Он сумел создать могущественную хакерскую группировку, серьезно изменившую правила игры в даркнете. Разработанное им вредоносное ПО в какой-то момент применялось почти в половине атак по всему миру. Его суммарный доход за пять лет взломов и краж — не менее 100 миллионов долларов. Агенты Федерального бюро расследований (ФБР) узнали его имя, но никто не может его найти. «Лента.ру» рассказывает историю группировки LockBit, основатель которой пытается доказать всему миру, что он не имеет ничего общего с 31-летним жителем Воронежа, за голову которого назначена награда в размере 10 миллионов долларов.
Жертва политических репрессий
В феврале 2024 года лидер хакерской группировки LockBit, скрывающийся под ником LockBitSupp, стал едва ли не самым медийным человеком в мировом даркнете. К этому моменту все аналитики по информационной безопасности обсуждали спецоперацию Cronos, в ходе которой сотрудники Федерального бюро расследований и их коллеги из других стран получили доступ к инфраструктуре LockBit — одной из самых успешных банд в истории.
Неожиданный удар по хакерам готовился на протяжении месяца. Его итогом стала компрометация сайта LockBit с утечками и другой критической инфраструктуры. Силовики отчитались об отключении 34 серверов группировки в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, США и Великобритании.
Национальное агентство по борьбе с преступностью Великобритании также получило исходный код платформы LockBit и обширную информацию из их систем об их деятельности, а также о тех, кто работал с ними и использовал их услуги для нанесения вреда организациям по всему миру. «Некоторые данные в системах LockBit принадлежали жертвам, которые заплатили выкуп злоумышленникам, что свидетельствует о том, что, даже если выкуп выплачивается, это не гарантирует, что данные будут удалены, несмотря на обещания преступников», — констатировали в британском ведомстве.
Инфраструктура 2500 компаний была атакована хакерами из LockBit или их партнерами
Фото: Britta Pedersen / dpa-Zentralbild / ZB / Globallookpress.com
Глава группировки сначала отрицал все на закрытых форумах, но в итоге был вынужден дать публичные объяснения. Он списал проблему на уязвимость в скриптовом языке PHP, применяющемся для создания сайтов. За ней главарь группировки не уследил, поскольку «за пять лет купания в деньгах стал очень ленивым», и потому «продолжил дальше кататься на яхте с сисястыми девочками».
LockBit гордилась своим брендом и анонимностью, ставя это превыше всего. Но операция Cronos разрушила эту анонимность и полностью подорвала бренд, отталкивая киберпреступников от сотрудничества с LockBit
Причина, по которой силовики сразу нескольких государств решили взломать инфраструктуру хакерской группировки, по мнению ее лидера, — в предстоящих в США президентских выборах. Если быть точнее, то в том, что LockBit удалось взломать сайт округа Фултон (штат Джорджия), с которого им, как утверждают члены группировки, удалось похитить секретные сведения, связанные с уголовными делами против одного из кандидатов — Дональда Трампа.
«Лично я буду голосовать за Трампа, потому что ситуация на границе с Мексикой — это какой-то кошмар. Байдену пора на пенсию, он — марионетка. Если бы не атака ФБР, то документы были бы опубликованы в этот же день, потому что переговоры зашли в тупик», — заявил глава банды, намекнув, что он владеет американским паспортом.
Тогда он еще не знал, какие обороты примет дело буквально через несколько месяцев, когда ФБР опубликует его имя и все данные о нем, вплоть до номера паспорта и прописки в Воронеже.
Полбиткоина за расшифровку
Среди первых жертв группировки не было гигантов рынка или транснациональных корпораций. LockBit в первые месяцы — небольшой проект имени одного человека, а первые задокументированные атаки относятся к сентябрю 2019 года. Исследователи пока не сошлись во мнении о том, состоял ли он в какой-то ранее существовавшей группировке (по такому принципу создаются многие хакерские сообщества) или был самоучкой, делающим первые шаги в киберпреступном мире.
Известно, что в первые полгода банда атаковала несколько крайне небольших организаций в США, Германии, Франции и Китае. Это тогда был даже не LockBit, а ABCD — так вымогателя окрестили из-за того, что к зашифрованным файлам добавлялось расширение «.abcd». Вредоносное ПО, по мнению аналитиков, было тогда достаточно медлительным и простым, но даже с его помощью удалось создать проблемы как минимум для двух компаний, чьи системы состояли из 17 и из 4 устройств — масштабы, мимо которых LockBit и его партнеры спустя несколько лет просто будут проходить мимо.
пытались получить хакеры из LockBit у своих жертв за пять лет работы
Эти две жертвы сообщали о проблемах публично — на профильных форумах по информационной безопасности. Во время переговоров о расшифровке систем вымогатель потребовал выкуп в три биткоина (на тот момент — около 1,65 миллиона рублей), но позднее снизил планку до 0,5 биткоина (на тот момент — около 275 тысяч рублей), и одна из жертв его заплатила. О сопоставимых цифрах, от одного до трех биткоинов, сообщали некоторые другие жертвы.
К концу 2019 года расширение «.abcd» сменилось на «.lockbit», такое же название получила и группировка. Из одного человека она состояла как минимум в первые пять месяцев. Это ограничивало рост вредоноса и мешало его развитию, хотя и позволяло его создателю оставлять всю прибыль себе. В январе 2020 года, когда группировка уже расширилась, хакеры попытались оседлать модель RaaS и сделали это едва ли не лучше всех в мире.
RaaS (Ransomware-as-a-Service, программы-вымогатели как услуга) — это киберпреступная бизнес-модель, в рамках которой создатели вредоносного программного обеспечения предоставляют доступ к нему внешним игрокам по подписке. Заплатив за использование вируса, партнеры группировки могут самостоятельно заражать компании. При этом оригинальные хакеры получают процент от выкупа (как правило, от 20 до 30 процентов). Нередко сами переговоры о выплате денег за расшифровку файлов берет на себя создатель вредоноса, а не его партнеры
Наличие партнеров позволило основателю LockBit не тратить время и ресурсы на обнаружение и заражение систем вредоносной программой. А рост партнерской сети, в свою очередь, дал возможность нарастить объемы атак. Фактически уже в начале этого пути LockBit тратил на несколько заражений такое же время, какое раньше расходовалось на одну компанию-жертву. Но для завлечения все новых партнеров создателю программы необходимо было наладить отношения со всем русскоязычным даркнетом, заработать репутацию и не ошибиться практически ни разу, чтобы не обидеть ни одного из множества капризных и нервных потенциальных партнеров.
В конфликте с даркнетом
Спустя годы LockBitSupp стал завсегдатаем русскоязычных киберпреступных форумов. Он охотно комментировал те или иные тенденции в отрасли и явно считал себя звездой, сиянье которой резко оборвал бан на одной из крупнейших площадок. За три недели до операции Cronos на группировку подал жалобу один из пользователей с ником Michon.
Он рассказал, что, используя вредонос, смог проникнуть в инфраструктуру нескольких компаний, но заразить жертву не получилось. Michon передал доступ LockBit, рассчитывая получить за него процент от выкупа. Правда, точная сумма не обговаривалась
Затея увенчалась успехом, компания заплатила выкуп, но LockBitSupp не захотел выплачивать процент, предложив вместо этого оплатить сам доступ по рыночной цене. Michon запросил четыре миллиона долларов, на этом разговор прервался, и стороны к согласию так и не пришли. В ходе дискуссии на форуме стороны неоднократно взаимно оскорбляли друг друга, в итоге к обсуждению подключились самые широкие массы киберпреступников. Они называли поступок LockBitSupp «не пацанским», призывая не обманывать своего партнера по взлому. Однако в итоге тот заявил, что вообще не считает договор между сторонами заключенным: «Нет договора — нет денег».
Администратор форума в ходе арбитража (именно так решаются спорные вопросы в даркнете) принял решение, что LockBitSupp должен выплатить 10 процентов от выкупа, но группировка отказалась и получила бан. Вслед за этим ее лидер пытался деанонимизировать главу ресурса, но не успел — подоспела операция Cronos. Сообщество окончательно отвернулось от LockBit.
«Постоянно растущее эго»
Даже в самом начале своего пути лидер LockBit часто был достаточно резок в оценке представителей даркнет-сообщества. Репутация в теневом сегменте интернета играет ключевую роль, но новым игрокам ее наработать достаточно сложно. Чтобы твое программное обеспечение привлекало лучших партнеров, нужно выделяться на фоне конкурентов. А в начале 2020 года их было полно, например REvil и Twisted Spider.
«Партнеры полагаются на криминальные форумы, чтобы почитать отзывы о других преступниках и их услугах. Они используют информацию так же, как простые люди используют сайты с отзывами потребителей, чтобы удостовериться в надежности поставщика или компании. И достаточно всего нескольких плохих отзывов, чтобы запятнать репутацию», — объясняет ведущий аналитик компании Analyst1 Джон ДиМаджио, посвятивший LockBit несколько исследований.
ФБР подбиралось к LockBit не один месяц
Фото: Alvin Baez / Reuters
В сентябре 2020 года один из партнеров группировки заявил о наличии во вредоносе ошибки, из-за которой тот не смог зашифровать файлы в сетях компании-жертвы, просто добавив вместо этого расширение «.lockbit» к названиям, оставив при этом сами данные нетронутыми. В итоге за четыре месяца партнерства ему ни разу не удалось получить выкуп. Публично создатель программы отказался брать на себя ответственность, заявив, что партнер должен был раньше уведомить группировку об ошибке.
Возглавляющий LockBit человек демонстрирует нарциссические черты, которые подпитывают его постоянно растущее эго
Тем не менее правки в код вредоноса были внесены — так появилась версия LockBit 2.0, на смену которой позднее придет ставшая легендарной в даркнете сборка LockBit 3.0, использующаяся и по сей день.
Почему LockBit стал так популярен
Технически LockBit обладает несколькими характерными признаками, делающими его похожим на шифровальщики второй половины 2010-х, в том числе LockerGoga и MegaCortex. Во-первых, программа не требует ручного управления, автоматически заражая все новые и новые объекты инфраструктуры внутри организации. Во-вторых, хакеры применяют их исключительно в целевых атаках, направленных против конкретной жертвы, а не против широкого круга потенциальных жертв, как это происходит при спам-рассылках или в дешевых фишинговых кампаниях. В-третьих, сам процесс распространения подразумевает использование однотипных инструментов.
«Самая важная характеристика этих шифровальщиков — их способность распространяться самостоятельно. LockBit управляется заранее заданными автоматическими процессами. Это и отличает его от большинства подобных атак, которые после проникновения в сеть управляются вручную. В этом случае на наблюдение и сбор информации о жертве могут уйти недели», — отмечают в «Лаборатории Касперского».
Британские следователи сыграли одну из главных ролей в операции Cronos
Фото: Nick Ansell / PA Images / Getty Images
Сами атаки происходят по однотипному сценарию. На первом этапе киберпреступник выявляет слабые места компании. Как правило, ими оказываются сотрудники, купившиеся на фишинг или любой другой из многочисленных существующих способов проникновения внутрь организации. В их числе и подбор паролей от внутренних серверов и систем или эксплуатация доступа к инфраструктуре, добытого другими хакерами.
После этого наступает этап подготовки к шифрованию. Для этого вредоносу нужно как следует закрепиться в сети, и как раз это действие LockBit способен выполнить в автономном режиме. Заполучив как можно высокий уровень доступа к системе и повысив собственные права в ней, программа изучает все закоулки инфраструктуры жертвы, до которых только может дотянуться. На этом же этапе отключаются защитные элементы.
Наконец, после закрепления в системе уже сам шифровальщик проникает в оставшиеся беззащитными устройства компании. После этого наступает необратимое шифрование данных. Для жертв это означает потерю сведений — расшифровать их самостоятельно практически невозможно. Для организаций любого масштаба это грозит длительными простоями в обслуживании, а потому многие из них соглашались заплатить LockBit выкуп. Правда, речь нередко шла не о нескольких биткоинах, как на заре существования группировки, а о миллионах долларов. И только после оплаты они получали дешифратор.
Аппетиты — полмиллиарда
В списке жертв группировки и ее партнеров можно встретить Boeing, Subway, Королевскую почту Великобритании или, например, TSMC — крупнейшего в мире производителя микросхем. Чтобы было проще понимать аппетиты LockBit, в последнем случае они потребовали выкуп в 70 миллионов долларов. Важно понимать, что не все жертвы публично признавали факт взлома и шифрования данных.
Однако некоторые из них после этого все равно пропадали из блога с утечками — специального сайта, на котором хакеры выкладывают данные о жертвах и отсчитывают время до публикации в даркнете украденных сведений. Они могут в дальнейшем использоваться другими киберпреступниками или даже простыми мошенниками. Важно понимать и другое — в разные периоды времени основателя LockBit неоднократно ловили на лжи
«Несмотря на заявления лидера LockBit, группировка атакует организации системы здравоохранения. Меня раздражает, что он часто говорит СМИ и партнерам, что не атакуют такие учреждения. Но в их блоге утечек можно найти множество примеров, которые противоречат его заявлениям», — утверждает ДиМаджио.
Одной из наиболее заметных подтвержденных жертв хакеров стал Boeing
Фото: Andy Clark / Reuters
Так или иначе, но группировка доминировала на киберпреступном рынке. По данным Агентства по кибербезопасности и защите инфраструктуры США, с 2020 по 2023 год вымогатели, использующие вредонос LockBit, провели 1700 атак. За это время им удалось заработать не менее 91 миллиона долларов. По состоянию на начало 2023 года программа засветилась почти в половине (44 процента) попыток вторжения по всему миру.
Министерство юстиции США в мае 2024 года заявило, что LockBit за все время своего существования вымогал как минимум 500 миллионов долларов более чем у 2500 компаний-жертв из 120 стран мира. Американские силовики полагают, что лично главарь группировки заработал благодаря этому 100 миллионов долларов.
ФБР объявляет войну
Февральская операция Cronos, из-за успеха которой лидеру LockBit пришлось объясняться с широкими даркнет-массами, стала далеко не первым актом в борьбе ФБР против группировки, но одним из ключевых. В какой-то момент противостояние сторон стало нелепым: в марте группировка запустила новый блог с учетками взамен захваченного, но в мае федеральные агенты добрались и до него, на этот раз вывесив вместо названий зараженных компаний другие баннеры: «Что нам удалось узнать благодаря прошлому взлому», «Пресс-релизы» и «Кто такой LockBitSupp».
За время охоты на одного из самых успешных хакеров современности тот успел дать несколько интервью. Он подтвердил, что ФБР в результате февральского взлома получило доступ к внутренним панелям и даже к будущим версиям программы. Заметив, что когда-то эта перспектива вызывала в нем страх панику, LockBitSupp заявил, что после инцидента просто спокойно приступил к работе над восстановлением инфраструктуры.
Одно из последствий операции Cronos — ликвидация блога LockBit с утечками
Изображение: National Crime Agency
«Меня невозможно запугать. То, что тебя не убивает, делает тебя сильнее. Я чувствовал, что за мной охотятся, как будто меня пытаются уничтожить. ФБР не может меня разозлить, они только учат меня и делают сильнее», — констатировал LockBitSupp.
Я люблю ФБР — без ФБР моя жизнь не была бы такой веселой, а они просто делают свою работу. Я буду продолжать работать, пока бьется мое сердце, до самой смерти
Во всей операции против себя основатель группировки увидел попытку ФБР очернить репутацию вредоноса и его владельцев. Это должно было снизить доверие потенциальных партнеров к программе и растоптать весь тот имидж, который нарабатывался годами. LockBitSupp говорил, что ФБР блефуют и пытаются испортить его репутацию только из-за того, что не могут поймать.
После повторной потери блога с утечками, а также анонса обратного отсчета до момента раскрытия личности главаря LockBitSupp сказал, что не понимает, зачем ФБР «нужно это маленькое шоу». По его словам, силовики были явно расстроены тем, что группировка продолжила работать, несмотря все их усилия. Спустя сутки таймер прекратил отсчет, и весь мир узнал имя LockBitSupp.
31-летний житель Воронежа
Молодой человек в достаточно хорошей физической форме улыбается посетителям сайтов Национального криминального агентства Великобритании, Министерства юстиции США, Европола и других площадок. Его имя — Дмитрий Хорошев, ему 31 год, а местом его регистрации значится Воронеж.
Дмитрий Хорошев улыбается, потому что не знает, что ФБР уже идет по его следу
Фото: National Crime Agency
Но публикацией фото спецслужбы не ограничились. Хорошеву предъявили официальные обвинения по 26 пунктам, а Госдеп США объявил о вознаграждении в размере до 10 миллионов долларов за информацию, которая позволит идентифицировать или определить местонахождение любого из высокопоставленных членов LockBit.
«Хорошев, будучи разработчиком LockBit, обычно претендовал на 20 процентов от каждого выкупа, получаемого от жертв LockBit. Партнер, ответственный за атаку, получал оставшиеся 80 процентов. Таким образом Хорошев получил не менее 100 миллионов долларов в виде выплат в цифровой валюте, если учитывать, что всего группировка требовала не менее 500 миллионов долларов от своих жертв», — говорится в сообщении Минюста.
Следом были раскрыты личности еще нескольких пособников Хорошева, но реакция LockBitSupp оказалась неожиданной по меркам киберпреступного мира: он начал отрицать, что имеет какое-то отношение к воронежцу.
Мне очень интересно, почему ФБР решило, что я Дмитрий Хорошев. Как они нашли этого человека? На основании каких фактов? Где доказательства? Я всегда думал, что США — правовое государство, которое не будет бездоказательно обвинять невиновного человека. Я был неправ
В дальнейшем он заявлял, что его спутали с Хорошевым из-за того, что воронежцу через криптомиксеры досталась часть украденных LockBit средств. Затем он объявил награду тому, кто сумеет связаться с россиянином, чтобы тот подтвердил: он — не LockBitSupp. Однако за несколько месяцев сделать этого так и не удалось, что заставило уверовать весь мир — именно Хорошев организовал одну из самых успешных группировок «русских хакеров» в истории.
Впрочем, LockBit продолжает работать, а в блоге объединения появляются новые жертвы. К аресту Хорошева после его деанонимизации дело, похоже, не приблизилось.