnosti srovnatelný s Conti v době jeho největší slávy.

„Práce britské Národní kriminální agentury (NCA) a jejích mezinárodních partnerů zasadila nejplodnějšímu syndikátu ransomwarových zločinců na světě těžkou ránu. Jedná se o největší objasnění toho, jak tyto skupiny fungují, které jsme získali od rozkladu Conti v květnu 2022. Přičemž díky decentralizované povaze těchto skupin je obzvláště obtížné je vystopovat“ řekl Chester Wisniewsky, CTO společnosti Sophos, předního světového inovátora v oblasti poskytování kybernetické bezpečnosti formou služby.

„Je důležité, že se dozvídáme některé zásadní skutečnosti o skupině LockBit. Orgány činné v trestním řízení získaly přístup k šifrovacím klíčům používaným k uzamčení souborů obětí a poskytnou je ve prospěch jejich obnovy; doufejme, že to obnovu urychlí a zmírní dopad na oběti LockBitu. Současně bylo zveřejněno, že těm, kteří zaplatili výkupné, zločinci jejich data ve skutečnosti nesmazali, což bohužel není žádným překvapením,“ dodal Wisniewsky.

„Velká část infrastruktury LockBitu je stále online, ale neočekávám jejich triumfální návrat. Tyto skupiny se neustále přejmenovávají a přeskupují pod různými hlavičkami, aby mohly pokračovat v okrádání nevinných obětí a používat identity pod různými jmény, aby se vyhnuly sankcím. Prozatím je asi na místě se s nimi rozloučit, ale stejně jako jiné skupiny před nimi, i ty, které se nepodaří dopadnout, budou pravděpodobně pokračovat v páchání trestné činnosti. Musíme zůstat ostražití a nepolevit v ochraně,“ upozornil Wisniewsky.

Více poznatků expertního týmu Sophos X-Ops o vývoji situace s Lockbitem naleznete na stránkách Mastodon (take na platfromě X). Přehled dalších informací o vývoji LockBitu, na základě zjištění týmu bezpečnostních expertů Sophos X-Ops, uvádím v přehledu: