Реформы в LockBit: группа решила ввести строгие правила для партнёров-вымогателей

Тарифы группировки кибервымогателей LockBit.

Вымогательская группировка LockBit решила кардинально изменить свой подход к переговорам с жертвами. Лидеры обеспокоены низким уровнем выплат со стороны компаний. Одна из причин — несогласованность действий аффилированных лиц.

В рядах LockBit существует мнение, что менее опытные аффилиаты не могут добиться даже минимального выкупа от жертв и слишком часто предлагают скидки. Лидеры группы зафиксировали случаи, когда требуемая сумма занижалась до 90%.

Кроме того, специалисты по реагированию на инциденты отслеживают переговоры группы и используют полученные данные против самих хакеров. Это происходит, когда неопытные переговорщики в процессе общения с жертвой невольно раскрывают важные сведения о своей деятельности.

До вступления в силу новой политики в октябре не существовало чётких стратегий или руководящих принципов для переговоров. Аффилиаты действовали исключительно по своему усмотрению.

В связи с этим, LockBit разработала специальные инструкции, определяющие минимальную сумму выкупа и максимально допустимый размер скидок.

Согласно данным, собранным аналитической компанией Analyst1, LockBit провела опрос среди своих участников в сентябре, предоставив им возможность голосовать за потенциальные изменения правил.

В опросе было предложено шесть вариантов на выбор:

1. Оставить всё как есть. Аффилиаты устанавливают свои собственные правила без ограничений, как это было всегда.

2. Установить минимальную сумму выкупа в зависимости от годового дохода компании, например, на уровне 3%. А также запретить скидки выше 50%. Таким образом, если доход компании составляет 100 миллионов долларов, начальная сумма будет составлять 3 миллиона долларов, а окончательная выплата не должна быть менее 1,5 миллиона долларов.

3. Не устанавливать фиксированный минимум выкупа — он будет зависеть от ущерба, причиненного жертве. При этом размер скидки так же будет ограничен планкой в 50%. Например, если требуемая сумма составляет 1 миллион долларов, минимально допустимый платеж должен быть не менее 500 тысяч долларов.

4. Запретить любые платежи меньше, чем сумма, на которую жертва застрахована от кибератак.

5. Запретить любые платежи меньше 50% от суммы, на которую жертва застрахована от кибератак.

6. Другие предложения.

LockBit в итоге установила два правила, которые руководят всеми переговорами, начиная с 1 октября.

Первое касается размера выплат и того, как аффилиаты должны рассчитывать начальную сумму в зависимости от годового дохода атакованной компании.

Доход до 100 миллионов долларов — выкуп должен составлять от 3 до 10%.

Доход до 1 миллиарда долларов — выкуп должен составлять от 0,5 до 5%.

Доход более 1 миллиарда долларов — выкуп должен составлять от 0,1 до 3%.

Руководство заявляет, что, хотя конечная стратегия остается на усмотрение партнёра, рекомендации должны соблюдаться «в типичных сценариях использования вымогательского ПО».

Аффилиаты, например, могут корректировать сумму, если им не удается уничтожить резервные копии данных жертвы.

Второе правило касается скидок — было решено установить жесткий максимум в 50%.

«С 1 октября 2023 года строго запрещено предлагать скидки в более чем 50% от первоначально запрошенной суммы в переписке с атакованной компанией», — говорится в сообщении, которое LockBit разослала партнёрам и предоставила Analyst1 .

LockBit — это киберпреступная группировка, известная своей деятельностью в области кибератак на организации и компании. Она специализируется на использовании вымогателей, чтобы шифровать данные и требовать выкуп за их разблокировку. LockBit была впервые замечена в 2019 году, и с тех пор группировка стала одним из ведущих игроков в сфере киберпреступности. Многие сходятся во мнении, что образовалась она в России. Преступники применяют стратегию двухэтапного вымогательства, в которой они сначала получают несанкционированный доступ к системам и сетям компании, а затем выполняют шифрование данных и требуют выкуп в обмен на их дешифровку. Они также известны своими действиями по угрозе обнародования конфиденциальных данных, если компания отказывается платить выкуп. Это создает дополнительное давление на жертву и стимулирует выплату выкупа.

LockBit постоянно развивается и совершенствует свои методы атак, чтобы избегать обнаружения и проникать в защищенные сети. Они активно ищут уязвимости в системах безопасности, используют социальную инженерию и специализированные инструменты, чтобы достичь своих целей — получить заветный выкуп. Вдобавок к своей дурной славе, LockBit также является одной из самых активных и агрессивных групп-вымогателей, когда речь идёт о нацеливании на производственные и промышленные системы управления. В октябре охранная компания Dragos подсчитала, что во втором и третьем кварталах 2022 года вредоносное ПО LockBit использовалось в 33% атак программ-вымогателей на промышленные организации и в 35% атак на инфраструктуру.

По данным Агентства по кибербезопасности и защите инфраструктуры (CISA) США, с 2020 года Lockbit атаковала 1700 американских организаций. Вашингтон подозревает в причастности к атакам с использованием вредоносного софта Lockbit как минимум трёх россиян. В рамках расследования в Штатах уже арестован 20-летний Руслан Астамиров, в Канаде задержан и ожидает экстрадиции в США 33-летний Михаил Васильев, в розыск объявлен Михаил Матвеев. За информацию о последнем Госдеп пообещал награду в размере до $10 млн.