Za około połowę cyberataków ransomware w 2022 roku odpowiadały warianty narzędzia LockBit, wynika z badań Fortinet oraz dokumentu opracowanego przez amerykańskie i międzynarodowe podmioty zajmujące się cyberbezpieczeństwem (w tym m.in. FBI).
Ransomware LockBit szyfruje i eksfiltruje pliki ofiar oraz żąda okupu za ich odszyfrowanie i dodatkowej opłaty za nieupublicznianie danych. Ataki z wykorzystaniem LockBit wymierzone były w użytkowników najpopularniejszych systemów operacyjnych: Microsoft Windows, Linux, ESXi, a od 2023 roku również w macOS.
Grupa ransomware LockBit jest aktywna od początku 2020 r. i od tamtej pory atakuje podmioty z wielu branż, w tym sektora energetycznego i rządowego. LockBit działa w modelu usługowym RaaS (Ransomware-as-a-Service), i jest wykorzystywany przez cyberprzestępców zwanych podmiotami stowarzyszonymi. Ich zadanie polega na wybieraniu i infiltrowaniu potencjalnych ofiar oraz wdrażaniu oprogramowania dostarczonego przez dewelopera LockBit. Z badań Fortinet wynika, że odpowiadało ono za ponad połowę z niemal 3300 tego rodzaju cyberataków w 2022 roku.
Dystrybutor LockBit stworzył listę wytycznych dla tzw. podmiotów stowarzyszonych, które używają tego oprogramowania. Znalazły się na niej m.in.:
- zakaz atakowania krajów postsowieckich (m.in. Ukrainy, Białorusi, Rosji, Gruzji, Łotwy, Litwy i Estonii);
- zakaz szyfrowania plików należących do instytucji infrastruktury krytycznej (elektrownie jądrowe, termiczne, hydroelektryczne, gazociągi i ropociągi, a także stacje produkcji ropy naftowej i rafinerie);
- zachęta do atakowania systemów organów ścigania.
LockBit może także grozić atakami typu DDoS (Distributed Denial of Service) ofiarom, jeśli żądany okup nie zostanie zapłacony. W ramach współpracy dystrybutor LockBit oferuje swoim podmiotom stowarzyszonym różne opcje podziału opłaty za okup, która najczęściej ustalana jest w stosunku 1:4 między operatora i atakujących.
Ofiary dotknięte ransomware LockBit są nakłaniane do zapłaty okupu za nieupublicznienie ich danych. Jednak twórcy tego oprogramowania stworzyli witrynę w sieci TOR, na której publikują informacje o ofiarach i skradzionych danych.
Każde zaatakowane urządzenie ma własną stronę z licznikiem czasu przeznaczonego na zapłatę okupu oraz przykładami skradzionych informacji. W niektórych przypadkach przestępcy oferują przedłużenie terminu płatności, możliwość pobrania skradzionych informacji, a także zniszczenie wszystkich kopii za opłatą.
Eksperci Fortinet zwracają uwagę, że większość przypadków użycia oprogramowania ransomware odbywa się za pośrednictwem phishingu. Biorąc pod uwagę rozwój ransomware LockBit, w tym rozszerzenie jego działania na systemy macOS w 2023 roku, eksperci Fortinet przewidują, że oprogramowanie to nie zniknie i dalej będzie chętnie wykorzystywane przez cyberprzestępców.