LockBit 3.0: хакеры, которые обещают вернуть вымогательскому ПО былое величие

LockBit 3.0: хакеры, которые обещают вернуть вымогательскому ПО былое величие

После развала Conti, LockBit стремительно развивается, выходя на передний план среди других группировок вымогателей. Злоумышленники выпустили третью версию своего вымогательского ПО, создали свод правил для партнеров и запустили первую в дарквебе программу bug bounty. Давайте вместе узнаем побольше о LockBit, разберем интересную статистику, связанную с группировками вымогателей и поговорим о RaaS – новой бизнес-модели, набравшей популярность в хакерском сообществе

RaaS: даже хакеры платят за ПО

RaaS (Ransomware-as-a-Service, вымогательское ПО как услуга) – это новая бизнес-модель, в рамках которой разработчики вымогательского ПО за определенную плату предоставляют другим злоумышленникам свои программы. RaaS предусматривает несколько моделей оплаты:

  1. Подписка;
  2. Единоразовая покупка;
  3. Процент от полученного выкупа.

Эксперты считают, что возросшая популярность RaaS говорит о развитии хакерских группировок, которые становятся все более похожими на организации, управляемые профессионалами. LockBit 3.0 успешно пользуется новой бизнес-моделью, что по мнению аналитиков станет сигналом для других банд киберпреступников, которые подхватят новый тренд и начнут выпускать свое вымогательское ПО на продажу.

Интересная статистика от аналитиков

Согласно отчету NCC Group, число атак с использованием вымогательского ПО в июне сократилось на 42% по сравнению с предыдущим месяцем. Однако, компания предупреждает, что это не является спадом числа вымогательских программ – скорее наоборот. Снижение активности временное и связано с недавним прекращением деятельности Conti и выходом на пенсию LockBit 2.0.

Кроме того, LockBit остается лидером по количеству жертв – 55, что на 244% больше, чем у BlackBasta, которые находятся на втором месте. А атаки Conti сократились на 94%, так как группировка распадается и объединяется в другие, более мелкие банды.

По данным NCC Group, чаще всего атакам подвергались промышленные (37%), потребительские циклические (18%) и технологические (11%) отрасли.

Компания Coveware опубликовала отчет со статистикой по атакам с использованием вымогательского ПО за второй квартал 2022 года. В отчете видно, что во втором квартале 2022 года средняя сумма выкупа составила $228 125 (на 8% больше, чем в первом квартале 2022 года). Однако медианная сумма выкупа составила $36 360, что на 51% меньше, чем в предыдущем квартале.

Также стоит отметить, что хакеры стали обращать все больше внимания на слабые цели: образовательные организации (количество атак выросло на 33%), правительственные организации (количество атак выросло на 25%) и производства (количество атак выросло на 24%).

LockBit: кто это такие и что мы про них знаем?

LockBit появилась в 2019 году, но первая версия вымогательского ПО от группировки не обрела популярности у хакеров. На LockBit никто не обращал внимания, пока во второй половине 2021 года в свет не вышла LockBit 2.0. С тех пор вредоносное ПО группировки постоянно обновляется и улучшается.

По словам специалистов, в свое время группировка “очень откровенно” заявила, что находится в Нидерландах. LockBit также заявила, что страны бывшего СССР не будут целями атак, так как большинство членов группировки выросли именно там.

Сейчас LockBit является одним из самых главных игроков на киберпреступной арене. Хакеры разработали совершенно новую стратегию вымогательства, требуя у жертв деньги напрямую и не раскрывая атаку – по крайней мере, на начальном этапе. Группировка предоставляет жертвам “особые услуги” за дополнительную плату:

  • Дополнительные 24 часа к времени, отведенному на выплату выкупа;
  • Немедленное удаление украденных данных;
  • Загрузка украденных данных на серверы жертвы.

Также, у LockBit есть определенный свод правил, запрещающий шифровать системы объектов критически важной инфраструктуры. Однако, воровать данные не запрещено. Сейчас злоумышленники дорабатывают правила, особенно в вопросах атак на ранее запрещенные отрасли. По новым правилам партнерам LockBit можно атаковать частные образовательные учереждения, фармацевтические компании, стоматологические клиники и учреждения пластической хирургии.

Эксперты говорят, что хакеры LockBit “проводят черту” везде, где может быть причинен вред людям, а также не допускают проведения атак против учреждений, которые оказывают жизненно важную медицинскую помощь.

Чтобы стать партнером LockBit, нужно пройти жесткую проверку и внести депозит в биткоинах. Также, у группировки есть ряд дополнительных требований для проверки потенциального партнера:

  1. Активность в работе с программным пакетом группировки;
  2. Способность зарабатывать более 5 биткоинов в месяц;
  3. Наличие профилей на различных хакерских форумах;
  4. Предоставление доказательств опыта работы в других похожих “проектах” и текущего баланса криптовалютных кошельков;
  5. Проверка знаний и технических возможностей.

Как предотвратить атаку LockBit?

Специалисты рекомендуют несколько способов:

  1. Усилить безопасность конечных точек;
  2. Установить средства защиты на корпоративные устройства. Желательно, чтобы у них была функция гео-блокировки, которая запрещает передавать данные в выбранные пользователем страны;
  3. Отслеживать соединения между IP-адресами и сетями;
  4. Научиться выявлять аномалии в трафике.

Но основным и самым важным методом остается защита данных от утечек. “Если злоумышленникам нечего красть, то и вымогать ничего не получится”, – говорят специалисты.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение