LockBit fidye yazılımı operasyonu, tüm övülen başarısına rağmen, Birleşik Krallık Ulusal Suç Ajansı (NCA) liderliğindeki uluslararası kolluk kuvvetlerinin çabalarıyla zaten sorunlarla kuşatılmış görünüyor. kapat onu Bu hafta.
Kaldırma işleminin ardından ortaya çıkan güvenlik sağlayıcısı raporları, bir zamanlar yenilikçi ve agresif bir hizmet olarak fidye yazılımı (RaaS) grubunun son zamanlarda üyeler ve bağlı kuruluşlar arasındaki muhalefetle mücadele ettiğini ve bunun suçlu içindeki bazı kişiler tarafından ispiyoncu olduğu algısını ortaya koyuyor toplum.
Onarılmaz hasar?
Birçoğu, kolluk kuvvetleri operasyonunun, suç teşkilatının en azından mevcut haliyle ve LockBit markası altında fidye yazılımı faaliyetlerine devam etme kabiliyetine onarılamaz bir zarar vermiş olduğunu düşünüyor. LockBit’i kurban sistemlerine dağıtan ve dağıtan düzinelerce bağımsız bağlı kuruluşun faaliyetlerine diğer RaaS sağlayıcılarını kullanarak devam etmesi muhtemel olsa da, LockBit ile devam etmeleri şu an için mümkün görünmüyor.
LockBit’in yeni bir gelişimsel versiyonunu analiz etmek ve bunun için uzlaşma göstergelerini yayınlamak üzere NCA ile işbirliği yapan Trend Micro’nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, “Bunu söylemek için muhtemelen çok erken” diyor. “Fakat teşhir ve paylaşılan tüm bilgiler nedeniyle [LockBit’s] Şifre çözme araçları, ele geçirilen kripto para hesapları ve altyapının devre dışı bırakılması nedeniyle grup ve bağlı kuruluşlarının etkili bir şekilde çalışması muhtemelen engelleniyor.”
NCA’nın siber bölümü, bu hafta başında FBI, ABD Adalet Bakanlığı ve diğer ülkelerdeki kolluk kuvvetleriyle işbirliği içinde ciddi şekilde aksattıklarını açıkladılar LockBit’in altyapısı ve operasyonları, “Cronos Operasyonu” adı verilen aylarca süren bir çalışmanın himayesi altında.
Uluslararası çaba, kolluk kuvvetlerinin LockBit’in bağlı kuruluşların saldırılar gerçekleştirmesine izin veren birincil idari sunucularının kontrolünü ele geçirmesiyle sonuçlandı; grubun birincil sızıntı sitesi; LockBit’in kaynak kodu; ve bağlı kuruluşlar ve mağdurları hakkında değerli bilgiler. 12 saatlik bir süre içinde Cronos Operasyonu görev gücü üyeleri, LockBit bağlı kuruluşlarının saldırılarında kullandığı üç ülkede 28 sunucuya el koydu. Ayrıca StealBit adı verilen özel bir LockBit veri filtreleme aracını barındıran üç sunucuyu da kapattılar; kurbanların LockBit ile şifrelenmiş verileri kurtarmasına yardımcı olabilecek 1.000’den fazla şifre çözme anahtarını kurtardı; ve LockBit’e bağlı yaklaşık 200 kripto para birimi hesabını dondurdu.
İlk kesinti, LockBit’in bir op-sec hatasından kaynaklanmış gibi görünüyor – yamalı bir PHP güvenlik açığı (CVE-2023-3824) bu da kolluk kuvvetlerinin LockBit’in ortamında bir yer edinmesine izin verdi.
15 Milyon Dolarlık Ödül
Aynı gün ABD Adalet Bakanlığı da bir iddianameyi açığa çıkardı Bu dava iki Rus uyruklu kişiyi (LockBit’in birçok bağlı kuruluşu arasında en önde gelenlerinden biri olan Bassterlord olarak da bilinen Ivan Kondratyev ve Artur Sungatov) ABD çapında kurbanlara yönelik fidye yazılımı saldırılarıyla suçladı. Bakanlık ayrıca şu anda LockBit’e katılımlarıyla bağlantılı suçlamalar nedeniyle Mikhail Vasiliev ve Ruslan Astamirov adlı iki kişinin daha gözaltında tutulduğunu açıkladı. Yeni iddianameyle ABD hükümeti şu ana kadar beş önde gelen LockBit üyesini suç örgütünün operasyonundaki rollerinden dolayı suçladığını açıkladı.
21 Şubat’ta ABD Dışişleri Bakanlığı LockBit üyelerine yönelik baskıyı artırdı. Toplamda 15 milyon dolar tutarında ödül açıklanıyor Grubun kilit üyelerinin ve liderlerinin tutuklanmasına ve mahkum edilmesine yol açacak bilgiler için. Hazine Bakanlığı da mücadeleye katıldı yaptırımların uygulanması Kondratyev ve Sungatov’a yönelik bu, ABD’li LockBit kurbanlarının LockBit’e gelecekte yapacakları ödemelerin kesinlikle yasa dışı olacağı anlamına geliyor.
Yayından kaldırma işlemini gerçekleştirirken kolluk kuvvetleri, operasyon sırasında ele geçirdikleri sitelere bağlı kuruluşlara ve LockBit ile ilgili diğer kişilere yönelik alaycı mesajlar bıraktı. Bazı güvenlik uzmanları, trollemeyi Cronos Operasyonu’nun diğer fidye yazılımı aktörlerinin güvenini sarsmaya yönelik kasıtlı bir girişimi olarak gördü.
Tehdit istihbaratı firması RedSense’in baş araştırma görevlisi Yelisey Bohuslavskiy, bunun nedenlerinden birinin “LEA’nın benzer eylemler için grubunuzu hedef alabileceği ve hedef alacağını diğer operatörlere bir uyarı mesajı göndermek” olduğunu söylüyor. “Muhtemelen birçok grup halihazırda ihlal edilip edilmediğini belirlemek için operasyonel güvenliklerini değerlendiriyor ve operasyonlarını ve altyapılarını nasıl daha iyi güvence altına alabileceklerini bulmaları gerekebilir.”
Eylemler, son dört yılda milyarlarca dolar zarara neden olan ve dünyanın dört bir yanındaki mağdur örgütlerden 120 milyon dolar gibi şaşırtıcı bir gelir elde eden bir gruba karşı kolluk kuvvetleri açısından hak edilmiş bir başarıyı temsil ediyordu. Operasyon, geçen yıl, operasyonların kaldırılması da dahil olmak üzere bir dizi benzer başarının ardından geldi. ALPHV/BlackCat, Kovan, Ragnar DolabıVe Qakbotyaygın olarak kullanılan bir fidye yazılımı damlatıcısı.
Yeniden İnşa Zorluğu
Diğer gruplar benzer saldırıların ardından toparlanırken, LockBit’in yeniden başlatılması daha büyük bir zorlukla karşı karşıya kalabilir. Trend Micro, yayından kaldırma haberini takip eden bir blogda grubu şu şekilde tanımladı: son zamanlarda mücadele etti sayısız sorun nedeniyle ayakta kalmak. Bunlar arasında, Eylül 2022’de hoşnutsuz bir üye tarafından LockBit oluşturucusunun çalınması ve ardından sızdırılması yer alıyor; bu durum, diğer tehdit aktörlerinin LockBit koduna dayalı fidye yazılımı dağıtmasına izin verdi. LockBit’in sızıntı sitesinde geçen Nisan ayından itibaren yeni kurbanlar ve uydurma sızdırılmış veriler hakkında bir dizi açıkça yanlış iddia, grubun kurban sayısıyla ilgili soruları da gündeme getirdi ve grubun yeni üyelere saldırmak için giderek daha çılgınca çabaları etrafta bir “çaresizlik havası” yarattı. Trend Micro bunu söyledi. Güvenlik sağlayıcısı, LockBit’in siber suçlular arasında güvenilir bir RaaS oyuncusu olarak itibarının, bağlı kuruluşlara söz verildiği gibi ödeme yapmayı reddettiği yönündeki söylentilerin ardından darbe aldığını söyledi.
Optiv’in tehdit istihbarat lideri Aamil Karimi, Ocak ayında Rus şirketi AN Security’ye LockBit fidye yazılımını içeren fidye yazılımı saldırısının ardından LockBit’in idari ekibinin güvenilirlik ve itibar açısından önemli bir baskıya maruz kaldığını söylüyor.
Karimi, “Çoğu RaaS operasyonunda BDT ülkelerine yönelik saldırılar kesinlikle yasaktır” diyor. “AN Güvenliğine yapılan saldırı nedeniyle para cezası ve yer altı forumlarından uzaklaştırılmayla karşı karşıyaydılar.” Kendisi, olayla ilgili dramayı daha da artıran şeyin, rakip bir grubun LockBit için sorun yaratmak amacıyla saldırıyı kasıtlı olarak gerçekleştirdiği yönündeki söylentiler olduğunu belirtiyor.
Bir FSB Muhbiri mi?
Bu nedenle rakip grupların LockBit’in kapladığı alanı ele geçirmesi için pek çok fırsat vardı. LockBit’in yayından kaldırıldığı haberinin ardından “rakip gruplar hiçbir pişmanlık göstermedi” diyor. “LockBit gruplar arasında en üretken olanıydı, ancak saygı ve itibar açısından herhangi bir sevgi kaybının olduğunu düşünmüyorum.”
RedSense’ten Bohuslavskiy, LockBit yöneticisinin yerini muhtemelen Rusya’nın dış istihbarat servisi (FSB) ajanlarının almasına ilişkin şüphelerin de grubun imajına yardımcı olmadığını söyledi. Bu şüphelerin kökeninin, Rusya hükümetinin REvil ve Avaddon gibi fidye yazılımı operatörlerine karşı bir dizi önlem aldığı 2021 yılına dayandığını söylüyor. Bohuslavskiy, LockBit’in yöneticisinin bu sıralarda aniden sessizleştiğini söylüyor.
“Bu çoğunlukla şunu fark etti: [initial access brokers] doğrudan kiminle çalıştı [the administrator]” diye belirtiyor. “Ağustos ayına gelindiğinde yönetici yeniden ortaya çıktı ve bu, IAB’lerin bu kişinin değiştirildiğini ve yerine bir FSB görevlisinin getirildiğini söylemeye başladığı zamandı.”
RedSense bu hafta bir blog yayınladı Operasyon üyeleriyle yapılan görüşmelere dayanarak LockBit’e yönelik üç yıllık bir araştırmanın bulgularını özetliyor.