LockBit

Sofistikovaný škodlivý software LockBit funguje na principu zašifrování dat na infikovaných systémech, aby mohli útočníci následně požadovat výkupné za jejich dešifrování. Od počátku byl vyvinut jako ransomware-as-a-service (RaaS), což znamená, že operátoři této kybernetické hrozby pronajímají svou infrastrukturu a software ostatním kyberzločincům, kteří pak provádějí samotné útoky a sdílejí část výnosu s původními tvůrci LockBitu.

Technické vlastnosti

Z technického hlediska má LockBit hned několik pokročilých vlastností, které z něj činí mimořádně účinný nástroj pro kybernetické vydírání. Program využívá robustní šifrovací algoritmy, které prakticky znemožňují dešifrování dat bez příslušného klíče. Moderní varianty LockBitu jsou navrženy tak, aby se automaticky šířily v síti oběti, což maximalizuje rozsah škod a zvyšuje pravděpodobnost, že oběť požadované výkupné zaplatí. LockBit se navíc zaměřuje na nejcennější soubory včetně databází, finančních záznamů, zákaznických dat a duševního vlastnictví.

První verze LockBitu, někdy označovaná jako LockBit 1.0, byla ve srovnání s pozdějšími variantami poměrně jednoduchá. Přesto dokázala organizacím po celém světě způsobit značné škody. V průběhu roku 2020 prošel LockBit významnými aktualizacemi, které zvýšily jeho účinnost a rozšířily jeho možnosti. Tyto aktualizace zahrnovaly vylepšení šifrovacích algoritmů, implementaci technik pro obcházení bezpečnostních opatření a zdokonalení metod pro exfiltraci dat před jejich zašifrováním.

V červnu 2021 byla uvedena výrazně vylepšená verze známá jako LockBit 2.0. Tato varianta přinesla řadu nových funkcí včetně automatizovaného tisku požadavků na výkupné na tiskárnách připojených k infikované síti, což představovalo inovativní taktiku pro vyvíjení psychologického tlaku na oběti. LockBit 2.0 zavedl také techniku dvojitého vydírání, kdy útočníci nejprve extrahují citlivá data z kompromitovaných systémů a poté hrozí jejich zveřejněním, pokud nebude zaplaceno výkupné. Tato strategie zvyšuje pravděpodobnost platby, protože i v případě, že by organizace měla zálohy svých dat, stále čelí hrozbě úniku citlivých informací.

V polovině roku 2022 vznikla verze LockBit 3.0, známá také jako LockBit Black. Ta přinesla další vylepšení v podobě efektivnějšího šifrování, lepších technik pro vyhýbání se detekci i rozšířených možností pro přizpůsobení útoků. Kromě toho operátoři LockBitu zavedli první program odměn za nalezení chyb (bug bounty program) v ransomwarovém ekosystému, který nabízí až milion dolarů za odhalení závažných zranitelností v jejich kódu nebo identifikaci osoby stojící za celým projektem. LockBit tedy ukazuje, jak sofistikovaným a podnikatelsky orientovaným se kybernetický zločin stal.

Z hlediska distribuce využívá LockBit několik různých vektorů útoku. Nejčastějšími metodami šíření jsou phishingové e-maily se škodlivými přílohami nebo odkazy, kompromitace vzdáleného přístupu (RDP), zneužití známých zranitelností v softwaru a využití již existujících zadních vrátek zanechaných jinými malwarovými infekcemi. V mnoha případech získají útočníci přístup do sítě oběti dlouho před samotným nasazením ransomwaru. Tuto dobu pak využívají k průzkumu infrastruktury, získání dalších oprávnění a zajištění lepší pozice k následnému útoku.

Profesionální ransomware

Skupina za ransomwarem LockBit má profesionální přístup a propracovaný obchodní model. Na dark webu provozuje vlastní stránku s informacemi o svých obětech společně se vzorky odcizených dat na důkaz kompromitace. Tato stránka slouží také jako nástroj pro komunikaci s oběťmi a vyjednávání o výkupném. Operátoři LockBitu jsou známí svou spolehlivostí při poskytování dešifrovacích klíčů po zaplacení výkupného. Také to přispívá k jejich reputaci mezi kyberzločinci a paradoxně to rovněž zvyšuje pravděpodobnost, že oběti výkupné zaplatí.

Oběti LockBitu

Dopady útoků LockBitu jsou dalekosáhlé a postihují organizace napříč různými sektory po celém světě. Mezi známé oběti patří velké korporace, zdravotnická zařízení, vzdělávací instituce, vládní agentury i kritická infrastruktura. Finanční ztráty způsobené těmito útoky zahrnují nejen samotné výkupné, ale také náklady spojené s narušením provozu, obnovou systémů, forenzním vyšetřováním a poškozením reputace. V některých případech vedla nedostupnost kritických systémů i k ohrožení lidských životů, zejména při útocích na zdravotnická zařízení.

V únoru 2022 se LockBit dostal do centra pozornosti po útoku na francouzskou průmyslovou společnost Schneider Electric, při kterém došlo k odcizení a zveřejnění více než 70 gigabajtů citlivých dat. V červnu 2022 napadl LockBit italskou daňovou agenturu, kde údajně došlo k odcizení 78 gigabajtů dat. Tyto i další významné útoky upevnily pozici LockBitu jako jedné z nejaktivnějších a nejnebezpečnějších ransomwarových skupin na světě.

Detekce LockBitu

Bezpečnostní výzkumníci identifikovali několik charakteristických znaků LockBitu, které pomáhají při jeho detekci a zastavení. Patří k nim specifické přípony souborů přidávané k zašifrovaným datům (například .lockbit, .abcd či .lock64), charakteristické zprávy o požadavcích na výkupné a konkrétní vzory síťové komunikace. Tyto indikátory kompromitace (IoC) jsou pro organizace a bezpečnostní týmy důležité při implementaci obranných opatření a proaktivní detekci potenciálních hrozeb.

Z geografického hlediska je LockBit spojován s rusky mluvícími kyberzločinci, ačkoliv přímé důkazy o jejich podpoře ze strany státu chybí. Skupina údajně dodržuje nepsané pravidlo neútočit na cíle v Rusku a dalších zemích Společenství nezávislých států (SNS), což je běžná praxe mezi ruskými kybernetickými skupinami. Naznačuje to určitou míru tolerance ze strany ruských úřadů, i když přímá spolupráce prokázána nebyla.

Protiopatření

V reakci na hrozbu představovanou LockBitem a podobnými ransomwarovými skupinami přijaly vládní a bezpečnostní agentury po celém světě různá protiopatření. V listopadu 2022 americké ministerstvo spravedlnosti oznámilo program odměn ve výši až deset milionů dolarů za informace vedoucí k identifikaci nebo lokalizaci klíčových osob spojených s LockBitem. Europol a FBI vedly koordinované operace zaměřené na narušení infrastruktury spojené s LockBitem včetně zablokování webových stránek a zatčení několika podezřelých spolupracovníků.

V únoru 2024 došlo k významnému zásahu proti LockBitu v rámci mezinárodní operace s kódovým označením Operation Cronos, na níž se podílely bezpečnostní složky z několika zemí včetně USA, Velké Británie, Německa a Francie. Podařilo se převzít kontrolu nad infrastrukturou LockBitu, zabavit servery a získat dešifrovací klíče pro některé z obětí LockBitu. Tato operace představovala nejvýznamnější úder proti ransomwarové skupině v historii a dočasně narušila činnost LockBitu. Experti ale varují, že skupina pravděpodobně obnoví své operace pod novým názvem nebo s modifikovanou strukturou.

Nejúčinnější obranou proti LockBitu a podobným hrozbám ale zůstává kombinace technických a organizačních opatření. Patří k nim pravidelné a izolované zálohy dat, implementace vícefaktorové autentizace, segmentace sítě, průběžné aktualizace softwaru, školení zaměstnanců o bezpečnostních rizicích, omezení práv uživatelů a nasazení pokročilých bezpečnostních řešení, jako jsou systémy pro detekci a reakci na koncových bodech (EDR) a řešení pro ochranu e-mailů.

Evoluce kyberzločinu

LockBit je typickým reprezentantem fenoménu profesionalizace kybernetického zločinu. Skupiny jako LockBit fungují podobně jako legitimní softwarové společnosti s propracovanými organizačními strukturami, specializovanými rolemi, programy pro testování a zajištění kvality, zákaznickou podporou a marketingovými strategiemi. Tento vývoj odráží transformaci kybernetického zločinu z aktivity jednotlivců na sofistikovaný průmysl s ročními výnosy v miliardách dolarů.

LockBit také ilustruje trend směrem k větší spolupráci mezi různými skupinami kyberzločinců. V ekosystému ransomware-as-a-service (RaaS) existuje dělba práce mezi vývojáři malwaru, operátory infrastruktury, partnery provádějícími útoky a zprostředkovateli přístupu (initial access brokers). Tato specializace umožňuje každé skupině soustředit se na své hlavní schopnosti, což vede k vyšší efektivitě a závažnějším útokům. I proto je LockBit symbolem evoluce kybernetického zločinu ve 21. století.