FBI’ın operasyonu kaldırması Kilit Biti Geçen hafta fidye yazılımı grubu, LockBit’in hükümet bilgisayar sistemlerinden çalınan hassas verileri yayınlamaya hazırlandığı sırada geldi. Fulton İlçesi, GA. Ancak LockBit şimdi yeniden toplanıyor ve çete, fidye ödenmediği takdirde çalınan Fulton County verilerini 2 Mart’ta yayınlayacağını söylüyor. LockBit, önbelleğin ilçede eski hakkında devam eden cezai kovuşturmaya bağlı belgeleri içerdiğini iddia ediyor Başkan Trumpancak mahkeme gözlemcileri, suç çetesi tarafından yayınlanan tanıtım belgelerinin, Fulton İlçesi verilerinin tamamen sızdırılmasının hayatları riske atabileceğini ve diğer birçok ceza davasını tehlikeye atabileceğini öne sürdüğünü söylüyor.
Fulton County, GA’dan çalınan verilerin vaat edilen sürümüne kadar geri sayım sayacını listeleyen yeni bir LockBit web sitesi.
Şubat ayı başlarında Fulton İlçe liderleri, telefon, e-posta ve faturalandırma sistemlerinin yanı sıra mahkeme sistemleri de dahil olmak üzere çeşitli ilçe hizmetlerinde kesintilere neden olan bir izinsiz girişe yanıt verdiklerini kabul etti.
13 Şubat’ta LockBit fidye yazılımı grubu, kurbanları utandıran blogunda Fulton County için yeni bir giriş yayınladı; bu girişte, ilçe liderleri fidye için pazarlık yapmayı kabul etmedikçe grubun verileri 16 Şubat’ta yayınlayacağını söyleyen bir geri sayım sayacı vardı.
LockBit, “Yerel yapıların bilgi korumasını nasıl ihmalkar bir şekilde ele aldığını göstereceğiz” diye uyardı. “Gizlilikten sorumlu kişilerin listesini açıklayacağız. Gizli olarak işaretlenen belgeler kamuya açıklanacaktır. Devlet vatandaşlarının kişisel verilerine erişimle ilgili belgeleri göstereceğiz. Bu duruma maksimum düzeyde tanıtım yapmayı hedefliyoruz; belgeler birçok kişinin ilgisini çekecektir. Vicdanlı vatandaşlar düzeni sağlayacaktır.”
Ancak 16 Şubat’ta Fulton County’nin girişi hiçbir açıklama yapılmadan LockBit’in sitesinden kaldırıldı. Bu genellikle yalnızca söz konusu mağdurun fidye talebini ödemeyi kabul etmesinden ve/veya gaspçılarla müzakerelere başlamasından sonra gerçekleşir.
Ancak Fulton İlçe Komisyonu Başkanı Robb Pitts kurul, “ödeme yapmak için Fulton County vergi mükelleflerinin fonlarını vicdanen kullanamayacağına” karar verdiğini söyledi.
Pitts, 20 Şubat’taki bir olay brifinginde, “Biz ödeme yapmadık, kimse de bizim adımıza ödeme yapmadı” dedi.
Basın toplantısından sadece birkaç saat önce, LockBit’in çeşitli web siteleri FBI ve Birleşik Krallık Ulusal Suç Ajansı (NCA) tarafından ele geçirildi; bu kurum, fidye yazılımı grubunun ana sayfasını bir el koyma bildirimiyle değiştirdi ve LockBit’in kurbanları utandıran blogunun mevcut tasarımını kullanarak, hakkında basın bültenleri yayınladı. kolluk kuvvetleri eylemi.
Federaller, basın bültenleri ve ücretsiz şifre çözme araçlarını öne çıkarmak için LockBit’in kurbanları utandıran web sitesindeki mevcut tasarımı kullandı.
“Cronos Operasyonu” olarak adlandırılan bu çaba, yaklaşık üç düzine sunucunun ele geçirilmesini içeriyordu; LockBit üyesi olduğu iddia edilen iki kişinin tutuklanması; ücretsiz bir LockBit şifre çözme aracının piyasaya sürülmesi; ve çetenin faaliyetleriyle bağlantılı olduğu düşünülen 200’den fazla kripto para birimi hesabının dondurulması. Hükümet, LockBit’in dünya çapında 2.000’den fazla mağdur olduğunu ve 120 milyon doların üzerinde zorla ödeme aldığını söylüyor.
GELİŞEN AFET
Fidye yazılımı grubunun lideri FBI’ya hitaben 24 Şubat’ta yayınlanan uzun, başıboş bir mektupta LockBit Desteği kurbanları utandıran web sitelerinin, Fulton County ve diğer yarım düzine yeni kurban için yeni geri sayım sayaçlarıyla karanlık ağda bir kez daha faaliyete geçtiğini duyurdu.
LockBitSupp şöyle yazdı: “FBI şimdi tek bir nedenden dolayı hacklemeye karar verdi, çünkü fultoncountyga.gov bilgilerini sızdırmak istemediler.” “Çalınan belgeler pek çok ilginç şey ve Donald Trump’ın yaklaşmakta olan ABD seçimlerini etkileyebilecek davalarını içeriyor.”
LockBit tarafından yayınlanan, açığa çıkan çeşitli Fulton County dosya paylaşımlarını gösteren bir ekran görüntüsü.
LockBit, Fulton County hükümet sistemlerinden çalındığı iddia edilen yaklaşık iki düzine dosyayı zaten yayınladı, ancak bunların hiçbiri Bay Trump’ın ceza davasıyla ilgili değil. Ancak belgelerde mühürlenmiş ve kamuya açık olarak görülemeyen mahkeme kayıtları da yer alıyor gibi görünüyor.
George Chidi yazıyor Atlanta Hedefi, Georgia’nın başkentindeki suçlarla ilgili bir Substack yayını. Chidi, şu ana kadar sızdırılan verilerin, bir çocuk istismarı davasıyla ilgili mühürlü bir kaydı ve Juwuan Gaston cinayet davasında devletin gizli muhbir kimliklerini devretmesini talep eden mühürlü bir önergeyi içerdiğini söyledi.
Chidi, gizli materyalin, diğer beş sanıkla birlikte haraççılık ve çete komplosuyla suçlanan rapçi Jeffery “Young Thug” Williams’ın duruşmasında görev yapan jüri üyelerinin kimliklerini içerdiğini söyleyen bir Fulton County çalışanının raporlarını aktarıyor.
Chidi, “Ekran görüntüleri, bilgisayar korsanlarının ilçedeki bir ceza davasını savunan herhangi bir avukata, delillerin lekelendiğini veya tanıkların gözünü korkuttuğunu ve gizli bilgilerin açıklanmasının davaları tehlikeye attığını iddia etmek için bir başlangıç noktası sağlayabileceğini gösteriyor” diye yazdı. “Yargıç Ural Glanville’in, personelin bana söylediğine göre, son iki haftadır, ortaya çıkan felaketi yönetmek için perde arkasında hararetli bir şekilde çalışıyormuş.”
LockBitSupp ayrıca Birleşik Krallık’taki NCA’nın, mağdurlar fidye ödemeyi kabul ettiğinde LockBit’in söz verdiği gibi çalınan verileri silmediğine dair iddialarını da yalanladı. Bu suçlama oldukça şiddetli çünkü fidye yazılımı grubunun anlaşmanın üzerine düşeni yapacağına inanmıyorlarsa kimse fidye ödemeyecek.
Fidye yazılımı grup lideri ayrıca, federal araştırmacıların Web geliştirmede yaygın olarak kullanılan bir komut dosyası dili olan PHP’deki bilinen bir güvenlik açığından yararlanarak LockBit’i hacklemeyi başardıkları yönünde ilk kez geçen hafta burada bildirilen bilgiyi doğruladı.
LockBitSupp, “Kişisel ihmalim ve sorumsuzluğum nedeniyle rahatladım ve PHP’yi zamanında güncellemedim” diye yazdı. “Bunun sonucunda PHP’nin bu sürümünün kurulu olduğu iki ana sunucuya erişim sağlandı.”
LockBitSupp’un FBI mektubunda, grubun çalınan kurban verilerinin kopyalarını PHP kullanmayan sunucularda tuttuğu ve bunun sonucunda kurbanlardan çalınan dosyaların kopyalarını saklayabildiği belirtildi. Mektupta ayrıca, Fulton County’nin yeni geri sayım sayacını listeleyen sızıntı sayfası da dahil olmak üzere, LockBit dark net web sitelerinin birçok yeni örneğine bağlantılar da listeleniyordu.
LockBit’in yeni veri sızıntısı sitesi, fidye talebi ödenmediği takdirde çalınan Fulton County verilerini 2 Mart 2024’te yayınlayacağını vaat ediyor.
LockBitSupp, “FBI hacklemesinden sonra bile çalınan veriler blogda yayınlanacak, çalınan verileri ödeme yapılmadan yok etme şansı yok” diye yazdı. “FBI’ın tüm eylemleri ortaklık programımın itibarını yok etmeyi, moralimi bozmayı amaçlıyor, ayrılmamı ve işimden ayrılmamı istiyorlar, beni korkutmak istiyorlar çünkü beni bulup ortadan kaldıramıyorlar, ben durdurulamam, siz yapabilirsiniz” Umudum bile yok, yaşadığım sürece faturalı olarak pentest yapmaya devam edeceğim.”
DOX’TAN KAÇMA
Ocak 2024’te LockBitSupp, XSS forum üyelerine, FBI’ın kişisel bilgilerinin ifşa edilmesi ve/veya tutuklanması için bir ödül teklif etmemesi nedeniyle hayal kırıklığına uğradığını ve buna karşılık olarak kendi başına bir ödül koyduğunu, bu ödülü keşfedebilen herkese 10 milyon dolar teklif ettiğini söyledi. gerçek adı.
NCA ve FBI, LockBit’in sitesine el koyduktan sonra grubun ana sayfası, “LockBitSupp kimdir? 10 milyon dolarlık soru.” Teaser, LockBit’in kendi geri sayım sayacından yararlandı ve LockBitSupp’un gerçek kimliğinin yakında ortaya çıkacağını öne sürdü.
Ancak geri sayım sayacının süresi dolduktan sonra sayfanın yerini federallerden gelen alaycı bir mesaj aldı ancak LockBitSupp’un kimliği hakkında yeni bir bilgi içermiyordu.
21 Şubat’ta ABD Dışişleri Bakanlığı, LockBit fidye yazılımı saldırılarına katılan herkesin tutuklanmasını ve/veya mahkum edilmesini sağlayacak bilgiler için toplam 15 milyon dolara kadar ödül verileceğini duyurdu. Dışişleri Bakanlığı, bunun 10 milyon dolarının LockBit liderleri hakkında bilgi için olduğunu ve 5 milyon doların da bağlı kuruluşlar hakkında bilgi için teklif edildiğini söyledi.
İçinde görüşme kötü amaçlı yazılım odaklı Twitter/X hesabıyla Vx-YeraltıLockBit personeli, yetkililerin operasyonları sırasında birkaç küçük çaplı oyuncuyu tutukladığını ve müfettişlerin çekirdek LockBit üyelerinin veya liderlerinin gerçek hayattaki kimliklerini hâlâ bilmediklerini ileri sürdü.
Vx-Underground, “FBI / NCA UK / EUROPOL’un kendi bilgilerini bilmediğini iddia ediyorlar” diye yazdı. “10.000.000 dolarlık ödülü ikiye katlamaya istekli olduklarını belirtiyorlar. Birisi onları doxlayabilirse, kendi başlarına 20.000.000 $ ödül koyacaklarını belirtiyorlar.
EV SIFIRINDA SORUN MI VAR?
FBI/NCA’nın kapatılmasından önceki haftalarda LockBitSupp, Rus siber suç forumlarında bir dizi yüksek profilli kişisel ve ticari anlaşmazlığa bulaştı.
Bu yılın başlarında birisi, ağlara bulaşmak için LockBit fidye yazılımını kullandı. AN-Güvenlik, merkezi Rusya’nın St. Petersburg şehrinde bulunan 30 yıllık saygın bir güvenlik ve teknoloji şirketidir. Bu, Rusya’da ve Bağımsız Devletler Topluluğu’nu oluşturan eski Sovyet ülkelerinde bulunan siber suçlular için altın kuralı ihlal etti; bu, bu ülkelerde kendi vatandaşlarınıza saldırmanın yerel yetkililer tarafından tutuklanmanın ve yargılanmanın en kesin yolu olduğu yönündeydi.
LockBitSupp daha sonra saldırganın, AN-Security’deki sistemleri tehlikeye atmak için LockBit’in kamuya sızdırılmış eski bir sürümünü kullandığını iddia etti ve saldırının, “Clop” olarak bilinen rakip bir fidye yazılımı grubu tarafından itibarını zedeleme girişimi olduğunu söyledi. Ancak olay şüphesiz Rus yetkililerin LockBitSupp’un faaliyetlerini daha yakından incelemesine yol açtı.
Daha sonra Şubat ayının başlarında, Rusça dilindeki siber suç forumu XSS’nin yöneticisi, LockBitSupp’un, fidye yazılımı grup liderinin topluluk tarafından yasaklanmasının ardından kendisini öldürmekle tehdit ettiğini söyledi. LockBitSupp, forum yöneticisi tarafından emredilen tahkim tutarını ödemeyi reddetmesinin ardından XSS’den aforoz edildi. Bu anlaşmazlık, başka bir forum üyesinin LockBitSupp’un kısa süre önce alışılmadık derecede büyük bir fidye yazılımı ödemesinden vaat ettiği pay konusunda kendisini zorladığını söyleyen şikayetiyle ilgiliydi.
XSS yöneticisi tarafından LockBitSupp’un onun ölmesini istediğini belirten bir gönderi.
LOCKBITSUPP İLE RÖPORTAJ
KrebsOnSecurity, FBI’a yazdığı mektupta listelenen ToX anlık mesajlaşma kimliği hakkında LockBitSupp’tan yorum istedi. LockBitSupp, Fulton County’den yayınlanmayan belgeler hakkında ayrıntılı bilgi vermeyi reddetti ve dosyaların birkaç gün içinde herkesin görebileceğini söyledi.
LockBitSupp, FBI sunucularına el koyduğunda ekibinin hala Fulton County ile pazarlık yaptığını, bu nedenle ilçeye bir süre uzatımı verildiğini söyledi. Ayrıca XSS yöneticisini öldürmekle tehdit ettiğini de reddetti.
LockBitSupp, KrebsOnSecurity’ye şunları söyledi: “XSS yöneticisini öldürmekle tehdit etmedim, açıkça yalan söylüyor; bu, kendime acımaya neden olmak ve itibarımı zedelemek içindir.” “Cezalandırmak için öldürmeye gerek yok, daha insani yöntemler var ve o bunların ne olduğunu biliyor.”
FBI’ın gerçek hayattaki kimliğini bilmediğinden neden bu kadar emin olduğu sorulduğunda LockBitSupp daha kesin konuştu.
“FBI’ın kim olduğumu bilmediğinden emin değilim” dedi. “Beni asla bulamayacaklarına inanıyorum.”
LockBitSupp’un iddia ettiği gibi, FBI’ın LockBit’in altyapısına el koymasının, bir şekilde Fulton County’nin verilerinin ifşa edilmesini engellemeye yönelik bir çaba olduğu pek olası görünmüyor. Öncelikle Europol, fidye yazılımı grubunun aylarca süren sızmasının sonucu olarak yayından kaldırma işleminin gerçekleştiğini söyledi.
Ayrıca saldırının ofisteki aksamaya ilişkin raporda Fulton İlçe Bölge Savcısı Fanny Willis 14 Şubat’ta CNN, LockBit’in müdahalesinin neredeyse iki buçuk hafta boyunca devam ettiğini bildirdi.
Son olarak, eğer NCA ve FBI, LockBit’in kurban verilerini asla silmediğine gerçekten inanıyorlarsa, LockBit’in çalınan tüm verilerinin en az bir kopyasını güvenli bir yerde saklayacağını varsaymaları gerekiyordu.