Обновена на 26.01.2023 от Questo
Българска компания с с международен мултимилионен бизнес е станала жертва на криптовируса LockBit 3.0. Това става ясно от сайта на групата, която оперира зловредния код.
На сайта, който е достъпен през Tor, са публикувани фирмени документи с конфиденциална информация: основно трудови договори и договори за повишаване на квалификацията, но също CV-та и сканирана лична карта. Данните са напълно достъпни за всеки, който отвори страницата: не е необходимо да се прави регистрация или да се плаща такса.
Документите съдържат огромно количество лични данни: имена, ЕГН, номера на лични карти, физически адреси, трудов стаж, размер на заплатата.
Компанията е създадена в България, но според официалната си страница има офиси и в други европейски страни. Занимава се с транспорт и през 2021 г. има приходи от над 80 млн. лв. според данните в Търговския регистър.
Информацията за българската компания е публикувана в сайта на LockBit 3.0 през август 2022 г. Това предполага, че същинската атака срещу фирмата е станала скоро преди това.
Какво е LockBit 3.0
LockBit 3.0 e криптовирус, който оперира под формата на афилиейт програма. Авторите му предлагат криптовируса на всеки, който има желание да го инжектира в избрана от него компания.
Ако атаката е успешна, криптовирусът криптира данните на атакуваната компания и тя трябва да плати откуп, за да си ги получи обратно. Освен това операторите на LockBit 3.0 получават копие на самите данни.
Така, ако компанията откаже да плати откуп, операторът може да публикува данните публично. Получава се т.нар. двойно рекетиране: от една страна имаш стимул да платиш, за да си върнеш данните, а от друга – за да не бъдат данните публикувани в интернет.
Кибер рекет с бизнес модел
Авторите на LockBit 3.0 твърдят на сайта си, че изискват 20% от всеки събран откуп. Иначе казано, предложението им към кандидат-рекетьорите е: “Даваме ти този криптовирус, прави с него каквото искаш, но каквото изкараш като пари, една пета ще дадеш на нас.”
През 2022 г. атаките с LockBit 3.0 бележат отчетлив ръст, което вероятно се дължи на находчивия бизнес модел, по който се пласира криптовируса. Според производителя на антивирусен софтуер Trend Micro именно LockBit 3.0 е най-масово използваният криптовирус от типа Ransomware-as-a-Service (последното означава, че авторите на зловредния код го дават под наем срещу комисион).
Криптовирус с името LockBit се появява за пръв път през 2019 г. и от тогава еволюира постоянно. Актуалната версия атакува основно големи компании. Жертви на LockBit 3.0 вече са станали световноизвестни фирми като Continental и Thales.
През 2021 г. жертва на LockBit (само че версия 2.0) стана гиганта Accenture. Твърдеше се, че компанията е отказала да плати 50 млн. долара откуп, за да си получи обратно шестте терабайта данни, които хакерите твърдяха, че са откраднали.
И други български институции са ставали жертва на LockBit
Има данни за поне още две български институции, които са били заразени с LockBit. Едната е Държавната агенция за бежанците, която е станала жертва на криптовируса през 2021 г. (или поне така твърдят операторите на LockBit 2.0)
Другата е инвестиционния посредник „МК Брокерс“.
Криптовирусите като доходоносен бизнес
Според ФБР заразяването с криптовируси е едно от най-доходоносните компютърни престъпления в света. То може да стане чрез фишинг, социално инженерство или чрез вътрешен човек, който пуска вируса в мрежата на институцията.
Chainalysis прогнозира, че операторите на криптовируси печелят поне 600 млн. долара годишно от платени откупи. Тази прогноза е базирана на плащанията в криптовалути към портфейли, за които се предполага, че са свързани с операторите.