На шестую годовщину 6️⃣ своей деятельности LockBit объявил о выпуске LockBit 5.0, новой версии своего вымогательского ПО (панель для аффилиатов и сам код шифровальщика были переписаны с нуля и, по заявлениям группировки, не имеют аналогов). Анонс появился на криминальном форуме RAMP.

LockBit недавно серьезно пострадал в результате операции “Cronos” ☁️ – международной операции по дезорганизации группировки и захвату ее инфраструктуры. Возврат со свежей платформой говорит о ее устойчивости и способности возрождаться даже после тяжелого удара со стороны правоохранителей. Группа перезапустилась с новой инфраструктурой, доступ к которой теперь предоставляется за деньги (500 баксов в криптовалюте), а не бесплатно, как раньше 🪙 Требование оплаты – явный сигнал, что LockBit хочет ограничить аффилиатов и увеличить контроль над сетью RaaS.

LockBit 😷 пытается вернуться на форум XSS, где была ранее заблокирована, и проводит голосование для своего возврата с предложением проведения писательского конкурса с призом $20000 – $30000 (подкуп избирателей? не, не может быть). Параллельно группа положительно отреагировала на предложение от DragonForce о создании "картеля" или "коалиции" с другими игроками, такими как Qilin 🤝 Цель – установить общие правила, избежать публичных конфликтов и коллективно диктовать условия рынку. Идея формирования картеля показывает, как киберпреступные группы эволюционируют – стремятся к структуре, управлению и разделению рисков, как в криминальных сетях 🤯

Эксперты не до конца верят в возрождение из пепла и считают, что возможно три основных сценария происходящего:
6️⃣ подлинное воскрешение первоначальной команды некоторыми оставшимися на свободе членами,
2️⃣ обманная операция правоохранительных органов,
3️⃣ кража бренда другим злоумышленником, который хочет сесть на хвост известному имени 😂

В настоящее время новый LockBit 5.0 не имеет публичного сайта утечки данных (DLS) 🫱 и его технические возможности остаются непроверенными, оставляя ИБ-сообществу только возможность гадать, будет ли это настоящее возрождение или очередная, может быть последняя, попытка обмана (тем более, что LockBit уже обвиняли в обмане коллег по цеху). Если же это реальный LockBit, то его поведение 💰 отражает сдвиг от хаотичных RaaS-структур к организованным криминальным моделям, что не есть хорошо.

#ransomware