หน่วยงานอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) ได้เปิดเผยเมื่อวันอังคารที่ 20 กุมภาพันธ์ 2567 ว่า หน่วยงานได้ยึดโค้ดต้นฉบับของ LockBit Ransomware รวมไปถึงข้อมูลข่าวกรองเกี่ยวกับกิจกรรมต่างๆ   และพันธมิตรของกลุ่ม LockBit ทั้งหมดนี้เป็นส่วนหนึ่งของปฏิบัติการพิเศษที่เรียกว่า Operation Cronos

NCA ยังได้เปิดเผยเพิ่มเติมว่า ข้อมูลบางส่วนในระบบของ LockBit นั้นเป็นของเหยื่อที่จ่ายค่าไถ่ให้กับ LockBit ซึ่งเป็นหลักฐานชิ้นสำคัญที่แสดงให้เห็นว่า แม้จะจ่ายค่าไถ่แล้ว ก็ไม่ได้รับประกันว่าข้อมูลจะถูกลบ แม้ว่าเหล่าอาชญากรจะสัญญาไว้ก็ตาม

นอกจากนี้ NCA ยังได้ทำการถอดรหัสเซิร์ฟเวอร์ 34 เครื่อง ที่เป็นของ LockBit affiliate และสามารถดึงคีย์ถอดรหัสมากกว่า 1,000 รายการ ออกมาจากเซิร์ฟเวอร์ LockBit ที่ถูกยึด

LockBit เริ่มดำเนินการในช่วงปลายปี 2019 โดยใช้รูปแบบ ransomware-as-a-service (RaaS)   ซึ่งหมายความว่า ผู้เข้ารหัสจะได้รับอนุญาตให้ใช้ซอฟต์แวร์ LockBit โดยเป็นลักษณะแบบ affiliate ซึ่งจะดำเนินการโจมตีเหยื่อเพื่อแลกกับส่วนแบ่งจากค่าไถ่

การโจมตีของ LockBit จะใช้วิธีการที่เรียกว่า double extortion ซึ่งหมายความว่า อาชญากรทางไซเบอร์จะขโมยข้อมูลลับของเหยื่อก่อนที่จะเข้ารหัส   และจะกดดันให้เหยื่อจ่ายค่าไถ่เพื่อถอดรหัสไฟล์และป้องกันไม่ให้ข้อมูลของพวกเขาถูกเผยแพร่

สรุปการดำเนินการจากหน่วยงานอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA)

• โค้ดต้นฉบับของ LockBit ถูกยึด
• ข้อมูลข่าวกรองเกี่ยวกับ LockBit ถูกเปิดเผย
• เซิร์ฟเวอร์ 34 เครื่องของพันธมิตร LockBit ถูกถอดรหัส
• คีย์ถอดรหัสมากกว่า 1,000 รายการถูกปล่อยออกมา

นี่ถือเป็นชัยชนะครั้งสำคัญสำหรับหน่วยงานบังคับใช้กฎหมายและเป็นการครั้งสำคัญสำหรับกลุ่ม LockBit โดยเหยื่อของ LockBit สามารถใช้คีย์ถอดรหัสที่ปล่อยออกมาเพื่อกู้คืนไฟล์ของพวกเขาได้

แหล่งข้อมูลสำหรับโปรแกรมถอดรหัส

Decryption Tools | The No More Ransom Project

แหล่งข้อมูล

LockBit Ransomware Operation Shut Down; Criminals Arrested; Decryption Keys Released

‍