Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
LockBit Lideri LockBitSupp, Cronos Operasyonu Sonrası Hacklemeye Devam Edeceğine Söz Verdi
David Perera (@daveperera) •
24 Şubat 2024
Rusça konuşan fidye yazılımı operasyonu LockBit, Cumartesi öğleden sonra bir karanlık ağ sızıntı sitesini yeniden kurdu ve görünüşe göre suç yeraltı dünyasından geri çekilmemeye söz veren lideri tarafından yazılan uzun bir metni yayınladı.
Ayrıca bakınız: Savunmaları Güçlendirmek: Uç Nokta Dikkatiyle Fidye Yazılımı Tehlikelerine Karşı Koruma
Uzun bir yazıda LockBit lideri, FBI’ın hizmet olarak fidye yazılımı operasyonunun sunucularına sızmak için PHP web komut dosyası dilinde CVE-2023-3824 olarak takip edilen bir güvenlik açığı kullandığını söyledi. LockBit bu güvenlik açığını düzeltmedi çünkü “beş yıl boyunca para içinde yüzdüğüm için çok tembelleştim.”
LockBit, kolluk kuvvetlerinin PHP yüklü olmayan yedekleme sunucularını kapatmadığını söyledi.
“FBI’ın tüm eylemleri ortaklık programımın itibarını yok etmeyi, moralimi bozmayı amaçlıyor, ayrılmamı ve işimden ayrılmamı istiyorlar, beni korkutmak istiyorlar çünkü beni bulup ortadan kaldıramıyorlar, ben durdurulamam, siz yapabilirsiniz Umudum bile yok, yaşadığım sürece faturalı olarak pentest yapmaya devam edeceğim” ifadeleri yer alıyor.
FBI, Bilgi Güvenliği Medya Grubu’na bu öğleden sonraki gelişmeler hakkında yorum yapmayı reddettiğini söyledi.
İngiliz, ABD ve Avrupa kolluk kuvvetleri Pazartesi günü LockBit web sitesinin devralınmasını gerçekleştirdi ve ele geçirme, şifre çözme anahtarları, kaynak kodu ve kripto para cüzdanlarının ele geçirildiğini duyuran bir haftalık süreli duyuruları başlattı (bkz.: LockBit Yayından Kaldırma 14.000 E-posta Hesabını Kapattı).
“Cronos Operasyonu” adı altında faaliyet gösteren emniyet teşkilatı, Cuma günü LockBit lideri LockBitSupp’un kimliğini açıklayacaklarını öne sürdü ancak açıklama yapmadı. Yetkililer bunun yerine ele geçirilen sızıntı sitesinde “Kim olduğunu biliyoruz. Nerede yaşadığını biliyoruz. Ne kadar değerli olduğunu biliyoruz. LockBitSupp emniyet güçleriyle anlaştı :)” diye yazdı (bkz: Büyük Bir Açıklama Yok: Polisler LockBit’in LockBitSupp’unun Maskesini Ortaya Çıkarmıyor).
İstihbarat sorumlusu Allan Liska, “LockBit, bu saldırı nedeniyle ciddi şekilde hasar gördü ve yenilmezlik havası kalıcı olarak delindi. Yayından kaldırılmasından bu yana yaptığı her hareket, durumu fiilen kontrol eden birinin değil, duruş sergileyen birinin hareketidir” dedi. analist, Kaydedilmiş Gelecek.
Yeniden kurulan sızıntı sitesi, görünüşe göre Cronos Operasyonu’nun kaldırma işlemini gerçekleştirmesinden hemen önce yapılmış olan kurban kayıtlarını içeriyor; bunlar arasında Fulton County, Georgia için de bir kayıt var. LockBit daha önce Ocak ayında bölge mahkemesini ve vergi sistemlerini bozan bir saldırının sorumluluğunu üstlenmişti. İlçe Bölge Savcısı Fani Willis, 2020’de başkanlık yetkisinin geçişini durdurmaya çalıştıkları iddiasıyla eski Başkan Donald Trump ve 18 sanık aleyhine açılan davayı sürdürüyor.
LockBit mesajı ayrıca FBI’ın PHP sıfır günü kullanmış olabileceğini, LockBit sunucusundaki 20.000 fidye yazılımı şifre çözücüden yalnızca 1.000’ini yakalamış olabileceğini ve yayından kaldırma işleminin, operasyonun Fulton County’den çalınan belgeleri sızdırmasını önleme çabası olduğunu iddia ediyor.
Mesajda, “FBI bir veritabanı, web paneli kaynakları, iddia ettikleri gibi kaynak olmayan dolap koçanları ve korumasız şifre çözücülerin küçük bir kısmını ele geçirdi” ifadesi yer alıyor. Ayrıca, yaklaşık 200 üyeden oluşan listenin “forumlardaki gerçek takma adlarıyla ve hatta mesajlaşma programlarındaki takma adlarıyla hiçbir ilgisinin bulunmadığını” öne sürüyor.
Fidye yazılımı operasyonu ayrıca, yönetim panelinin barındırılmasını merkezi olmayan hale getirerek gelecekteki yayından kaldırma işlemlerini zorlaştıracağını da söyledi.
LockBitSupp’un abarttığı biliniyor ve düzensiz davranışları nedeniyle – suç çevrelerinde bile – eleştirilere maruz kalıyor.
Analyst1’in baş güvenlik stratejisti fidye yazılımı takipçisi Jon DiMaggio, “Bu adamın amacı tamamen saptırmak” dedi. “Aptalca şeyler söylemeyi seviyor.”
DiMaggio ISMG’ye, LockBit’in FBI’ın altyapısının kontrolünü ele geçirmek için bir PHP kusuru kullandığı yönündeki iddiası inandırıcı bir ifade gibi görünüyor, ancak diğer iddiaların “biraz ihtiyatla” ele alınması gerektiğini söyledi.
DiMaggio, LockBit’in geri dönüş girişimine rağmen Cronos Operasyonunun başarılı olmaya devam ettiğini söyledi. Kendisi, yeraltı suç dünyasında LockBit’in güvenilirliğine ilişkin şüphe ve korkunun ve kolluk kuvvetlerine maruz kalma olasılığının hızlı bir şekilde forma dönüşe engel olacağını söyledi. Bağlı kuruluşların aralarından seçim yapabileceği çok sayıda başka operasyon olduğunu da sözlerine ekledi.
DiMaggio, LockBitSupp’a atıfta bulunarak, FBI “onu sadece alaşağı etmekle kalmadı, aynı zamanda küçük düşürdü” dedi. “Bu o kadar etkili bir yayından kaldırmaydı ki itibarını kalıcı olarak etkileyecek ve onu utandıracak.”