Jak wynika z analizy setek portfeli kryptowalut powiązanych z tą operacją, gang ransomware LockBit otrzymał w ciągu ostatnich 18 miesięcy ponad 125 milionów dolarów okupu.

Po usunięciu LockBit w operacji Cronos, Narodowa Agencja ds. Przestępczości (NCA) w Wielkiej Brytanii, przy wsparciu firmy Chainalytic zajmującej się analizą blockchain, zidentyfikowała ponad 500 aktywnych adresów kryptowalut.

Pieniądze LockBit

Po zhakowaniu infrastruktury LockBit organy ścigania uzyskały 30 000 adresów Bitcoin używanych do zarządzania zyskami grupy z płatności okupu.

Ponad 500 z tych adresów jest aktywnych w łańcuchu bloków i otrzymało ponad 125 milionów dolarów (przy obecnej wartości Bitcoina) w okresie od lipca 2022 r. do lutego 2024 r.

Dochodzenie wykazało, że ponad 2200 BTC – czyli ponad 110 milionów dolarów według dzisiejszego kursu wymiany – nie zostało wydanych, gdy LockBit został zakłócony.

W dzisiejszym komunikacie prasowym wydanym przez właściwy organ krajowy stwierdzono, że „fundusze te stanowią połączenie płatności ofiar i płatności LockBit” oraz że znaczna część tych pieniędzy stanowi 20% opłatę, którą podmioty stowarzyszone płacą twórcom oprogramowania ransomware.

Oznacza to, że łączna kwota okupów zapłaconych przez ofiary w celu uniknięcia wycieku danych jest „znacznie, znacznie wyższa” – wyjaśnia właściwy organ krajowy.

(Jak podkreśliła agencja, osoba zagrażająca nie zawsze usuwała skradzione dane lub wszystkie, nawet jeśli ofiara zapłaciła okup).

Organy ścigania twierdzą, że kwoty ujawnione w toku dochodzenia wskazują, że rzeczywiste sumy okupu liczone są w setkach milionów.

Warto podkreślić, że imponujące kwoty reprezentują jedynie 18 miesięcy cyberprzestępczej działalności LockBit.

„Biorąc pod uwagę, że liczba potwierdzonych ataków LockBit w ciągu 4 lat ich działania przekroczyła 2000, sugeruje to, że ich wpływ na całym świecie szacuje się na wiele miliardów dolarów” – brytyjska Narodowa Agencja ds. Przestępczości

W połowie czerwca 2023 r. amerykańska Agencja Obrony Cybernetycznej (CISA) podała, że ​​LockBit był odpowiedzialny za 1700 ataków oprogramowania ransomware w USA od 2020 r., a gang wyłudził od ofiar 91 mln dolarów.

Krajowy organ ochrony konkurencji stwierdził również, że przejęcie infrastruktury LockBit doprowadziło do odkrycia 85 kont wymiany kryptowalut, obecnie objętych ograniczeniami Binance, zawierających aktywa kryptograficzne o wartości setek tysięcy dolarów.

Prawie cztery lata w grze

LockBit powstał we wrześniu 2019 r. (jako ABCD) i skupiał się na znanych organizacjach, takich jak Boeing, UK Royal Mail, Continental, Bangkok Airways i Accenture.

Stała się najaktywniejszą grupą oprogramowania ransomware, odpowiedzialną za większość ataków tego typu w 2023 r., na przestrzeni lat przełączając się między złośliwym oprogramowaniem szyfrującym wiele plików (LockBit 2.0, LockBit 3.0, LockBit Green) a nowym, będącym w przygotowaniu.

W momencie przerwania działalności grupa LockBit była także najstarszą na scenie oprogramowania ransomware i prawdopodobnie jedną z największych, liczącą blisko 200 podmiotów stowarzyszonych.

Organy ścigania w 10 krajach współpracowały, aby przejąć kontrolę nad infrastrukturą ugrupowania zagrażającego, koordynować zakłócenia, zbierać informacje z serwerów, dokonywać aresztowań i nakładać sankcje.

Chociaż infrastruktura hakerów jest kontrolowana przez organy ścigania, przywódcy grupy i większość jej filii nie zostały jeszcze zidentyfikowane.

Departament Stanu USA oferuje nagrody w wysokości do 15 milionów dolarów każdemu, kto przekaże informacje na temat członków gangu ransomware LockBit i ich partnerów.