Table of Contents
Nagyon, de nagyon ritka esetről számolhatunk be a WIRED magazin nyomán*. Olyat ugyanis már látott a világ, hogy valakit egy ransomware vírussal megzsarolnak, fizet, és az üzlet létrejön, nem adják ki az adatait. Olyat is, hogy fizet, és mégis kiszivárognak az adatok. De olyat még soha, hogy az áldozat nem fizet, mire fel eltűnik a zsaroló.
Ezen a héten a LockBit néven ismert, hírhedt zsarolóvírus-banda olyan jellegű zavarkeltéssel fenyegetett, amely még a kórházakat megbénító és gázvezetékeket leállító bűnszövetkezetek számára is újdonság lett volna: egy volt elnök és elnökjelölt büntetőeljárásából származó dokumentumok kiszivárogtatásával.
Aztán ez a fenyegetés minden magyarázat nélkül elpárolgott, és rengeteg megválaszolatlan kérdést hagyott maga után.
Az elmúlt öt napban a LockBit a dark-web oldalán azt ígérte, hogy közzéteszi a georgiai Fulton megye önkormányzatától ellopott adatokat, amelyet a zsarolás egyik célpontjaként jelölt meg – ha csak a megye nem fizet egy meg nem határozott váltságdíjat. A csoport egyik adminisztrátora odáig ment, hogy konkrét fenyegetést tett közzé, miszerint a Fulton megye Donald Trump ellen indított nagy horderejű büntetőeljárásával kapcsolatos dokumentumokat fog kiadni: a Fulton megyei felsőbíróság az a törvényszék, ahol Trumpot, a republikánus elnökjelölt-aspiránst a 2020-as választásokba való beavatkozásra irányuló bűnszövetség alakításával vádolják.
Amikor azonban elérkezett a hackercsoport által adott határidő, egyetlen dokumentum sem jelent meg. Ehelyett a LockBit rejtélyes módon eltávolított minden erről szóló említést a weboldaláról. Fulton megye tisztviselői tagadták, hogy váltságdíjat fizettek volna - így nem derült ki, hogy miért maradt el a kiszivárogtatás, és hogy a LockBit még mindig birtokában van-e a bíróság dokumentumainak, vagy egyáltalán birtokolta-e azokat.
„Egyelőre nincs tudomásunk arról, hogy a mai napon bármilyen adat is kiszivárgott volna” – mondta Robb Pitts, a Fulton megyei bizottság elnöke egy csütörtök délutáni sajtótájékoztatón. „Most, hogy ezt mondjuk, ez még korántsem jelenti azt, hogy a fenyegetésnek vége, és bármikor kiadhatnak bármilyen adatot, ma, holnap vagy bármikor a jövőben. Erre nincs befolyásunk”.
A zsarolóvírus-brigád fenyegetése, megszűnése előtt, drámai időzítésű volt: egy összehangolt bűnüldözési akciót követett, amely a LockBitet vette célba, éppen a múlt héten. Az Operation Chronos néven ismert és az Egyesült Királyság Nemzeti Bűnüldözési Ügynökségének vezetésével zajló művelet során a LockBit infrastruktúrájának nagy részét lefoglalták, több száz kriptopénz-tárcáját lefoglalták, lerombolták a zsaroló akcióihoz használt dark-web oldalakat, és még azt is állították, hogy néhány tagját és partnerét is leleplezték. Néhány nappal később azonban a LockBitnek sikerült elindítania egy új dark-web oldalt, ahol közzétette a célpontjaik listáját, valamint az egyes célpontok visszaszámlálóját, amely a váltságdíj kifizetésének határidejét jelzi, mielőtt a hackerek kiszivárogtatják az ellopott adatokat. A Fulton megyei dokumentumok esetében a határidő február 29-én 13:49-kor (UTC) járt le.
Ezen az újraindított oldalon az egyik LockBit-adminisztrátor egy hosszú írást is közzétett, amelyben azzal vádolta az FBI-t, hogy kifejezetten azért időzítette az akciókat erre a hétre, hogy megakadályozza a Trumphoz kapcsolódó Fulton megyei bírósági dokumentumok kiadását – és megígérte, hogy a letartóztatások ellenére is kiadja őket, ha Fulton megye nem fizet.
„Az FBI csak egy okból döntött úgy, hogy most hackel, mert nem akarták kiszivárogtatni az információkat a Fulton megyei önkormányzat weboldaláról” – írta a LockBit adminisztrátora. „Az ellopott dokumentumok sok érdekes információt és Donald Trump bírósági ügyeit tartalmazzák, amelyek hatással lehetnek a közelgő amerikai választásokra”.
A Fulton megyei kormányzat hackertámadással kapcsolatos megbénulása legalábbis nagyon valósnak tűnik: a megyei kormányzat saját bevallása szerint komoly és folyamatos hálózati zavarral néz szembe, amely nagyon hasonlít egy zsarolóvírus-támadásra. A Fulton megyei kormányzat honlapja már közel egy hete figyelmeztető üzenetben jelzi a honlapon, hogy „váratlan informatikai kiesés tapasztalható, amely jelenleg több rendszert is érint”, és hogy a telefonvonalaktól kezdve az adóbeszedésen át a bíróságokig minden rendszer érintett. Egy tisztviselő, aki a megye nyilvánosan elérhető telefonszámán vette fel a telefont, a WIRED-nek elmondta, hogy az üzemzavar már január végén elkezdődött. A megyei kormányzat szóvivője azonban elutasította a WIRED kérését, hogy további információkat kérjen a támadásról.
A LockBit hackerei néhány meggyőző mintadokumentumot is közzétettek, amelyek a jelek szerint a Fulton megyei bírósági rendszerekből loptak a múlt heti leállás előtt, legalábbis a georgiai George Chidi riporter szerint, aki a hónap elején írt az incidensről. Chidi arról számolt be, hogy olyan dokumentumokat látott, amelyek bírósági aktákat, sőt, bizonyos ügyekben lepecsételt dokumentumokat is tartalmaztak, bár úgy tűnt, egyik sem kapcsolódik Trump vád alá helyezéséhez.
Aztán szerdán, alig néhány órával azelőtt, hogy lejárt a LockBit által a megye számára a váltságdíj kifizetésére szabott határidő, a Lockbit weboldalán az említett kiszivárogtatás visszaszámlálója lefagyott, és egy szöveges sorral kibővülve azt írta: „Az időzítő megállt”. Az ígért időpontban, csütörtökön 13:49 UTC-kor a szivárgás nem valósult meg. Ehelyett a LockBit zsarolással fenyegető oldaláról eltávolítottak minden említést Fulton megyéről.
A csütörtöki sajtótájékoztatón Rob Pitts, Fulton megye elnöke tagadta, hogy a megye kifizette volna a Lockbit zsarolási díját. „Nem fizettünk semmilyen váltságdíjat, és nem is fizettek a nevünkben ilyesmit” – mondta Pitts.
A LockBit lehet, hogy blöfföl – vagy nincs nála az áru, amit állít, vagy nem hajlandó lemondani a zsarolási potenciáljáról. Robert McArdle kutató, aki a Trend Micro biztonsági cég kiberbűnözéssel foglalkozó kutatócsoportját vezeti, és részt vett a LockBit elleni bűnüldözési akcióban, azt mondja, hogy a csoport eddig üres fenyegetése annak a jele, hogy a csoportot valószínűleg jobban megzavarták a letartóztatások, mint azt hajlandó volna beismerni.
„Ez újabb bizonyítéknak tűnik arra, hogy a LockBit milyen nehézségekkel küzd az Operation Chronos óta, és annak a jele, hogy képtelenek megbízhatóan betartani a vállalásaikat” – mondja McArdle. Rámutat, hogy a csoport új dark-web oldalán felsorolt áldozatok mindegyike a Chronos művelet előtt került veszélybe, és hogy a fenyegetésük folytatása a csoport kísérlete arra, hogy „úgy tűnjön, mintha minden rendben lenne, miközben a legtöbb bizonyíték nagyon is az ellenkezőjére utal”.
Maradnak azonban más elméletek is, amelyek szerint a Lockbit még mindig birtokában lehet a bíróság adatainak, de azokat más módon próbálja felhasználni. „Általában nem hazudnak az áldozatokról, mert annyira aggódnak a hírnevük miatt” – mondja Jon DiMaggio, az Analyst1 kiberbiztonsági cég zsarolóprogramokkal foglalkozó vezető biztonsági stratégája. Megjegyzi, hogy a kiszivárogtatási fenyegetés levételéről szóló döntés a LockBittel együttműködő „társult” hackerek döntése lehetett, akik a Fulton megyéhez hasonló áldozatok adatbázisaiba való behatolásban együttműködnek a LockBittel, és akiknek más motivációik lehetnek, mint magának a LockBitnek.
Ha a Fulton megyei dokumentumok valóban a hackerek kezében maradnak, és ha bármelyikük a Trump-üggyel kapcsolatos, tovább bonyolíthatják az amúgy is kaotikusan kusza tárgyalást. Az állam álláspontját megingatták azok a vádak, amelyek szerint Fulton megye államügyészének, Fanni Willisnek intim viszonya volt egy másik, Trump ellen vádat emelő ügyésszel, ami a védelem érvelése szerint Willis elbocsátását követeli meg. Az ügy nem nyilvános dokumentumainak publikálása még kaotikusabbá teheti az eljárást – és a közelgő amerikai elnökválasztást is.
„Érdeklődéssel figyeljük, hogyan alakul a Fulton-szivárgás” – mondja a Trend Micro-tól McArdle. „Az amerikai politikai szféra – beleértve egy bizonyos volt elnököt is – kétségkívül árgus szemekkel figyel majd.”
Nem is érdemes találgatni, mi történhetett, annyira kusza a történet, hogy ehhez egy Sherlock Holmes összes történetein képzett mesterséges intelligencia is kevés volna. A lehetőségek tárháza hatalmas, kezdve azzal, hogy az önkormányzat titokban mégis fizetett, addig, hogy a LockBitnek sosem voltak birtokában az adatok, csak tudtak róluk. Az is lehet, hogy a LockBit legénységéből a kevés szabad lábon maradt ember így akart némi induló pénzt szerezni egy új vállalkozáshoz, de valamiért kudarcot vallottak, ahogy az sem kizárható, hogy Fulton megye titokban gumitalpú segítséget kért és kapott, minek következtében a LockBitesek az életben nem kerülnek elő többet. Sok minden lehetséges tehát, de az a legkevésbé valószínű, hogy valaha is megismerjük az igazságot.
Mindenesetre a legritkább esetek közé tartozik az, amikor elsikkasztják a zsarolót.
*The Mysterious Case of the Missing Trump Trial Ransomware Leak