Битва гигантов: Вымогатели LockBit против Mandiant
В последнее время на мировой киберарене кипят нешуточные страсти. В схватке сошлись настоящие тяжеловесы. Известная банда вымогателей LockBit, движимая жаждой мести, решила разобраться с гигантом в сфере кибербезопасности — компанией Mandiant.
Представление участников
Mandiant — одна из крупнейших компаний в индустрии кибербезопасности с оборотом в несколько миллиардов долларов в год. В марте этого года Google приобрела Mandiant за 5,4 миллиарда долларов. Окончательно сделка будет закрыта к концу этого года, после чего Mandiant станет частью Google Cloud.
LockBit — известная банда вымогателей, операторы одноименного вируса-шифровальщика. Кибербандиты обычно используют в своих атаках тактику двойного вымогательства. Взломщики проникают в ИТ-системы компаний и скачивают оттуда все данные, до которых сумеют добраться. Затем вирус зашифровывает информацию на компьютерах жертв и оставляет требование выкупа за восстановление доступа к системам. Киберпреступники также угрожают обнародовать украденные данные, чтобы стимулировать жертву на выплату выкупа.
Что произошло
На этой неделе группа вымогателей Lockbit заявила об успешном взломе ИБ-компании Mandiant.
Киберпреступники разместили на своем портале в даркнете соответствующее объявление и пообещали опубликовать украденные файлы. Однако вымогатели не потребовали выкупа, что для них совсем не характерно.
Mandiant факт взлома категорически опровергла, заявив, что специалисты компании пока не нашли доказательств, подтверждающих заявления хакеров.
А был ли взлом
Вымогатели LockBit утверждают, что Mandiant была взломана через цепочку поставок. Сначала с помощью уязвимости Zerologon они добрались до Foxconn, а затем через VPN попали в «самое яблочко». Киберпреступникам якобы удалось похитить более 356 тысяч файлов.
Стоит отметить, что история полна загадок и странностей. LockBit не сообщила, какие именно файлы были похищены. Киберпреступники выложили всего один непонятный и похожий на фейковый файл.
Публикация странного файла озадачила многих экспертов. Бретт Кэллоу, аналитик угроз ИБ-компании Emsisoft, изучающий банды кибервымогателей, считает, что в данном случае LockBit на слово верить не стоит. Группировка в прошлом уже делала ложные заявления, отмечает эксперт.
Так была ли взломана Mandiant? Зачем хакеры делали громкие заявления? Какие цели преследовали?
Жажда мести
На прошлой неделе Mandiant опубликовала исследование, в котором говорилось, что кибербандиты Evil Corp. теперь являются «партнерами» LockBit. Таким образом хакеры из корпорации зла обходят санкции США, а также пытаются сэкономить ресурсы и время для разработки собственных вредоносных программ.
Группировка LockBit после обнародования информации о связях с Evil Corp. впала в бешенство. «Mandiant — не профессионалы, а желтая пресса», — гневно заявили вымогатели.
Поэтому одним из возможных мотивов киберпреступной акции могло стать желание отомстить Mandiant за публикацию неудобной информации.
Главный страх вымогателей LockBit
Почему LockBit так боится раскрытия связей с хакерами из «Корпорации Зла»? «Наша группа не имеет никакого отношения к Evil Corp. Мы настоящие подпольные хакеры даркнета, мы не имеем отношения к политике или спецслужбам вроде ФСБ, ФБР и т.д. », — заверяют киберпреступники.
Судя по всему, хакеры LockBit опасаются потери доходов. Жертвы перестанут платить выкупы, поскольку Evil Corp. находится под санкциями.
Обвал стоимости акций
По мнению независимого ИБ-эксперта Алексея Лукацкого, еще одним мотивом злоумышленников могло стать желание биржевых спекуляций.
«А ведь если опубликовать на сайте утечек инфу об утечке публичной компании (даже если это и не так), то можно уронить курс акций и заработать на этом (если денег много).» — предполагает Лукацкий.
Хотя данный инцидент на стоимость акций Mandiant не повлиял, версия довольно интересная. Даже если в этом конкретном случае злоумышленники не планировали обваливать акции Mandiant, такой мотив могут иметь другие киберзлодеи.
Заключение
В общем, ставить точку в этой загадочной истории пока рано. Mandiant продолжает вести собственное расследование инцидента. Будем следить, чем закончится эпическая битва титанов киберарены.
Продолжение следует…
