Jednou z nejaktivnějších a nejagresivnějších skupin ransomwaru byl Lockbit, který se objevil na scéně někdy v roce 2019. Ten používal sofistikované metody k pronikání do sítí, šíření infekce, šifrování dat a vydírání obětí. Jeho cílem byly velké i malé organizace po celém světě, včetně známých jmen jako letecký výrobce Boeing, čipový gigant Taiwan Semiconductor Manufacturing Company, řetězec sendvičů Subway a tisíce dalších. Lockbit si vynutil více než 120 milionů dolarů výkupného, podle zástupkyně generálního prokurátora USA Nicole Argentieri.

Lockbit se také vyznačoval tím, že nabízel svůj ransomware jako službu, tzv. RaaS (Ransomware as a Service). To znamenalo, že jiní zločinci mohli využít jeho infrastrukturu a software k provádění vlastních útoků, za což platili Lockbitu podíl z výkupného. Lockbit tak vytvořil síť spolupracovníků, kteří mu pomáhali rozšiřovat jeho dosah a vliv.

Snažil se například zastrašit své oběti tím, že hrozil zveřejněním jejich citlivých dat na svých webových stránkách, pokud nezaplatí výkupné. Tyto stránky byly hostovány na anonymní síti Tor, která umožňuje uživatelům skrývat svou identitu a polohu. Lockbit se tak domníval, že je mimo dosah zákona.

Avšak to, co Lockbit nevěděl, bylo, že jeho činnost byla pečlivě sledována mezinárodními policejními silami, které dlouhodobě spolupracovaly na jeho zastavení. Vedeny britskou Národní agenturou pro boj s kriminalitou (NCA), se zapojily i policie z Polska, Ukrajiny, USA a dalších zemí. Tato spolupráce dostala název Operace Cronos.

Zdroj: Shutterstock

Operace Cronos vyvrcholila v pondělí, kdy policie zasáhla proti Lockbitu na několika frontách. Nejprve se policistům podařilo získat kontrolu nad jeho webovými stránkami na síti Tor, kde umístili zprávu: “Tato stránka je nyní pod kontrolou policie.” Podle portálu Vx-underground, který shromažďuje informace o škodlivém softwaru, policie zrušila alespoň 22 Lockbitových stránek na Toru.

Pak policie provedla sérii zátahů a zatčení klíčových členů Lockbitu v Polsku, Ukrajině a USA. V současné době jsou také v platnosti sankce proti dalším dvěma Lockbitovým spolupracovníkům v Rusku.

“Naší úzkou spoluprací jsme hackli hackery; získali jsme kontrolu nad jejich infrastrukturou, zabavili jsme jejich zdrojový kód a získali klíče, které pomohou obětem dešifrovat jejich systémy,” řekl v prohlášení generální ředitel NCA, Graeme Biggar. “Od dneška je Lockbit zamčen. Poškodili jsme schopnost a zejména důvěryhodnost skupiny, která závisela na tajnosti a anonymitě.”

Lockbit také přiznal porážku. Ve svém prohlášení pro Vx-underground skupina uvedl: “FBI nás kompromitovala.” Operace Cronos také vedla k zabavení zdrojového kódu a dalších užitečných dat souvisejících s činností Lockbitu.

Zdroj: Shutterstock

Pro oběti Lockbitu je tu ještě více dobrých zpráv: Operace získala klíče od Lockbitu, které umožňují vytvořit nástroj pro dešifrování dat obětí, podle generálního prokurátora USA Merricka Garlanda. Tyto bezplatné dešifrovací programy lze nalézt prostřednictvím projektu No More Ransom.

Projekt No More Ransom je iniciativa, která spojuje policie, bezpečnostní firmy a nevládní organizace v boji proti ransomwaru. Jeho cílem je pomáhat obětem ransomwaru získat zpět svá data bez placení výkupného a zároveň podporovat prevenci a osvětu o tomto fenoménu. Projekt nabízí bezplatné dešifrovací nástroje pro více než 150 typů ransomwaru, včetně Lockbitu.

Operace Cronos je tak velkým úspěchem pro mezinárodní spolupráci v oblasti kybernetické bezpečnosti. Ukazuje, že zločinci, kteří se skrývají za anonymitou a vydírají nevinné oběti, nejsou nedotknutelní a mohou být postiženi zákonem. Zároveň je to varování pro ostatní skupiny ransomwaru, které jsou stále aktivní a hledají nové cíle.