Nekoliko meseci nakon što je britanska Nacionalna agencija za kriminal (NCA) pokrenula veliku ofanzivu protiv ozloglašene grupe ransomvare-a LockBit, čini se da se banda sajber kriminalaca ponovo pojavila, nastavljajući da vrši napade. Uprkos naporima za sprovođenje zakona, grupe za ransomvare kao što je LockBit i dalje su otporne, pokazujući izazov koji se razvija u borbi protiv sajber kriminala.
U februaru 2024. godine, NCA je, u koordinaciji sa devet drugih zemalja, pokrenula operaciju Cronos, odlučujući udar na LockBit, grupu koja se pojavila oko 2019. Ova grupa za sajber kriminal je stekla slavu zbog upotrebe ransomvare-a — vrste zlonamernog softvera koji se zaključava. podatke o žrtvama i traži otkup za njegovo oslobađanje. Radi na modelu Ransomvare-as-a-Service (RaaS), gde pruža ransomvare alate i infrastrukturu filijalama koje potom izvode napade. LockBit je takođe bio poznat po taktici zvanoj „dvostruka iznuda“, preteći ne samo da će zadržati zaključavanje podataka, već i propuštati osetljive informacije ako se otkupnina ne plati. Radeći preko mračnog veba, grupa je izgrađena na anonimnosti i šifrovanju, što je vlastima otežavalo praćenje.
Od svog nastanka, LockBit je postao jedna od najaktivnijih grupa za ransomvare, ciljajući na industrije poput finansija, zdravstvene zaštite i kritične infrastrukture. Sa procenjenim udelom od 20% do 25% na tržištu ransomvera, LockBit-ovi napadi su izazvali milijarde dolara globalne štete. Finansijski uticaj grupe, koji prema nekim računima premašuje 8 milijardi dolara, povukao je poređenja sa drugim ozloglašenim akterima ransomvare-a kao što su REvil i DarkSide.
Ali Operacija Cronos je to promenila. Operacija NCA infiltrirala je i poremetila Lockbit-ovu kriminalnu infrastrukturu, preuzela kontrolu nad njihovim računarskim sistemima i čak prenamenila njihovu veb lokaciju za curenje na mračnom vebu – javno dostupna veb lokacija na kojoj grupe sajber-kriminalaca objavljuju ukradene podatke. Operacija Cronos označila je hrabar novi pristup borbi protiv sajber kriminala, dokazujući kriminalcima da su agencije za sprovođenje zakona spremne da krenu u ofanzivu.
U maju 2024. godine, globalne agencije za sprovođenje zakona pokrenule su operaciju Endgame, koordinisani štrajk čiji je cilj demontiranje infrastrukture koju koriste više grupa za sajber kriminal. Iako je po svojim ciljevima sličan Operaciji Cronos, koja se fokusirala na LockBit, Endgame je imao širi obim: ciljao je na infrastrukturu zlonamernog softvera koju koriste različite grupe za ransomver i krađu podataka, uključujući one koje su verovatno sarađivale sa LockBit-om.
Malver, vrsta softvera dizajniranog da infiltrira digitalne uređaje, često koriste sajber kriminalci da ukradu informacije ili preuzmu kontrolu nad sistemima. Jedan posebno opasan oblik malvera stvara mreže zaraženih računara, poznate kao botnetovi, koji se mogu daljinski kontrolisati bez znanja vlasnika. Ovi botneti se koriste za niz kriminalnih aktivnosti, od slanja neželjene pošte i krađe podataka do pokretanja distribuiranih napada uskraćivanja usluge (DDoS)—preplavljajući sistem lažnim zahtevima tako da ne može da obrađuje legitimne.
Operacija Endgame je posebno demontirala infrastrukturu „droppera“ i „loadera“—programa koji se koriste za prikriveno instaliranje malvera na sisteme žrtava. Operacija je označila još jedan značajan korak u globalnoj borbi protiv sajber kriminala, naglašavajući važnost međunarodne saradnje u uklanjanju ne samo pojedinačnih kriminalaca, već i alata i mreža koje im omogućavaju.
Uspesi Endgame-a su bili zapaženi: prekinuo je preko 100 zaraženih servera i zaplenio više od 2.000 imena domena koji se koriste za hostovanje zlonamernog softvera, zadavši veliki udarac botnet mrežama koje su širom sveta prouzrokovale štetu od stotine miliona dolara.
Uporedne operacije, Cronos i Endgame, označile su ključnu promenu u globalnoj taktici sajber bezbednosti, direktno ciljajući na porast sajber kriminala kao usluge (CaaS). CaaS omogućava svakome, bez obzira na tehničku veštinu, da kupi ili iznajmi alate i usluge za izvođenje sajber napada. Ovaj model je snizio barijeru ulasku za sajber kriminal, olakšavajući pojedincima ili grupama da pokrenu sofisticirane napade. LockBit je odličan primer: grupa obezbeđuje infrastrukturu dok filijale izvršavaju napade, pri čemu filijale dobijaju većinu otkupnine, a LockBit zahteva smanjenje za obezbeđivanje alata. Cronos i Endgame su naglasili sve veću saradnju između agencija za sprovođenje zakona širom sveta, signalizirajući ujedinjeni front protiv rastuće pretnje sajber kriminala.
Uprkos ovim pobedama, povratak LockBita naglašava ključni izazov — sajber kriminalci se stalno prilagođavaju. Ponovno pojavljivanje grupe izaziva zabrinutost oko toga da li su organizacije adekvatno pripremljene za buduće napade. Mnogima još uvek nedostaju suštinske mere sajber bezbednosti, što ih čini ranjivim na sve sofisticiranije grupe ransomvera.
Kako LockBit ponovo potvrđuje svoj uticaj, nove grupe ransomvare-a takođe dobijaju na značaju. Analitičari su identifikovali najmanje 10 novonastalih aktera ransomvare-a u 2024. godini, uključujući Plai Ransomvare, RansomHub i Akira, od kojih su svi usvojili taktike slične LockBit-u. Plai Ransomvare je stalna i rastuća pretnja, poznata po velikim napadima na opštine i kritičnu infrastrukturu. U 2024. godini nastavio je da vrši kršenja visokog profila, uključujući napad na prodavce švajcarske vlade. RansomHub je brzo stekao važnost 2024. godine, sa svojim veoma atraktivnim partnerskim programom koji nudi i do 90% provizije za napadače. RansomHub je ciljao preko 100 organizacija širom sveta, posebno se fokusirajući na poslovne usluge i manje kompanije koje mogu biti ranjivije. Akira je postala poznata po svojim uspešnim napadima dvostruke iznude, fokusirajući se na industrije poput zdravstvene zaštite, obrazovanja i tehnologije.
Ove grupe, zajedno sa ostalima kao što su Medusa i IncRansom, deo su dinamičnog ekosistema ransomvare-a u kojem se pojavljuju nove grupe dok se etablirane kao što je LockBit bore da održe dominaciju. Uprkos kratkom padu incidenata ransomvera od sredine 2023. do 2024. godine, došlo je do porasta od 20% između prvog i drugog kvartala 2024. godine.
Operacije Cronos i Endgame označavaju prekretnicu u borbi protiv sajber kriminala, pomerajući fokus organa za sprovođenje zakona sa ciljanja pojedinačnih hakera na demontažu infrastrukture koja pokreće ove napade. Ovi napori su pokazali novi pristup, krenuvši za serverima, mrežama i alatima na koje se grupe ransomvare-a i malvera oslanjaju, a ne samo da jure kriminalce visokog profila.
Operacije su takođe naglasile nivoe međunarodne saradnje bez presedana, sa agencijama poput Evropola, FBI-a i Interpola koje rade zajedno na globalnom uklanjanju napada u više jurisdikcija – što je podvig ranije bio ometan pravnim i političkim izazovima. Ovaj prekogranični timski rad omogućio je istovremene udare na mreže sajber kriminala, pogađajući ih tamo gde najviše boli: njihovu operativnu kičmu.
Operacije su takođe naglasile koliko daleko su organi za sprovođenje zakona stigli u razumevanju tehničkih ranjivosti infrastrukture za sajber kriminal. Umesto da čekaju da se napadi dogode, agencije su iskoristile nedostatke u sistemima sajber-kriminalaca, zadajući odlučujuće udarce koji su osakatili njihovu sposobnost da rade.
Ove operacije signaliziraju globalni pritisak na suzbijanje sajber kriminala i rastuću moć međunarodnog sprovođenja zakona koji rade zajedno. Ali LockBit-ov brzi povratak je oštar podsetnik da je borba daleko od kraja. Kako sajber pretnje postaju sve sofisticiranije, tako moraju i taktike da ih zaustave. Iako su Cronos i Endgame bili ključne pobede, oni takođe naglašavaju potrebu za još većom globalnom koordinacijom. Jedan nedavni napor je prvi sporazum UN koji ima za cilj stvaranje univerzalnih zakona i protokola za istrage. Osim zakonskih mera, prava bitka je tehnička — vlade, tehnološke kompanije i građanske grupe moraju da rade zajedno kako bi hakere ne samo hakovali, već i usporili njihovu sposobnost da se obnove.
Organi za sprovođenje zakona se takođe okreću psihološkim operacijama (psiops) kako bi poremetili sajber kriminal. Preuzimanjem mračnih veb foruma i sajtova za curenje ransomvare-a, podriva kredibilitet kriminalaca i stvara paranoju unutar ovih mreža. Kriptovaluta, okosnica plaćanja ransomvera, je još jedan fokus. Vlasti sve više zamrzavaju račune povezane sa sajber kriminalcima, presecajući im finansijske linije spasa.
Poruka je jasna: organi za sprovođenje zakona moraju da budu ispred pretnji koje se brzo razvijaju, a organizacije treba da pojačaju svoju odbranu. Borba protiv sajber kriminala je u toku i biće potrebna i nemilosrdna budnost i pametne, koordinisane strategije za pobedu.
