Samuel Vojtáš – analityk złośliwego oprogramowania w Gendigital, powstałej z połączenia NortonLifeLock i Avast, sporządził interesujący dokument, w którym opisuje, jak LockBit, znana grupa ransomware, nie działa już jako zwykła grupa hakerów, ale jako prawdziwa przestępcza firma.
Spis treści
Wprowadzenie
LockBit stosuje systematyczny i ustrukturyzowany model biznesowy, typowy dla start-upów technologicznych, w celu maksymalizacji zysków i zasięgu swoich przestępczych działań. Dlatego mówi się o prawdziwym restylingu firmy ransomware. Elementy jego modelu biznesowego to:
- Ransomware-as-a-Service (RaaS)
- Zarządzanie firmą
- Podział zysków
- Rekrutacja i wdrażanie nowych pracowników
- Wyniki ekonomiczne
Jak działa model biznesowy
LockBit dostarcza oprogramowanie i infrastrukturę (panel kontrolny) sieci partnerów, jakby byli oni „franczyzobiorcami” przestępczości. Partnerzy ci używają oprogramowania do infekowania ofiar i prowadzenia negocjacji. Partnerzy to osoby zarejestrowane w programie partnerskim LockBit (podobnie jak w przypadku franczyzy). Aby dołączyć do programu, nowi partnerzy muszą uiścić opłatę rejestracyjną w wysokości około 700–810 dolarów.
Po uzyskaniu dostępu do panelu otrzymują uprawnienia do tworzenia określonych wersji oprogramowania ransomware LockBit. Te wersje są następnie dystrybuowane do systemów ofiar, zarówno poprzez dostęp uzyskany samodzielnie, jak i za pośrednictwem zewnętrznych brokerów. Gang wykorzystuje zaawansowany panel kontrolny, podobny do legalnego systemu CRM, do śledzenia ofiar, zarządzania czatami negocjacyjnymi i monitorowania płatności.
Kiedy ofiara zostaje zainfekowana, jest kierowana do infrastruktury LockBit, gdzie trafia do prywatnego pokoju czatu przypisanego do partnera, który ją zainfekował. W tym momencie zaczyna się prawdziwy biznes:
- negocjacje
- manipulacja
- wojna psychologiczna
Partnerzy często prezentują się jako osoby chłodne i zorientowane na transakcję, ale logi czatów ujawniają ich bardziej manipulacyjną stronę: wykorzystują oni bowiem sztucznie wywołaną presję i subtelne groźby, mające na celu osłabienie ofiar i skłonienie ich do zapłaty.
Po uzgodnieniu okupu partner generuje nowy portfel Bitcoin (portfel okupu) w celu otrzymania płatności. Portfele te są tworzone i kontrolowane przez partnera, a zatem nie są bezpośrednio przechowywane w bazie danych panelu LockBit. Kiedy ofiara płaci okup, partner, który przeprowadził wymuszenie, zatrzymuje 80% łupu, a pozostałe 20% trafia do operatorów LockBit jako „prowizja”.
Podsumowanie
Analiza ujawnionych danych pokazuje, że chociaż ofiar było setki, tylko niewielka część z nich zapłaciła okup, generując łączny zysk w wysokości około 2,6 miliona dolarów w ograniczonym okresie czasu. Sugeruje to, że mimo iż jest to operacja na dużą skalę, większość prób wymuszenia kończy się niepowodzeniem.
Krótko mówiąc, oprogramowanie ransomware nie jest już tym, czym było kiedyś. To, co kiedyś było dziełem samotnych hakerów, przekształciło się w wyrafinowany model biznesowy znany jako Ransomware-as-a-Service (RaaS). W tym systemie twórcy oprogramowania ransomware i sieć partnerów współpracują jak każda legalna firma (z wyjątkiem tego, że wymuszają okup od ludzi). Różnica w stosunku do tradycyjnych firm polega na tym, że grupy ransomware nie publikują sprawozdań finansowych ani bilansów. Ich działalność pozostaje w cieniu, dopóki coś pójdzie nie tak.
W artykule, który polecamy przeczytać, omówiono właśnie jeden z takich momentów, a mianowicie dzień 7 maja 2025 r., kiedy to panel LockBit, prawdopodobnie najbardziej znanej grupy ransomware, został zmanipulowany, ujawniając link do zrzutu jego wewnętrznej bazy danych.
Dla czytelników zainteresowanych bardziej technicznym opisem panelu LockBit i jego komponentów firma Trellix opublikowała szczegółową analizę inżynierii odwrotnej, dostępną tutaj.
Więcej na ten temat możesz przeczytać w tym artykule.
