Fidye yazılımı grubu Kilit Biti yetkililere anlattı Fulton İlçesi, Ga. ilçe fidye talebini ödemediği sürece iç belgelerinin bu sabah internette yayınlanmasını bekleyebilirler. LockBit, ilçenin ödeme yaptığını iddia ederek bu sabah Fulton County’nin listesini kurbanları utandıran web sitesinden kaldırdı. Ancak ilçe yetkilileri ödeme yapmadıklarını ve kimsenin onlar adına ödeme yapmadığını söyledi. Güvenlik uzmanları, LockBit’in muhtemelen blöf yaptığını ve çetenin sunucularına bu ay ABD ve İngiltere kolluk kuvvetleri tarafından el konulduğunda muhtemelen verilerin çoğunu kaybettiğini söylüyor.
LockBit web sitesi, Fulton County, GA’dan çalınan verilerin vaat edilen serbest bırakılmasına kadar bir geri sayım sayacı içeriyordu. LockBit daha sonra bu son tarihi 29 Şubat 2024’e kadar erteleyecekti.
LockBit, 13 Şubat’ta Fulton County’yi kurban olarak listeledi ve fidye ödenmediği takdirde grubun geçen ay bölgede bir ihlal nedeniyle çalınan dosyaları yayınlayacağını söyledi. Bu saldırı ilçedeki telefonları, internet erişimini ve hatta mahkeme sistemlerini bile kesintiye uğrattı. LockBit, mevcut ve geçmiş ceza davalarındaki hassas ve mühürlü mahkeme kayıtlarını içerdiği anlaşılan az sayıda ilçe dosyasını teaser olarak sızdırdı.
16 Şubat’ta Fulton County’nin girişi, veriler yayınlanıncaya kadar geri sayım sayacıyla birlikte hiçbir açıklama yapılmadan LockBit web sitesinden kaldırıldı. LockBit’in lideri KrebsOnSecurity’ye bunun nedeninin Fulton İlçesi yetkililerinin grupla son dakika görüşmeleri yapması olduğunu söyledi.
Ancak 19 Şubat’ta FBI ve Birleşik Krallık Ulusal Suç Teşkilatı (NCA) araştırmacıları LockBit’in çevrimiçi altyapısını devraldı ve grubun ana sayfasını bir ele geçirme bildirimi ve LockBit fidye yazılımı şifre çözme araçlarına bağlantılar ile değiştirdiler.
20 Şubat’ta düzenlediği basın toplantısında, Fulton İlçe Komisyonu Başkanı Robb Pitts Gazetecilere ilçenin fidye talebini ödemediğini belirterek, yönetim kurulunun “ödeme yapmak için Fulton County vergi mükelleflerinin fonlarını vicdanen kullanamayacağını” belirtti.
Üç gün sonra LockBit, karanlık ağda yeni alan adlarıyla yeniden ortaya çıktı ve Fulton County, ödemeyi reddetmeleri halinde verileri sızdırılmak üzere olan diğer yarım düzine kurban arasında listelendi. LockBit, tüm kurbanlarda olduğu gibi Fulton County’ye de bir geri sayım sayacı atadı ve yetkililerin, verileri yayınlanana kadar 1 Mart akşamı geç saatlere kadar süreleri olduğunu söyledi.
LockBit, Fulton County için son tarihini 29 Şubat’a revize etti.
LockBit çok geçmeden son tarihi 29 Şubat sabahına erteledi. Fulton County’nin LockBit zamanlayıcısı bu sabah sıfıra doğru geri sayarken, listesi LockBit’in sitesinden kayboldu. LockBit’in lideri ve sözcüsü, “LockBit Desteği,” bugün KrebsOnSecurity’ye Fulton County’nin verilerinin ilçe yetkilileri fidye ödediği için sitelerinden kaybolduğunu söyledi.
LockBitSupp, “Fulton ödedi” dedi. Ödeme kanıtı istendiğinde LockBitSupp bunu talep etti. “Bunun kanıtı, onların verilerini silmemiz ve yayınlamamamızdır.”
Ancak bugün düzenlediği basın toplantısında Fulton İlçe Başkanı Robb Pitts, ilçenin verilerinin LockBit sitesinden neden kaldırıldığını bilmediğini söyledi.
Pitts, “Ben saat 16.08’de burada olduğum için bugün şu ana kadar açıklanan herhangi bir veriden haberdar değiliz” dedi. “Bu, tehdidin sona erdiği anlamına gelmiyor. Ellerindeki verileri istedikleri zaman yayınlayabilirler. Bunun üzerinde hiçbir kontrolümüz yok. Herhangi bir fidye ödemedik. Bizim adımıza herhangi bir fidye ödenmedi.”
Brett Callowgüvenlik firmasında tehdit analisti EmsisoftLockBit’in, FBI/NCA ele geçirmesinden önce çaldığı tüm kurban verilerini muhtemelen kaybettiğini ve o zamandan bu yana siber suç camiasında itibarını kurtarmak için çılgınca çabaladığını söyledi.
Callow, LockBit’in son faaliyetleri hakkında “Sanırım bu, bağlı kuruluşlarını hâlâ iyi durumda olduklarına ikna etmeye çalıştıkları bir durumdu” dedi. “Bunun LockBit markasının sonu olacağından kesinlikle şüpheleniyorum.”
Diğerleri de benzer bir sonuca varmıştır. Güvenlik firması RedSense Twitter/X’te LockBit’in, kaldırmanın ardından haftalar önce kurbanları utandıran sitesinde listelediği şirketler için birkaç “yeni” kurban profili yayınladığına dair bir analiz yayınladı. Bir sağlık hizmeti sağlayıcısı ve büyük menkul kıymet ödünç verme platformu olan bu kurban firmalar da, LockBit’in verilerinin sızdırılacağını iddia etmesine rağmen, LockBit’in yeni utandırıcı web sitesinden kararsız bir şekilde çıkarıldı.
RedSense, “Geri kalan ‘yeni kurbanların’ da sahte iddialar (yeni ihlaller için eski veriler) olduğundan %99 eminiz” dedi. gönderildi. “Bu yüzden onlar için yapılacak en iyi şey, bloglarındaki diğer tüm girişleri silmek ve dürüst insanları dolandırmayı bırakmak olacaktır.”
Callow, geçmişte fidye yazılımı çetelerinin kurban bir kuruluştan yağmalamayı abarttığı pek çok vakanın kesinlikle yaşandığını söyledi. Ama bu sefer farklı hissettiriyor dedi.
Callow, “Bu biraz alışılmadık bir durum” dedi. “Bu, üyelerin sinirlerini sakinleştirmeye çalışmak ve ‘Her şey yolunda, kolluk kuvvetlerinin önerdiği kadar kötü bir şekilde tehlikeye girmedik’ demekle ilgili. Ancak LockBit gibi bu kadar kapsamlı bir şekilde saldırıya uğramış bir kuruluşla çalışmak için aptal olmanız gerektiğini düşünüyorum.”