LockBit превыше всего ценит свою репутацию (после денег, конечно)

[Artifact]

Представитель группировки дал развернутое интервью аналитику безопасности.

Хотя вымогательская группировка LockBit существует с сентября 2019 года, до прошлого июня она была малозначимым игроком на киберпреступной арене. Однако после запуска новой версии ее платформы "вымогательское ПО как услуга" (Ransomware-as-a-Service, RaaS) под названием LockBit 2.0 и ухода конкурентов Darkside, Avaddon и REvil она стала одной из крупнейших на сегодняшний день партнерских программ RaaS.
Киберпреступные группировки, ранее использовавшие другое вымогательское ПО, летом 2021 года переключились на LockBit, что привело к резкому росту числа атак на австралийские компании. По данным ИБ-компании Recorded Future, LockBit, с большим отрывом, была самой активной кибевымогательской операцией в прошлом месяце - на ее долю пришлась почти треть жертв, представленных на сайтах утечек кибервымогательских группировок.
Теперь, когда LockBit крепко встала на ноги, она решила последовать примеру REvil и BlackMatter и дать интервью специалисту Recorded Future Дмитрию Смилянцу.
Как пояснил представитель группировки, называющий себя LockBitSupp, LockBit пока еще не начала завоевывать рынок по-настоящему и находится на стадии разработки и улучшения своего ПО. Резкое увеличение числа атак с использованием вымогательского ПО LockBit он объясняет "безупречной репутацией".
"Мы единственные, кто никогда никого не обманывал и не менял свой бренд. Люди доверяют нам. Соответственно, чем больше партнеров, тем больше атак", - пояснил LockBitSupp.
Группировка не намерена снижать свою активность даже в случае, если в некоторых странах жертв вымогателей законодательно обяжут незамедлительно сообщать об атаках властям. LockBit не боится чрезмерного внимания со стороны властей и целиком и полностью полагается на свои средства обеспечения безопасности.
"С шумихой или без, любой прокол в анонимности может тебя уничтожить. Нам все равно, раскроет компания информацию об атаке или нет, это ее личное дело", - заявил LockBitSupp.
Одной из отличительных черт LockBit является то, что она разрешает участникам своей партнерской программы общаться с жертвами и получать от них деньги напрямую.
"У нас нет причин не доверять своим партнерам. Если человек настроен на долгосрочное сотрудничество, то он нас никогда не кинет. Но самое важное - это поддерживать безупречную репутацию. Мы не можем разочаровать своих партнеров и украсть выкуп, как это делали Avvadon, Darkside и REvil (в прошлом месяце SecurityLab сообщал о том, что у REvil была возможность обворовывать своих партнеров - ред.)", - сообщил LockBitSupp.
По словам представителя LockBit, в течение пяти следующих лет конкуренция на рынке кибервымогательства усилится, в то же время, компании станут лучше защищены от атак.
На вопрос, какую роль в успехе LockBit сыграла ликвидация REvil, LockBitSupp ответил, что никакой, и к группировке перешли только четыре партнера REvil.
"Запустить партнерскую программу легко, а вот поддерживать ее на плаву - это настоящее искусство", - отметил представитель LockBit.
Интересно, что LockBitSupp считает исчезновение REvil самым обычным мошенничеством (exit scam или "мошенничество с уходом" - уловка, при которой существующий бизнес прекращает выполнять заказы, одновременно получая оплату за новые, а затем исчезает, прикарманив деньги клиентов).
"Я уверен, это классический exit scam, то же самое было с Avvadon и Darkside. Как только приходит крупный платеж, владелец партнерской программы задумывается, а стоит ли работать дальше и рисковать своей жизнью, или лучше уйти прямо сейчас и спокойно тратить деньги всю оставшуюся жизнь", - заявил LockBitSupp.
Отметим, на прошлой неделе сообщалось , что деятельность REvil была прекращена совместными усилиями американских спецслужб и их союзников.
Как отметил представитель группировки, LockBit не атакует больницы. Было несколько случаев, когда партнеры по ошибке зашифровали сети стоматологических кабинетов и домов престарелых, но группировка предоставила им ключ для восстановления файлов бесплатно.
По словам LockBitSupp, встреча Джо Байдена и Владимира Путина летом нынешнего года никак не повлияла на кибервымогательский рынок, а временное снижение количества атак объясняется тем, что "никто не хочет работать летом, особенно если у тебя миллионы долларов". Тем более, никто, кто "работает серьезно", не живет ни в России, ни в США. Сам LockBitSupp уверяет, что живет в Китае (однако интервью он давал на русском) и чувствует себя "в полной безопасности".