Egy hete még úgy tűnt, nemzetközi összefogással sikerült felszámolni az elmúlt évek egyik legaktívabb ransomware-bandáját, a Lockbitet. Leállították a szervereket a tükrözéseikkel együtt, kriptoszámlákat és dekódoló kulcsokat foglaltak le, sőt néhány letartóztatás is történt.

Csupán abból lehetett sejteni, hogy a siker nem teljes, hogy az akció után az amerikai külügy összesen 15 millió dollár jutalmat ajánlott fel azoknak, akik segítenek a tettesek letartóztatásában. (Legutóbb a Hive vezetőire és tagjaira tűztek ki ekkora vérdíjat.)

A hétvégén aztán kiderült, jogos volt az amerikai külügy félelme. Szombaton ugyanis jelentkeztek a kiberbűnözők. Terjedelmes közleményben jelentették be: a Lockbit visszatért, és újra működik a teljes infrastruktúrája. És hogy mindez hatásosabb legyen: a szöveget egy FBI-os adatszivárgást imitáló dobozban tették közzé (a BleepingComputeren képernyőmentés formájában a teljes közlemény elérhető). Arra, hogy az infrastruktúra nem sérült komolyabban, a bűnözők már korábban is utaltak: csak a PHP-s szervereiket sikerült elérniük a hatóságoknak, a PHP nélküli biztonsági mentési rendszerek sértetlenek maradtak.

A művelet során egyébként csak morzsához jutott a nemzetközi nyomozó csapat: azon a szerveren például, amin a több mint 1000 dekódoló kulcsot találták, összesen közel 20 ezer kulcs volt, de az is csak fele annak a mintegy 40 ezernek, ami a Lockbit eddigi működése alatt keletkezett. Az ezer kulcsot pedig jellemzően alacsony szintű társszervezetek használták kisebb, max. 2000 dolláros váltságdíjak kicsikarásához, írták a bűnözők.

Azt, hogy az Operation Cronos sikeres lehetett, személyes hibákkal (hanyagság, felelőtlenség) magyarázza a közlemény. A Lockbit – illetve a mögötte álló személy(ek) – ellustult, mivel korábban öt évig különösebb probléma nélkül dőlt a pénz. Ezért nem frissítették időben a PHP-t. Most azonban ez megtörtént, és olyan atombiztos az infrastruktúra, hogy még jutalmat is ajánlottak annak, aki az új PHP-s szervereiket fel tudja törni.

Azt is megmondták, hogyan tovább

És persze folytatják. A Lockbit nevet megtartják, de a központi oldalukat, ahol az adatszivárogtatási információkat közzéteszik, egy új .onion címre költöztették a Tor hálózaton. Az új helyen már szerepel is öt áldozat egy visszaszámlálóval ellátott dobozban (a visszaszámláló mutatja, hogy az áldozatnak mennyi ideje van fizetni, ha nem szeretné, hogy adatait nyilvánosságra hozzák a bűnözők).

A közlemény a hatóságok aktivitását összefüggésbe hozta az amerikai elnökválasztással. Januárban, egy Fulton megye hivatalai ellen elkövetett ransomware-támadás során ugyanis olyan információkat sikerült ellopniuk, melyek hatással lehetnek az amerikai elnökválasztásra (pl. Donald Trump bírósági ügyeivel kapcsolatos információk). A csapat azt ígéri, hogy a jövőben intenzívebben fogják támadni a kormányzati szektort, hogy lemérjék, mennyire járnak közel a hatóságok a szervereikhez.

Emellett további infrastrukturális fejlesztéseket is bejelentettek: felszámolnak kockázatos automatizmusokat, növelik a decentralizációt, és bizalmi szintek alapján árnyaltabban, különböző szervereken kezelik a "partnereiket".

Talán meglepő, hogy egy kiberbűnöző csoport ilyen részletes közleményben ismerteti terveit, de itt sincs másként, mint bármely vállalkozásnál. Ha megakad a biznisz, akkor jön a katasztrófa utáni helyreállítás, majd a kármentés – és a kísérlet, hogy a cég helyreállítsa a hitelességét ügyfelei előtt. Valószínűleg ennek vagyunk a tanúi most is.