ABD Dışişleri Bakanlığı, LockBit fidye yazılımı grubu içindeki önemli liderlerin belirlenmesine ve operasyona katılan herhangi bir kişinin tutuklanmasına yol açabilecek bilgiler için 15 milyon dolara kadar para ödülü vereceğini duyurdu.
Dışişleri Bakanlığı, “Ocak 2020’den bu yana, LockBit aktörleri Amerika Birleşik Devletleri’nde ve dünya çapında mağdurlara yönelik 2.000’den fazla saldırı gerçekleştirdi ve bu da operasyonlarda maliyetli kesintilere ve hassas bilgilerin yok edilmesine veya sızmasına neden oldu.” dedi.
“LockBit fidye yazılımı olaylarından kurtulmak için 144 milyon dolardan fazla fidye ödemesi yapıldı.”
Bu gelişme, Birleşik Krallık Ulusal Suç Ajansı (NCA) liderliğindeki kapsamlı bir emniyet operasyonunun, dört yılı aşkın süredir faaliyet gösteren ve dünya çapındaki iş ve kritik altyapı kuruluşlarına zarar veren Rusya bağlantılı bir fidye yazılımı çetesi olan LockBit’i sekteye uğratmasının ardından geldi.
LockBit ve diğerleri gibi hizmet olarak fidye yazılımı (RaaS) operasyonları, hassas verilerini çalarak ve şifreleyerek şirketlere şantaj yaparak çalışır; bu da bunu, bu gerçeğin avantajını kullanarak cezasızlıkla hareket eden Rus e-suç grupları için kazançlı bir iş modeli haline getirir. Batı yasa uygulayıcılarının yetki alanının dışında olduklarını.
Çekirdek geliştiriciler, LockBit’in kötü amaçlı yazılımını ve altyapısını kullanarak saldırıları gerçekleştirmek üzere görevlendirilen bağlı kuruluşlar ağından yararlanma eğilimindedir. Bağlı kuruluşların ise ilk erişim aracılarını (IAB’ler) kullanarak ilgilenilen hedeflere erişim satın aldıkları biliniyor.
Sophos’un küresel saha CTO’su Chester Wisniewski, “LockBit, Conti’nin 2022 ortasında sahneden ayrılmasından bu yana en üretken fidye yazılımı grubu haline geldi” dedi.
“Saldırılarının sıklığı ve ne tür bir altyapıyı felce uğrattıklarına dair herhangi bir sınıra sahip olmamaları da onları son yılların en yıkıcıları haline getirdi. Operasyonlarını kesintiye uğratan ve iştirakleri ve tedarikçileri arasında güvensizlik yaratan herhangi bir şey, kolluk kuvvetleri için büyük bir kazançtır. “
LockBit’in aynı zamanda 2022’de bir hata ödül programı duyuran ilk fidye yazılımı grubu olduğu da biliniyor; bu program, web sitesi ve soyunma yazılımındaki güvenlik sorunlarını bulanlara 1 milyon dolara kadar ödüller sunuyor.
Intel 471, “LockBit’in operasyonu, sürekli olarak yeni ürün özellikleri sunarak, iyi müşteri desteği sağlayarak ve zaman zaman insanlara grubun logosunu kendilerine dövme yaptırmaları için para ödemeyi de içeren pazarlama eylemleriyle ölçek olarak büyüdü” dedi.
“LockBit senaryoyu tersine çevirdi, bağlı kuruluşlarının fidyeyi toplamasına izin verdi ve onlara bunun bir kısmını ödeyeceğine güvendi. Bu, bağlı kuruluşların ödemeyi kaybedmeyeceklerine dair güven duymasını sağladı ve böylece daha fazla bağlı kuruluşun ilgisini çekti.”
Grubu Gold Mystic adı altında takip eden SecureWorks Karşı Tehdit Birimi (CTU), Temmuz 2020’den Ocak 2024’e kadar LockBit fidye yazılımını içeren 22 ele geçirmeyi araştırdığını ve bunlardan bazılarının mağdurlara şantaj yapmak için yalnızca veri hırsızlığına dayandığını söyledi.
Siber güvenlik şirketi ayrıca, LockBit’in fidye pazarlığı ve ödemeler konusunda kontrolü bağlı kuruluşlarına devretme uygulamasının, sendikanın yıllar içinde ölçeklenmesine ve birkaç bağlı kuruluş çekmesine olanak tanıdığına dikkat çekti.
LockBit’in yayından kaldırılması, Nisan 2022’de başlayan ve Polonya ve Ukrayna’daki üç bağlı kuruluşun tutuklanmasına, ABD’de diğer iki üye olduğu iddia edilen kişiye yönelik iddianamenin yanı sıra 34 sunucuya ve 1.000 şifre çözme anahtarına el konulmasıyla sonuçlanan aylar süren bir soruşturmanın ardından geldi. Mağdurların herhangi bir ödeme yapmadan verilerini kurtarmalarına yardımcı olabilir.
Bu tutuklamalar arasında Varşova’da 38 yaşında bir adam ve Ukrayna’dan bir “baba-oğul” ikilisi de yer alıyor. LockBit’in 31 Ocak 2022 ile 5 Şubat 2024 tarihleri arasında yaklaşık 194 bağlı kuruluşta istihdam edildiği ve aktörlerin StealBit olarak bilinen özel bir veri filtreleme aracı kullandığı tahmin ediliyor.
NCA, “StealBit, LockBit’in bağlı kuruluşlarına tam bir ‘tek durak noktası’ hizmeti sunma girişiminin bir örneğidir” dedi ve yürütülebilir dosyanın, StealBit’in muhtemel bir kaçış çabasına girmeden önce verileri bağlı kuruluşun kendi altyapısı üzerinden dışa aktarmak için kullanıldığını da sözlerine ekledi. tespit etme.
Bununla birlikte, bu RaaS markalarının değişken yapısı, onları kapatmanın suç örgütünü kesin olarak etkilemeyebileceği ve onların yeniden gruplanıp farklı bir ad altında yeniden ortaya çıkmasına olanak tanıyabileceği anlamına geliyor. Benzer yayından kaldırmaların yakın geçmişi bir gösterge ise, yeniden markalaşmaları ve kaldıkları yerden devam etmeleri çok uzun sürmeyecek.
ZeroFox, “LockBit’in altyapısının kapsamlı bir şekilde bozulması, muhtemelen LockBit operatörlerinin faaliyetlerine devam etmeden önce – ya LockBit adı altında ya da alternatif bir başlık altında – kısa süreliğine de olsa faaliyetlerinde kısa süreli bir durmaya yol açacaktır” dedi.
Wisniewski, “QakBot’ta olduğu gibi her zaman tam bir zafer elde edemesek bile, karmaşayı empoze etmek, yakalanma korkusunu körüklemek ve suç örgütünü işletme konusundaki sürtüşmeyi arttırmak yine de bir kazançtır” diye ekledi Wisniewski. “Hepsini ait oldukları yere, yani hapse koyana kadar maliyetlerini daha da artırmak için birlik olmaya devam etmeliyiz.”