LockBit hizmet olarak fidye yazılımı (RaaS) çetesi, Şubat ortasındaki yüksek profilli bir kaldırmanın ardından geri döndüğünü iddia etse de, yapılan bir analiz, grubun faaliyetlerinde önemli ve devam eden bir kesintinin yanı sıra yeraltındaki siber suçlar genelinde dalgalanma etkilerini ortaya koyuyor. iş riskiyle ilgili sonuçlar doğurur.
Trend Micro'ya göre LockBit, 2023'teki tüm fidye yazılımı saldırılarının %25 ila %33'ünden sorumluydu ve bu da onu geçen yılın en büyük finansal tehdit aktörü grubu haline getirdi. Ortaya çıktığı 2020 yılından bu yana, pandemi sırasında hastanelere yönelik alaycı saldırılar da dahil olmak üzere binlerce kurban ve milyonlarca fidye talep etti.
Cronos Operasyonu çabasıDünya çapında çok sayıda emniyet teşkilatının dahil olduğu bu olay, LockBit'e bağlı platformlarda kesintilere ve sızıntı sitesinin Birleşik Krallık Ulusal Suç Dairesi (NCA) tarafından ele geçirilmesine yol açtı. Yetkililer daha sonra ikincisini tutuklamalar yapmak, yaptırımlar uygulamak, kripto para birimine el koymak ve grubun iç işleyişiyle ilgili daha fazla faaliyet için kullandı. Ayrıca LockBit yönetici panelini kamuoyuna duyurdular ve grupla çalışan bağlı kuruluşların adlarını açığa çıkardılar.
Ayrıca şifre çözme anahtarlarının kullanıma sunulacağını belirttiler ve LockBit'in, kurbanlara verdiği sözlerin aksine, ödemeler yapıldıktan sonra kurban verilerini asla silmediğini ortaya çıkardılar.
Sonuçta bu, polis topluluğunun ustaca bir güç ve erişim gösterisiydi; olayın hemen sonrasında ekosistemdeki diğerlerini korkuttu ve iş LockBit'in yeniden ortaya çıkan herhangi bir versiyonuyla ve onun elebaşıyla çalışmaya gelince ihtiyatlı olmaya yol açtı. “LockBitSupp”u yönetin.
Trend Micro'dan araştırmacılar, Cronos Operasyonu'ndan iki buçuk ay sonra, LockBitSupp'un grubun normal operasyonlara geri dönmeye başladığını iddia etmesine rağmen, grup açısından işlerin tersine döndüğüne dair çok az kanıt bulunduğunu belirtti.
Farklı Türde Bir Siber Suçu Ortadan Kaldırma
Cronos Operasyonu başlangıçta araştırmacılar tarafından şüpheyle karşılandı; araştırmacılar, yakın zamanda Black Basta gibi yüksek profilli RaaS gruplarının kapatılmasının, Devam, Kovanve Royal (gibi ilk erişim truva atlarına yönelik altyapıdan bahsetmiyorum bile) Duygu, Qakbotve TrickBot), operatörleri için yalnızca geçici aksaklıklarla sonuçlandı.
Ancak LockBit saldırısı farklı: Kolluk kuvvetlerinin erişebildiği ve kamuya açıklayabildiği çok miktardaki bilgi, grubun Dark Web çevrelerindeki duruşuna kalıcı olarak zarar verdi.
Trend Micro araştırmacıları şunları açıkladı: “Genellikle komuta ve kontrol altyapısını devre dışı bırakmaya odaklansalar da bu çaba daha da ileri gitti.” bugün yayınlanan bir analiz. “Polisin LockBit'in yönetici panelini ele geçirmeyi, bağlı kuruluşları ifşa etmeyi ve bağlı kuruluşlar ile mağdurlar arasındaki bilgi ve konuşmalara erişmeyi başardığını gördü. Bu kümülatif çaba, LockBit'in bağlı kuruluşlar ve genel olarak siber suç topluluğu arasındaki itibarının zedelenmesine yardımcı oldu ve bu da onu daha da zorlaştıracak geri dön.”
Trend Micro, gerçekten de siber suç topluluğunun tepkisinin hızlı olduğunu gözlemledi. Bir kişi için, LockBitSupp yasaklandı iki popüler yeraltı forumundan XSS ve Exploit, yöneticinin destek toplama ve yeniden inşa etme becerisini engelliyor.
Kısa bir süre sonra, X'teki (eski adıyla Twitter) “Loxbit” adlı bir kullanıcı, halka açık bir gönderide LockBitSupp tarafından aldatıldığını iddia ederken, “michon” adlı başka bir bağlı kuruluş olduğu varsayılan, ödeme yapılmaması nedeniyle LockBitSupp'a karşı bir forum tahkim konusu açtı. “Dealfixer” tanıtıcısını kullanan bir ilk erişim aracısı, ürünlerinin reklamını yaptı ancak özellikle LockBit'ten hiç kimseyle çalışmak istemediklerini belirtti. Ve başka bir IAB, “n30n”, ramp_v2 forumunda kesinti nedeniyle ödeme kaybıyla ilgili bir iddia başlattı.
Belki daha da kötüsü, bazı forum yorumcuları polisin toplayabildiği bilgilerin çokluğundan son derece endişe duyuyordu ve bazıları LockBitSupp'un operasyonda kolluk kuvvetleriyle birlikte çalışmış olabileceğini bile tahmin ediyordu. LockBitSupp, kolluk kuvvetlerinin çetenin bilgilerine sızma yeteneğinin sorumlusunun PHP'deki bir güvenlik açığı olduğunu hemen duyurdu; Dark Web sakinleri, hatanın aylarca eski olduğunu belirtti ve LockBit'in güvenlik uygulamalarını ve bağlı kuruluşlara yönelik koruma eksikliğini eleştirdi.
Trend Micro'nun bugün yayınlanan analizine göre, “Siber suç topluluğunun LockBit'in kesintiye uğramasına karşı duyarlılığı, memnuniyetten grubun geleceğine ilişkin spekülasyonlara kadar değişiyordu; bu da olayın RaaS endüstrisi üzerindeki önemli etkisine işaret ediyor.”
LockBit Kesintisinin RaaS Endüstrisi Üzerindeki Soğutma Etkisi
Gerçekten de bu aksama, diğer aktif RaaS grupları arasında bir miktar öz değerlendirmeye yol açtı: Bir Snatch RaaS operatörü, Telegram kanalında hepsinin risk altında olduğuna dikkat çekti.
Trend Micro'ya göre “İş modelini bozmak ve baltalamak, teknik bir çökertme uygulamaktan çok daha kümülatif bir etkiye sahip gibi görünüyor.” “İtibar ve güven, bağlı kuruluşları çekmenin anahtarıdırBunlar kaybolduğunda insanların geri dönmesini sağlamak daha zor oluyor. Cronos Operasyonu, işinin en önemli unsuru olan markasına darbe indirmeyi başardı.”
Trend Micro'nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, Dark Reading'e LockBit'in savunma ve kesintinin RaaS grupları üzerindeki caydırıcı etkisinin genel olarak iş riski yönetimi için bir fırsat sunduğunu söyledi.
“Diğer gruplar kendi operasyonel güvenliklerini değerlendirirken saldırılarda bir yavaşlama görebileceğimiz için bu, işletmelerin savunma modellerini yeniden değerlendirme zamanı olabilir” diye belirtiyor. “Bu aynı zamanda iş operasyonlarının sürekliliği, siber sigorta ve ödeme yapma veya ödememe dahil olmak üzere bir ihlalin tüm yönlerini kapsadığınızdan emin olmak için bir iş olayı müdahale planını gözden geçirme zamanıdır.”
LockBit Yaşam Belirtileri Büyük Ölçüde Abartılıyor
Trend Micro, LockBitSupp'un yine de toparlanmaya çalıştığını ancak birkaç olumlu sonuç elde ettiğini buldu.
Operasyondan bir hafta sonra yeni Tor sızıntı siteleri açıldı ve LockBitSupp ramp_v2 forumunda çetenin aktif olarak .gov, .edu ve .org alan adlarına erişimi olan IAB'leri aradığını ve bunun da intikam arzusunu gösterdiğini söyledi. FBI'dan başlayarak çok sayıda sözde kurbanın sızıntı sitesinde görünmeye başlaması çok uzun sürmedi.
Ancak fidye ödemesinin son tarihi gelip gittiğinde, sitede hassas FBI verilerinin görünmesi yerine LockBitSupp, çalışmaya devam edeceğine dair uzun bir beyan yayınladı. Ayrıca kurbanların üçte ikisinden fazlası Cronos Operasyonu öncesinde gerçekleştirilen yeniden yüklenen saldırılardan oluşuyordu. Diğer kurbanlar ise ALPHV gibi başka gruplara mensuptu. Toplamda Trend Micro'nun telemetrisi, Cronos'tan sonra güneydoğu Asya'daki 2.800 dolarlık düşük bir fidye talebi taşıyan bir bağlı kuruluştan yalnızca küçük bir gerçek LockBit faaliyet kümesini ortaya çıkardı.
Belki daha da endişe verici olanı, grubun aynı zamanda fidye yazılımının yeni bir versiyonunu da geliştirmesi: Lockbit-NG-Dev. Trend Micro, platformun daha fazla platformdan bağımsız olmasını sağlayan yeni bir .NET çekirdeğine sahip olduğunu buldu; aynı zamanda kendi kendine yayılma yeteneklerini ve kullanıcının yazıcıları aracılığıyla fidye notları yazdırma yeteneğini de ortadan kaldırır.
Araştırmacılar, “Kod tabanı, bu yeni dile geçişle ilgili olarak tamamen yeni, bu da onu tespit etmek için muhtemelen yeni güvenlik modellerine ihtiyaç duyulacağı anlamına geliyor. Hala işlevsel ve güçlü bir fidye yazılımı parçası” diye uyardı.
Yine de bunlar LockBit için en iyi ihtimalle anemik bir yaşam belirtisi ve Clay, kendisinin veya bağlı kuruluşlarının bundan sonra nereye gidebileceğinin belirsiz olduğunu belirtiyor. Genel olarak, ekosisteme katılanlar oyunun durumunu değerlendirirken savunucuların fidye yazılımı çetesi taktiklerinde ileriye dönük değişikliklere hazırlıklı olması gerektiği konusunda uyarıyor.
“RaaS grupları muhtemelen kolluk kuvvetleri tarafından yakalanırken kendi zayıflıklarını arıyorlar” diye açıklıyor. “Saldırılarına fazla dikkat etmemek için ne tür işletmeleri/kuruluşları hedeflediklerini gözden geçirebilirler. Bağlı kuruluşlar, ana RaaS gruplarının devre dışı bırakılması durumunda bir gruptan diğerine nasıl hızla geçebileceklerine bakabilirler.”
Şöyle ekliyor: “Fidye yazılımı dağıtımları yerine yalnızca veri sızdırmaya geçiş, bunlar bir işi aksatmadığı için artabilir ancak yine de kar elde edilmesini sağlayabilir. Ayrıca RaaS gruplarının tamamen RaaS'a doğru kaydığını da görebiliriz. iş e-postasının ele geçirilmesi (BEC) gibi diğer saldırı türleriBu da çok fazla aksamaya yol açmıyor gibi görünüyor ancak yine de kârlılıkları açısından oldukça kazançlı.”