Siber suç , Hizmet olarak siber suç , Dolandırıcılık Yönetimi ve Siber Suç
Uzmanlar, Grup Yeniden Başlasa Bile Kesintinin Zaten Bir Başarı Olduğunu Söylüyor
Mathew J. Schwartz (euroinfosec) •
20 Şubat 2024
Mavi Pazartesi, LockBit hizmet olarak fidye yazılımı grubu için bu yılın sonlarında, kolluk kuvvetlerinden oluşan uluslararası bir koalisyonun altyapısının büyük bir kısmını ele geçirmesinin ardından geldi.
Ayrıca bakınız: SASE’yi NDR ile entegre etme: SASE Olgunluğu, Bulut Stratejisi ve Ağ Görünürlüğü
LockBit’in Tor tabanlı veri sızıntısı sitesi, Pazartesi günü, ödeme yapmayan kurbanları listelemek ve çalınan verileri yayınlamak yerine şunun yazılmasıyla beklenmedik bir değişime uğradı: “LockBit hizmetlerinin uluslararası kanun yaptırımlarının bir sonucu olarak kesintiye uğradığını doğrulayabiliriz.”
Sonraki Salı günü LockBit için korkunç bir olay geldi; Britanya Ulusal Suç Teşkilatı, LockBit’in altyapısına sızdığını ve ele geçirdiğini, “tüm suç teşkilatlarını tehlikeye attığını” ve uluslararası polis çabasının bir parçası olarak mağdurlara dağıtmayı vaat ettikleri 1000 şifre çözme anahtarını ele geçirdiğini söyledi. Cronos Operasyonu adı verildi. Polis, biri Polonya ve Ukrayna’da olmak üzere dört LockBit şüphelisini tutukladı ve ayrıca kaçak olan iki Rus hakkında da dava açtı.
Yetkililer bu mesajı daha sonra yayınladı yayınlanan Kötü amaçlı yazılım araştırma grubu vx-underground tarafından fidye yazılımı grubunun bağlı kuruluş paneline: LockBit’in liderlik kişiliğine atıfta bulunarak “Bu durum için LockBitSupp’a ve kusurlu altyapılarına teşekkür edebilirsiniz.” “Sizinle çok yakında iletişime geçebiliriz.”
LockBitSupp “FBI beni rehin aldı” söylenmiş vx-yeraltı.
Bu siber suç pislik çetesine karşı iyi adamlara bir puan verin. Sophos’un küresel saha CTO’su Chester Wisniewski, “Operasyonlarını kesintiye uğratan ve bağlı kuruluşları ile tedarikçileri arasında güvensizlik yaratan her şey büyük bir kazançtır” dedi.
Tehdit istihbaratı şirketi Analyst1’in baş güvenlik stratejisti Jon DiMaggio’ya göre LockBitSupp kişiliği, grubun lideri de dahil olmak üzere bir veya iki kişi tarafından yönetiliyor gibi görünüyor. Bu durumda, eğer emniyet güçleri grubun operasyonlarına başarılı bir şekilde sızmışsa, bu muhtemelen bir FBI özel ajanıdır.
LockBitSupp daha sonra vx-underground’a, kolluk kuvvetlerinin PHP’nin belirli sürümlerindeki CVE-2023-3824 olarak adlandırılan bir güvenlik açığından yararlanarak altyapısını tehlikeye attığını söyledi. İlk olarak Ağustos 2023’te bir araştırmacının kavram kanıtı yararlanma kodunu yayınladığında ayrıntılı olarak açıklanan güvenlik açığı – kritik olarak derecelendirildi – belirli 8.0.x, 8.1.x ve 8.2.x sürümlerinde mevcut. .phar paket dosyasını okumak veya .phar dosya dizini. ABD Ulusal Güvenlik Açığı Veritabanına göre, kusur nedeniyle “yetersiz uzunluk kontrolü, yığın arabellek taşmasına yol açarak potansiyel olarak bellek bozulmasına yol açabilir” ve uzaktan kod yürütme tehdidine neden olabilir. Geliştiriciler, araştırmacıların genel ayrıntıları ilk kez yayınlamasından kısa bir süre sonra kusur için yamalar yayınlamaya başladı.
LockBit kesintisi devam edecek mi?
Ana oyuncuların birçoğu serbest kalmış gibi görünüyor. “Rusya merkezli LockBit grubunun çekirdeğinin tutuklanması pek olası değil, ancak bu kesinti fidye yazılımı ekosistemi üzerinde önemli bir etkiye sahip olacak ve hızlı bir şekilde kendi sistemimizi oluşturmaya geri dönmeden önce bu kesintinin tadını çıkarmalıyız. Recorded Future’ın baş istihbarat analisti Allan Liska, “Savunma savunmaları” dedi.
Güvenlik uzmanları uzun süredir LockBit’in ve onun benmerkezci liderinin bir zamanlar popüler olmasına rağmen raydan çıkmış gibi göründüğünü bildiriyordu.
Kurucu ortak ve araştırma şefi Yelisey Bohuslavskiy, LockBit’in, diğer fidye yazılımı grubu yöneticilerinin LockBit’in başkanının “her zaman sarhoş olduğu ve gazetecilerle konuştuğu” yönündeki algısından yola çıkarak “karanlık ağın en alttaki besleyicisi” olma ününü pekiştirdiğini söyledi. RedSense’teki memur geçenlerde bana şunu söyledi.
Geçtiğimiz yaz DiMaggio, grubun, kısmen liderliğinin teknik yeteneği elinde tutamaması nedeniyle, suçlular arasındaki popülaritesindeki patlamaya ayak uydurmak için altyapısını ölçeklendirmede başarısız olduğunu bildirdi. Sonuç olarak grup, çoğu zaman fidye taleplerini karşılamayan kurbanların çalınan verilerini sızdırmamak da dahil olmak üzere, liderliğin örtbas etmeye çalıştığı birçok açıdan başarısız oluyordu.
Teknik olarak DiMaggio, bir zamanlar karmaşık ve hızlı hareket eden kripto-kötü amaçlı yazılımlara sahip olmakla ünlü olan grubun, fidye yazılımının yeni sürümlerini yayınlama konusunda kilometre taşlarını karşılamada başarısız olduğunu söyledi. Bunun yerine grup, daha önce sızdırılan bir Conti dolabının markasını yeniden adlandırdı.
Yayından kaldırıldığı sırada Bohuslavskiy, grubun kendisini hâlâ büyük ve kötü göstermeye çalıştığını söyledi. Gerçekte, bu “yüzey” katmanda, grubun “komik bir şekilde düşük yeteneği vardı: sahte iddialar, ödeme eksikliği, sürekli ortaklık dolandırıcılığı ve ‘LockBitSupp’ gerçek operasyonlar için sadece dikkat dağıtma işlevi görüyor” dedi Pazartesi günü LinkedIn’de. postalamak.
RedSense’in baş tehdit araştırmacısı Marley Smith yakın zamanda yaptığı açıklamada, bu kamuya açık kişiliğin, LockBit’in yalnızca kendilerine ait olduğunu iddia ettiği “diğer gruplardan dış kaynaklı işgücünden” oluşan “hayalet gruplar” kullanması sayesinde iş hayatında kaldığı gerçeğini gizlediğini söyledi. Ben. Bu diğer grupların eski BlackCat üyelerini ve Zeon’un aktif üyelerini içerdiğini söyledi.
Fidye yazılımı operasyonlarının hayalet grupları (tipik olarak daha önce Rusça konuşan Conti grubu için çalışan bağımsız yükleniciler) kullanma dürtüsü, teknik yetenek eksikliğini telafi etmek ve “ihtiyaç duydukları belirli bir gizem ve güç seviyesini korumak”tır. Smith, bağlı kuruluşları cezbetmek ve mağdurları ödeme yapmaya korkutmak gerektiğini söyledi.
Bohuslavskiy, yayından kaldırma sonrasında LockBit tarafından işe alınan sözleşmeli yeteneklerin muhtemelen maaş aldıkları sürece çalışmaya devam edeceklerini ancak bunun, yeniden inşa etmek zorunda kaldıkları için yorgunluk ve moral darbesiyle karşılaşmayacakları anlamına gelmediğini söyledi.
“Bu operasyonlar normal şekilde devam etse bile, elit kalem test uzmanlarından oluşan küçük havuz büyük olasılıkla yorulmaya devam edecek ve başka bir büyük yayından kaldırma durumunda istifa edecek” dedi. “İşte tam da bu nedenle yayından kaldırmalar işe yarıyor ve bu nedenle bu operasyonun şimdiden başarılı sayılması gerekiyor.”