Son dört yıldır LockBit fidye yazılımı grubu, dünya çapında binlerce işletmeye, okula, tıbbi tesise ve hükümete saldırarak ve bu süreçte milyonlar kazanarak aralıksız bir saldırı gerçekleştiriyor. Bir çocuk hastanesi, Boeing, İngiltere’nin Royal Mail’i ve sandviç zinciri Subway’in hepsi yakın zamanda kurbanlar oldu.
Ancak LockBit’in hackleme kampanyası ciddi bir durma noktasına geldi. Birleşik Krallık Ulusal Suç Teşkilatı (NCA) polisi tarafından yürütülen ve dünya çapında 10 kuvvetten araştırmacının katıldığı kapsamlı bir kolluk kuvvetleri operasyonu, fidye yazılımı grubuna sızdı ve sistemlerini çevrimdışına aldı.
NCA’nın genel müdürü Graeme Biggar, grubun “temelden bozulduğunu” söylüyor. “Cronos Operasyonu” adı verilen kolluk kuvvetleri operasyonu, LockBit’in altyapısının ve yönetim sisteminin kontrolünü ele geçirdi, karanlık web sızıntı sitesine el koydu, kaynak koduna erişti, yaklaşık 11.000 alan adı ve sunucuya el koydu ve grup üyelerinin ayrıntılarını ele geçirdi. FBI ve Europol’den kolluk kuvvetleriyle birlikte Londra’da düzenlediği basın toplantısında Biggar, “Bugün itibarıyla LockBit fiilen gereksiz” dedi. “Hackerları hackledik” diyor.
Eylem, bir siber suç grubuna karşı şimdiye kadar gerçekleştirilen en büyük ve potansiyel olarak en önemli eylemlerden biri. Biggar, kolluk kuvvetlerinin doğası gereği küresel olan LockBit’i son yıllarda aktif olan “en üretken ve zararlı” fidye yazılımı grubu olarak gördüklerini söylüyor. Geçen yılki saldırıların yüzde 25’inden sorumluydu. Biggar, saldırıların ve kurtarmanın genel maliyetleri hakkında “LockBit fidye yazılımı milyarlarca dolarlık kayba neden oldu” diyor.
LockBit etrafındaki emniyet operasyonları, teknik altyapıya el koymanın yanı sıra Polonya, Ukrayna ve ABD’de tutuklamaları ve grubun Rusya merkezli olduğu iddia edilen iki üyesine yönelik yaptırımları da içeriyor. Yetkililer, grubun dünyanın dört bir yanına dağılmış üyelerinin bulunduğunu söyledi.
ABD Adalet Bakanlığı başsavcı yardımcısı Nicole M. Argentieri, LockBit’in 120 milyon dolardan fazla fidye yazılımı ödemesi aldığını ve gruba karşı açıklanan eylemin kısıtlamaların sadece başlangıcı olduğunu söyledi.
LockBit’e yönelik kolluk kuvvetleri eylemi, ilk olarak fidye yazılımı web sitesinin 19 Şubat’ta çevrimdışı olması ve yerine polis tarafından ele geçirildiğini belirten bir bekleme sayfasının gelmesiyle ortaya çıktı. İsmini değiştirmeden önce “ABCD” olarak çıkış yapan LockBit grubu, ilk olarak 2019 yılının sonlarında ortaya çıktı. O günden bu yana LockBit, işletmelere hızla saldırılar düzenledi ve siber suç ekosisteminde adının bilinirliğini artırdı. “LockBit, kamuoyunca bilinen 3.000’den fazla kurbanı ile yıllardır işletmelerin ve hükümetlerin başına bela oldu. [has been] görünüşte dokunulmaz,” diyor siber güvenlik firması Recorded Future için fidye yazılımı konusunda uzman analist Allan Liska. Lockbit’in uzun kurban listesi arasında çeşitli ABD hükümet kuruluşları, limanlar ve otomotiv şirketleri yer alıyor.
LockBit, bir avuç çekirdek üyenin kötü amaçlı yazılımını oluşturduğu ve web sitesini ve altyapısını çalıştırdığı bir “hizmet olarak fidye yazılımı” operasyonu olarak çalışıyor. Bu çekirdek grup, kodunu şirketlere saldırı düzenleyen, verilerini çalan ve onlardan zorla para almaya çalışan “bağlı kuruluşlara” lisanslıyor. Liska, “LockBit,” açık bağlı kuruluş “hizmet olarak fidye yazılımı tekliflerinin sonuncusudur, bu da parayı öksürmek isteyen herkesin çok az incelemeyle veya hiç inceleme olmadan programlarına katılabileceği anlamına geliyor” diyor. “Yönetimleri boyunca muhtemelen yüzlerce bağlı kuruluşa sahip olmuşlardır.”