Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
LockBit Fidye Yazılımı Operasyonları, Yayından Kaldırma Serisinde Düşen Son İşlem
Akşaya Asokan (asokan_akshaya), David Perera (@daveperera) •
19 Şubat 2024
Uluslararası bir kolluk kuvveti operasyonu, üretken bir hizmet olarak fidye yazılımı operasyonu olan Rusça konuşan siber suç grubu LockBit’in altyapısını ele geçirdi ve bir dizi dijital yayından kaldırma işleminin sonuncusu oldu.
Ayrıca bakınız: Savunmaları Güçlendirmek: Uç Nokta Dikkatiyle Fidye Yazılımı Tehlikelerine Karşı Koruma
Grubun karanlık ağ sızıntı sitesinde artık İngiliz ve ABD kolluk kuvvetleri tarafından bırakılan ve sorumlunun “Cronos Operasyonu” olduğunu bildiren bir el koyma bildirimi görüntüleniyor.
Birleşik Krallık Ulusal Suç Teşkilatı sözcüsü, Pazartesi günü e-postayla gönderilen bir bildiride LockBit’in ele geçirildiğini doğruladı.
“NCA, LockBit hizmetlerinin uluslararası kolluk kuvvetlerinin eylemi sonucunda kesintiye uğradığını doğrulayabilir. Bu devam eden ve gelişen bir operasyondur.”
LockBit, 2019’da ortaya çıkan en büyük hizmet olarak fidye yazılımı operasyonları arasında yer alıyor. Gerçek hacklemeyi diğer bilgisayar korsanlarına (bağlı kuruluşlara) bağlıyor ve şifreleyicisiyle yapılan fidyelerin %75’ini onlara sunuyor. Gerçek sayının muhtemelen çok daha yüksek olmasına rağmen, operasyonda bilinen 3.000’den fazla kurban tespit edildi.
Kötü amaçlı yazılım araştırmacısı vx-underground Twitter’da yayınlandı Operasyonun yönetim paneline giriş yapan bağlı kuruluşların, kolluk kuvvetlerinin “kaynak kodunu, saldırdığınız kurbanların ayrıntılarını, gasp edilen para miktarını, çalınan verileri, sohbetleri ve çok daha fazlasını” ele geçirdiğini belirten bir uyarı notu gördüğünü söyledi.
Recorded Future’ın baş istihbarat analisti Allan Liska, “Bugün harika bir gün, fidye yazılımı ekosistemi için çok yıkıcı olacak” dedi. “Bunun fidye yazılımı saldırılarının sayısı üzerinde önemli bir etkisi olacak.”
LockBit, sunucularına kolluk kuvvetleri tarafından el konulan bir dizi Rusça konuşan fidye yazılımı grubundan biridir. Diğerleri arasında BlackCat olarak da bilinen Alphv ve Hive yer alır (bkz: FBI, Çok Uluslu Yayından Kaldırma Sürecinde Hive Fidye Yazılımı Sunucularını Ele Geçirdi).
Liska, Bilgi Güvenliği Medya Grubu’na, ele geçirmelerdeki artışı Biden yönetimi tarafından kendi aralarında istihbarat paylaşan 37 hükümetten oluşan uluslararası bir fidye yazılımı görev gücüne bağladığını söyledi.
“Ülkeler arasındaki bilgi paylaşımı görünüşe göre gerçekten iyi ve bunun bir parçası olan herkes, sahip olduğu istihbaratı paylaşma konusunda motive” dedi.
Bu ele geçirme, daha önce bazı bağlı kuruluşların tutuklandığını ve Eylül 2022’de kaynak kodunun hoşnutsuz bir kodlayıcı tarafından sızdırıldığını gören LockBit grubu için büyük bir gerilemeye işaret ediyor. ABD’li savcılar Haziran ayında şüpheli bağlı kuruluş Ruslan Magomedovich Astamirov’u ABD, Asya, Avrupa ve Afrika’daki işletmelere karşı en az dört LockBit fidye yazılımı saldırısı düzenlemekle suçladıktan sonra tutukladı.
2023 yılında grup, görünürdeki operasyonel sorunlar nedeniyle bağlı kuruluşların ayrılmasını engellemekte zorluk yaşadı (bkz: Kendi Fidye Yazılımı Başarısının Kurbanı: LockBit’in Sorunları Var).
Operasyonun önemli isimleri tutuklanmadıkça Pazartesi günkü operasyon kalıcı olmayabilir. Diğer siber suçlu grupları, genellikle farklı bir ad altında yeniden bir araya gelip yeniden inşa edilmeleri için altyapıya el konulmasından geçti.
LockBit, Kasım ayında Çin Sanayi ve Ticaret Bankası’nın New York finansal hizmetler yan kuruluşuna düzenlenen yüksek profilli saldırının sorumluluğunu üstlendi; bu, ABD Hazine yatırımlarındaki piyasayı kısmen bozan bir fidye yazılımı olayıydı. Ocak 2023’te Birleşik Krallık’taki Royal Mail’e saldırarak uluslararası teslimatı kesintiye uğrattı.
Cronos Operasyonunun tam kapsamı belirsiz. FBI’dan bir temsilci, büronun daha ayrıntılı bilgi içeren resmi bir duyuru yapacağını söyledi.