Международная коалиция правоохранительных органов, возглавляемая Национальным агентством по борьбе с преступностью (NCA) Великобритании, объявила во вторник, что раскрыла личность администратора и разработчика программы-вымогателя LockBit. По данным правоохранителей, им является 31-летний гражданин России, уроженец Воронежа Дмитрий Юрьевич Хорошев, известный под никами LockBit и LockBitSupp.

Источник изображения: TheDigitalArtist/Pixabay

«Сегодня мы делаем ещё один шаг вперёд и обвиняем человека, который, как мы утверждаем, разработал и реализовал эту вредоносную киберсхему, целью которой стали более 2000 жертв и украдено более $100 млн в виде платежей с помощью программ-вымогателей», — заявил генеральный прокурор США Меррик Б. Гарланд (Merrick B. Garland).

На сайте Минюста США объявлено о вознаграждении в $10 млн за информацию, которая поможет властям арестовать Хорошева. Ему предъявляется обвинение по 26 пунктам, вынесенное большим жюри присяжных округа Нью-Джерси (США). До этого, в феврале правоохранительными органами США, Европы, Австралии и Японии была проведена совместная операции «Хронос» (Operation Cronos), в результате которой была взломана часть ресурсов, принадлежащих хакерской группировке LockBit.

Как сообщает Минюст США, Хорошев предположительно выступал в качестве разработчика и администратора группы вымогателей LockBit с момента её создания примерно в сентябре 2019 года по май 2024 года. За этот период LockBit атаковала более 2500 жертв как минимум в 120 странах, включая 1800 жертв в США. Целями хакерской группировки были частные лица, малые предприятия, транснациональные корпорации, больницы, школы, некоммерческие организации, критически важная инфраструктура, а также государственные и правоохранительные органы. По данным Минюста США, Хорошев и его сообщники получили от своих жертв в качестве выкупа не менее $500 млн и нанесли миллиарды долларов ущерба.

Правительство США также объявило о санкциях против Хорошева, которыми запрещается кому-либо заключать с ним сделки, включая выплату выкупа. Нарушение санкций грозит крупными штрафами и судебным преследованием.

Киберпреступники эксплуатируют две опасные уязвимости программы удалённого доступа ConnectWise ScreenConnect для развёртывания вируса-вымогателя LockBit. Это свидетельствует, что ресурсы одноимённой хакерской группировки продолжают работать, хотя бы и частично.

Источник изображения: kalhh / pixabay.com

Эксперты по кибербезопасности в компаниях Huntress и Sophos накануне доложили, что зафиксировали атаки LockBit, производимые через уязвимости популярной программы удалённого доступа ConnectWise ScreenConnect. Атаки осуществляются через две уязвимости. Ошибка CVE-2024-1709 относится к уязвимостям обхода аутентификации и считается «неприлично простой» в эксплуатации — она активно используется с минувшего вторника, то есть с того момента, как ConnectWise выпустила закрывающее её обновление программы и призвала клиентов установить его. Вторая ошибка за номером CVE-2024-1708 позволяет удалённо передать вредоносный код на уязвимую систему.

Эксперты подчёркивают, что, во-первых, уязвимости ScreenConnect активно эксплуатируются киберпреступниками на практике; во-вторых, несмотря на проведённую правоохранительными органами нескольких стран операцию, часть ресурсов группировки LockBit продолжает работать. В начале недели правоохранительные органы нескольких стран доложили о проведении крупномасштабной операции, в результате которой были отключены 34 сервера в Европе, Великобритании и США, конфискованы более 200 криптовалютных кошельков, а также арестованы двое предполагаемых участников LockBit в Польше и на Украине.

Обнаружившие новую волну атак эксперты заявили, что не могут отнести её к деятельности непосредственно LockBit, но группировка имеет большой охват и разветвлённую партнёрскую сеть, которую невозможно быстро уничтожить даже в рамках крупномасштабной международной операции. В компании ConnectWise заявили, что сейчас массовое внедрение вируса-вымогателя через программу не наблюдается. Но, по данным некоммерческой организации Shadowserver Foundation, занимающейся анализом вредоносной интернет-активности, уязвимости программы продолжают эксплуатироваться — накануне угроза исходила от 643 IP-адресов, а уязвимыми оставались более 8200 серверов.

Boeing сообщила о кибератаке на своё подразделение по дистрибуции и продаже запчастей. В компании не сообщили, кто стоял за инцидентом, но об этом сообщил сам его предполагаемый виновник — хакерская группировка LockBit, ответственная за распространение одноимённого вируса-вымогателя.

Источник изображения: John McArthur / unsplash.com

«Нам известно о киберинциденте, затронувшем элементы нашего бизнеса по дистрибуции и продаже запчастей. <..> Мы уведомляем наших клиентов и поставщиков», — сообщил ресурсу The Register представитель Boeing. В компании добавили, что происшествие не повлияло на безопасность полётов; сейчас проводится расследование инцидента, а действия специалистов согласуются с властями. На момент написания материала раздел сайта Boeing, связанный с соответствующим подразделением «не работал в связи с техническими проблемами».

Источник изображения: twitter.com/vxunderground

В Boeing виновников кибератаки не назвали, но, похоже, хакеры сделали это сами: ответственность за инцидент взяла на себя группировка LockBit. Эксперты по кибербезопасности VX Underground в минувшие выходные опубликовали скриншот сайта LockBit — группировка включила компанию в список своих жертв и дала ей шесть дней на то, чтобы начать переговоры. В понедельник упоминание Boeing пропало с сайта LockBit, а представители группировки сообщили VX Underground, что переговоры начались. Официального пресс-релиза или уведомления Комиссии по ценным бумагам и биржам США (SEC) от компании пока не последовало.

По оценке Агентства кибербезопасности и защите инфраструктуры США (CISA), группировка LockBit в 2022 году была самым активным оператором вирусов-вымогателей. Это не просто «кучка ботаников в подвале», утверждает VX Underground, — в группировке действует строгая административная иерархия. Хакеры занимаются продвижением собственного бренда: в частности, платят блогерам за татуировки с логотипом LockBit; и не стесняются брать на себя ответственность за киберинциденты, хотя к их заявлениям рекомендуется относиться скептически. В период с начала 2020 года по середину 2023-го группировка «заработала», по некоторым оценкам, более $90 млн, а среди её жертв значатся TSMC и SpaceX.

Министерство юстиции США сообщило об аресте гражданина России Руслана Астамирова по обвинению в причастности к совершению атак программы-вымогателя LockBit на американские и иностранные компании. Согласно иску, как минимум с августа 2020 года по март 2023 года Астамиров вместе с другими участниками хакерской группы участвовал в развёртывании вредоносного ПО, требуя выкуп за разблокировку затронутых вирусом компьютерных систем.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Сообщается, что Астамиров использовал различные адреса электронной почты, адреса интернет-протокола (IP) и учётные записи интернет-провайдеров для распространения программы-вымогателя LockBit и общения с пострадавшими. Согласно иску, как минимум в одном случае правоохранительным органам удалось отследить перевод части выкупа жертвой на адрес в виртуальной валюте, находящийся под контролем Астамирова.

Непосредственно Астамиров осуществил как минимум пять атак на компьютерные системы в Соединённых Штатах и за рубежом. Ему предъявлено обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищённых компьютеров и передачи требований о выкупе. В случае признания виновным, Астамирову грозит максимальное наказание в виде 20 лет лишения свободы по первому обвинению и максимальное наказание в виде пяти лет лишения свободы по второму. Также по этим обвинениям предусмотрено наказание в виде максимального штрафа в размере $250 000 или в двойном размере прибыли или убытка от совершённого преступления, в зависимости от того, что больше.

«Астамиров является третьим ответчиком, которому прокуратурой Нью-Джерси предъявлено обвинение в глобальной кампании вымогателей LockBit, и вторым обвиняемым, которого задержали», — сообщил прокурор США Филип Р. Селлинджер (Philip R. Sellinger) в округе Нью-Джерси.

В пресс-релизе Минюста США также сообщается, что в настоящее время в Канаде находится под стражей в ожидании экстрадиции в США россиянин Михаил Матвеев, обвиняемый в причастности к развёртыванию программ-вымогателей LockBit, Babuk и Hive на компьютерах жертв в США и других странах.

Исследователи в сфере кибербезопасности обнаружили новую версию вируса-вымогателя LockBit, предназначенную для работы на macOS — это первый случай, когда крупная хакерская группировка решила вторгнуться в экосистему Apple.

Источник изображения: Pete Linforth / pixabay.com

LockBit — один из наиболее известных вирусов-вымогателей, фигурировавший в нескольких крупных инцидентах. Первым свидетельством того, что одноимённая хакерская группировка начала экспериментировать с платформой macOS, стала публикация экземпляра в репозитории MalwareHunterTeam от 15 апреля. Вскоре после этого исследователи ресурса vx-underground выяснили, что вариант для компьютеров Apple появился не позднее 11 ноября 2022 года.

Как оказалось, бить тревогу ещё рано: вирус пока не готов для полномасштабной атаки, и его появление следует воспринимать скорее как декларацию о намерениях хакерской группировки начать работу по Apple. В существующем варианте это скорее вредонос для Windows, грубо портированный на macOS. При его распаковке в коде обнаружены строки с артефактами Windows, в том числе ссылки на файлы autorun.inf и ntuser.dat.log, но уже есть и переменная с именем apple_config. Один из экспертов также описал значительную часть кода как написанную для Linux, а впоследствии портированную под macOS. В подписи к файлу оказалось обозначение «ad-hoc», которое в «боевой» версии вируса будет заменено на краденный идентификатор разработчика Apple.

Источник изображения: apple.com

Специализирующиеся на вирусах-вымогателях группировки до настоящего момента не разрабатывали вредоносного ПО под macOS — их целями были организации и частные компании, чьи инфраструктуры составляют преимущественно рабочие станции под Windows. Однако присутствие устройств Apple в корпоративной среде постепенно увеличивается: по данным на 2021 год, испытывающие потребность в планшетах предприятия всё чаще закупают iPad, iPhone отвоевали уже около 50 % всех смартфонов в корпоративной среде, а «среднее проникновение» компьютеров под macOS на предприятиях составило около 23 %, а двумя годами ранее этот показатель был 17 %.

В Apple предвидели такой вариант развития событий и приняли некоторые меры защиты системы. Системные файлы macOS доступны только для чтения — даже при наличии root-доступа вредонос их изменить не сможет. А система TCC (Transparency, Consent, Control) обеспечивает дополнительную защиту важнейших каталогов. Это значит, что без дополнительных средств вирус не сможет зашифровать важные для пользователя файлы — ему нужна будет уязвимость в macOS или явное подтверждение доступа от пользователя. Проблема в том, что эти средства защиты пока не проверялись в полномасштабных атаках, и если хакеры начнут работать в полную силу, у них есть шанс найти какие-то бреши в безопасности.

В результате атаки вируса-вымогателя семейства Lockbit Королевская почта Великобритании временно лишилась возможности обрабатывать международные отправления — в подвешенном состоянии оказались более полумиллиона посылок и писем. По версии следствия, в инциденте виновны российские хакеры, передаёт Telegraph.

Источник изображения: Mikhail Fesenko / unsplash.com

Вирус-вымогатель с сигнатурой Lockbit зашифровал файлы на компьютерах в инфраструктуре Королевской почты и вывел на их экраны сообщение с требованием выкупа за расшифровку файлов. При атаке был использован подвид вредоноса Lockbit Black — он заразил машины, используемые почтовым оператором для печати таможенных этикеток на отправляемой за границу корреспонденции, сообщили знакомые с ходом расследования источники. Злоумышленники также пригрозили опубликовать похищенные с компьютеров данные на сайте в даркнете.

Сообщение с требованием уплаты выкупа не только демонстрируется на мониторах заражённых машин, но и выводится на печать — это было замечено как минимум в одном распределительном центре, расположенном в североирландском городе Малласк близ столицы региона Белфаста. Расследование инцидента проводит Национальное агентство по борьбе с преступностью Великобритании (NCA), а в борьбе с его последствиями Королевской почте помогает Национальный центр кибербезопасности.