25 millió dollárt követel a Lockbit zsarolóvírus mögött álló banda azért, hogy ne hozza nyilvánosságra a London Drugs rendszeréből szerzett adatokat. A Kanada-szerte több mint 80 üzletben gyógyszereket, szépségápolási, háztartási és elektronikai termékeket forgalmazó vállalatnak nem áll szándékában fizetni.

A konkrét ügy még április 28-án kezdődött azzal, hogy a jövőre 80. születésnapját ünneplő bolthálózat egy kibertámadás miatt kénytelen volt összes egyéségét bezárni Nyugat-Kanadában. A cég akkor azt közölte, hogy semmiféle jel nem utal arra, hogy informatikai rendszeréből bármilyen (vásárlói vagy alkalmazotti) személyes adat illetéktelen kezekbe került volna.

Nagyjából két héttel később ezt a vállalat elnök-vezérigazgatója ismételten megerősítette, mivel a külső szakértők bevonásával folyó vizsgálat során nem találtak bizonyítékot arra, hogy ügyféladatbázisok és egyéb érzékeny információk kerültek volna veszélybe.

Az ügy súlyosságát ugyanakkor mutatja, hogy a mintegy 9000 főt foglalkoztató London Drugs honlapja még most, közel egy hónappal az incidenst követően sem érhető el.

A rablók máshogy tudják

A Lockbit a fentiekhez képest lényegesen eltérő történetet tálalt azzal, hogy tegnap feltette az áldozatait tartalmazó listára a kanadai kereskedelmi céget. A bűnözők 25 milliót követelnek azért, hogy 48 órán belül ne hozzák nyilvánosságra a London Drugs hálózatából megszerzett információkat. A vállalat a banda állítása szerint 8 milliót hajlandó is lett volna kifizetni, ám ennyivel a Lockbit nem éri be.

A BleepingComputer által közölt hivatalos közlemény szövege alapján a vállalat tisztában van azzal, hogy a Lockbit "a vállalati központból származó fájlokat [tervez nyilvánosságra hozni], amelyek közül néhány tartalmazhat alkalmazotti információkat". Az nem világos, hogy utóbbit honnan vette a cég, mivel a Lockbit dark webre feltett rövid üzenete csak lopott adatokat említ. A London Drugs ugyanakkor hozzátette, hogy nem fogja és nem is tudja kifizetni a bűnözők által követelet váltságdíjat.

"A nyomozásunk jelenlegi szakaszában nem tudunk konkrétumokat közölni az esetlegesen érintett munkavállalói személyes adatok jellegéről vagy mértékéről. A felülvizsgálatunk folyamatban van, de a kiberincidens által okozott rendszerkárok mértéke miatt arra számítunk, hogy a felülvizsgálat elvégzése eltart egy ideig" - áll a közleményben.

Él és virul?

A mostani incidens már csak azért is különösen érdekes, mert az utóbbi évek egyik legaktívabb ransomware-csoportjára februárban komoly(nak tűnő) akcióval csapott le egy nemzetközi rendőrségi koalíció. Az akkor kiadott jelentés szerint összesen 34 lockbites szervert kapcsoltak le szerte a világban. Ezek között volt három olyan, amelyek a banda "partnervállalatait" szolgálták ki az utóbbiak által elkövetett támadások során.

A hatóságok összesen több mint 200, a bűnszövetkezethet köthető kriptoszámlát is befagyasztottak, valamint "hatalmas mennyiségű adatot" gyűjtöttek össze a Lockbit működéséről. Mindezt az tette lehetővé, hogy a nyomozók praktikusan meghekkelték a hekkereket, azaz teljes kontrollt szereztek a Lockbit műveleti rendszerében.

Ehhez képest azonban a Lockbit tagjai nem szétszéledtek, hanem gyorsan és nagy lendülettel kezdtek kommunikálni, bagatelizálva a hatósági rajtaütés jelentőségét. A csoport új helyre költözve további fejlesztések megtétele mellett a "munka" folytatását ígérte. Ha valóban ők állnak a London Drugs feltörése mögött, akkor biztosra vehető, hogy a banda nem a levegőbe beszélt február végén.