FTB pirmadienį paskelbė, kad po bendro tarptautinio tyrimo konfiskavo „Radar/Dispossessor“ išpirkos reikalaujančios programos serverius ir svetaines.
Bendra operacija buvo vykdoma bendradarbiaujant su JK Nacionaline nusikalstamumo agentūra, Bambergo prokuratūra ir Bavarijos valstybine kriminalinės policijos tarnyba (BLKA).
Teisėsauga konfiskavo tris JAV serverius, tris JK serverius, 18 Vokietijos serverių, aštuonis JAV esančius domenus ir vieną Vokietijoje esantį domeną, įskaitant radar(.)tld, dispossessor(.)com, cybernewsint(.)com (netikrų naujienų svetainę). ), cybertube(.)video (netikrų vaizdo įrašų svetainė) ir dispossessor-cloud(.)com.
Nuo 2023 m. rugpjūčio mėn. „Dispossessor“, vadovaujamas grėsmių veikėjo, žinomo kaip „Brain“, nusitaikė į mažas ir vidutines įmones įvairiuose sektoriuose visame pasaulyje, tvirtindamas, kad atakos prieš dešimtis įmonių (FTB nustatė 43 aukas) iš JAV, Argentinos, Australijos ir Belgijos. , Brazilija, Hondūras, Indija, Kanada, Kroatija, Peru, Lenkija, Jungtinė Karalystė, Jungtiniai Arabų Emyratai ir Vokietija.
FTB teigia, kad išpirkos reikalaujančių programų gauja pažeidžia tinklus dėl pažeidžiamumų, silpnų slaptažodžių ir kelių veiksnių autentifikavimo, sukonfigūruoto paskyrose, trūkumo. Gavę prieigą prie aukos tinklo, jie pavagia duomenis ir įdiegia išpirkos reikalaujančią programinę įrangą, kad užšifruotų įmonės įrenginius.
„Kai nusikaltėliai gavo prieigą prie sistemų, jie gavo administratoriaus teises ir lengvai prieiga prie failų. Tada tikroji išpirkos reikalaujanti programa buvo naudojama šifravimui. Dėl to įmonės nebegalėjo prieiti prie savo duomenų”, – sakė FTB. pranešimas spaudai, pasidalintas su „BleepingComputer“.
„Kai įmonė buvo užpulta, jei jie nesusisiektų su nusikaltėlio veikėju, grupuotė aktyviai susisiektų su kitais nukentėjusios įmonės darbuotojais elektroniniu paštu arba telefonu. Laiškuose taip pat buvo nuorodų į vaizdo įrašų platformas, kuriose buvo anksčiau pavogti failai. pristatė“.
FTB taip pat paprašė buvusių aukų arba asmenų, į kuriuos buvo nukreipta, pasidalyti informacija apie „Dispossessor“ gaują, susisiekus su Interneto nusikaltimų skundų centru adresu ic3.gov arba 1-800-CALL FBI.
Kai kibernetinių nusikaltimų grupė iš pradžių pradėjo veikti, ji veikė kaip turto prievartavimo grupė, perskelbdama senus duomenis, pavogtus per LockBit išpirkos reikalaujančių programų atakas, su kuriomis jie teigė esantys susiję. „Dispossessor“ taip pat atskleidė informacijos nutekėjimą iš kitų išpirkos reikalaujančių operacijų ir bandė juos parduoti įvairiose pažeidimų rinkose ir įsilaužimo forumuose, tokiuose kaip „BreachForums“ ir „XSS“.
„Iš pradžių „Dispossessor“ paskelbė apie atnaujintą maždaug 330 „LockBit“ aukų duomenų prieinamumą. Teigiama, kad tai buvo pakartotinai paskelbti duomenys iš anksčiau turimų „LockBit“ aukų, dabar yra „Dispossessor“ tinkle ir todėl jiems netaikomi „LockBit“ prieinamumo apribojimai“, – teigiama „SentinelOne“ balandžio mėnesio ataskaitoje. .
„Atrodo, kad „Dispossessor” perkelia duomenis, anksčiau susijusius su kitomis operacijomis, pavyzdžiais nuo Cl0p, Hunters International ir 8base. Mes žinome apie mažiausiai tuziną aukų, įtrauktų į „Dispossessor”, kurias taip pat anksčiau buvo įtrauktos į kitų grupių sąrašą.”
Nuo 2024 m. birželio mėn. grėsmės veikėjai pradėjo naudoti nutekėjusį LockBit 3.0 šifruotoją (VirusTotal), kad galėtų naudoti savo šifravimo atakose, todėl jų atakų mastas gerokai padidėjo.
Per pastaruosius metus teisėsaugos operacijos buvo nukreiptos į daugybę kitų kibernetinių nusikaltimų veiksmų, įskaitant kriptovaliutų sukčiavimą, kenkėjiškų programų kūrimą, sukčiavimo atakas, kredencialų vagystes ir išpirkos reikalaujančias operacijas.
Pavyzdžiui, jie naudojo įsilaužimo taktiką, kad įsiskverbtų į ALPHV/Blackcat, išpirkos reikalaujančių programų grupę, diegiančią LockerGoga, MegaCortex, HIVE ir Dharma, Ragnar Locker išpirkos reikalaujančią programinę įrangą ir Hive išpirkos reikalaujančią programinę įrangą, ją suardytų ir pašalintų.