Siber suç , Hizmet olarak siber suç , Dolandırıcılık Yönetimi ve Siber Suç
Yöneticilerin İşlemi Yeniden Başlatmaya Çalışması Halinde Çok Sayıda Engel Kalacak
Mathew J. Schwartz (euroinfosec) •
22 Şubat 2024
Bu hafta kolluk kuvvetleri tarafından kesintiye uğrayan kötü şöhretli hizmet olarak fidye yazılımı grubu LockBit, kripto kilitleme kötü amaçlı yazılımının yeni bir sürümünü geliştiriyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Britanya Ulusal Suç Teşkilatı’nın öncülük ettiği uluslararası LockBit soruşturmasına ve ortadan kaldırılmasına katkıda bulunan Tokyo merkezli siber güvenlik firması Trend Micro da böyle söyledi.
Trend Micro, fidye yazılımı operasyonunun, LockBit-NG-Dev adı verilen “yeni nesil” kripto kilitleme kötü amaçlı yazılımı üzerinde çalıştığını ve bunun “grubun tamamlandığında gerçek bir 4.0 sürümü olarak değerlendirebileceği yeni bir sürüm olabileceğini” söyledi.
Bu çabaların durumu, NCA ve FBI’ın Salı günü “Cronos Operasyonu” aracılığıyla 10 ülkenin ortaklaşa çalışarak sızmak için çalıştığını ve Pazartesi günü tutuklamalar ve iddianamelerle desteklenen “dünyanın en zararlı siber suç grubu” tarafından kullanılan altyapıyı kapattığını duyurmasından bu yana belirsizliğini koruyor. iddia edilen bağlı kuruluşlar ve kara para aklayıcılar.
LockBit’in yeniden başlatmayı deneyip deneymeyeceği veya markasının kalıcı olarak yakılıp yakılmayacağı açık bir soru olmaya devam ediyor. Ne olursa olsun, çok sayıda güvenlik uzmanı kesintiyi övdü ve bunun yöneticileri, yüklenicileri ve bağlı kuruluşları için büyük ve muhtemelen ölümcül operasyonel baş ağrılarına neden olacağını söyledi.
Kaldırılana kadar LockBit önemli bir oyuncu olarak kaldı. Blockchain analiz firması Chainaliz, 2023 yılında ve bu yıl şu ana kadar LockBit’in herhangi bir fidye yazılımı grubu arasında ikinci en yüksek izlenebilir fidye ödemesini aldığını söyledi.
Palo Alto Networks’ün 42. Birimi, geçen yıl LockBit’in veri sızıntısı sitesinde 928 kuruluşu listelediğini ve bu tür sızıntı sitelerinde listelenen 3.998 kurbanın %23’ünü oluşturduğunu belirtti. fidye ödediler, belli değil.
Montaj Sorunları
Trend, grubun yasa dışı kar elde etme becerisine rağmen, “bir takım lojistik, teknik ve itibar sorunları” nedeniyle bağlı kuruluşlar için kripto kilitleme kötü amaçlı yazılımının yeni ve büyük bir versiyonunu iki yıl içinde üretmemiş olması büyük bir engeldi. Mikro dedi.
Trend Micro, “LockBit’in sağlam bir versiyonunun piyasaya sürülmesindeki görünür gecikme ve devam eden teknik sorunlarla birleştiğinde, bu grubun en iyi iştirakleri çekme ve konumunu koruma yeteneğini ne kadar süre koruyacağı görülecek.” söz konusu. “Bu arada, LockBit’in bir organizasyonun başarısız olamayacak kadar büyük olduğu fikrini çürütecek bir sonraki büyük grup olmasını umuyoruz.”
LockBit bir zamanlar diğer fidye yazılımı gruplarından kısmen, kripto-kilitleyen kötü amaçlı yazılımının hızı ve gelişmişliği nedeniyle ayrılıyordu; bu yazılım, “fidye yazılımı için basitleştirilmiş, işaretle ve tıklatmalı bir arayüz sunarak, onu daha düşük düzeyde teknik bilgiye sahip olanlar için erişilebilir hale getiriyordu” ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı geçen yıl bildirdi.
Trend Micro, “Tamamen teknik açıdan bakıldığında, diğer rakip fidye yazılımı paketleriyle karşılaştırıldığında LockBit’i özel kılan şey, kendi kendine yayılma yeteneklerine sahip olmasıydı” dedi. “Ağdaki bir ana bilgisayara virüs bulaştığında, LockBit yakındaki diğer hedefleri arayabilir ve onlara da bulaşmayı deneyebilir; bu, bu tür kötü amaçlı yazılımlarda yaygın olmayan bir tekniktir.”
Halkla İlişkiler cephesinde, grubun halka açık kişiliği LockBitSupp – “LockBit Desteği”nin kısaltması ve en azından kısmen grubun gerçek lideri tarafından yönetildiği bildiriliyor – düzenli olarak ekibinin rakipleri pahasına cesaretiyle övünüyor ve markayı parlatmaya çalışıyor ve yeni iştiraklerin ilgisini çekin. Trend Micro’nun haberine göre, bağlı kuruluşlara ana operatörlerden önce ödeme alacakları ve kurbanlarının ödediği her fidyenin yüzde 80’ini ya da müzakereleri LockBit yürütürse yüzde 50 ila yüzde 70’ini alacaklarına söz verdi.
LockBitSupp ayrıca grubun logosunu taşıyan herkese 1.000 dolar ödeme sözü vermek ve gerçek kimliğini ortaya çıkarabilen herkese 1 milyon dolar ödül teklif etmek gibi gösterileri de destekledi.
Güvenlik uzmanları, kripto-kilitleme zararlı yazılımının her türden bağlı kuruluşa ilgi duyduğunu ve diğer Rus suç örgütleriyle yakın bağları olduğunu söyledi. Mandiant tarafından 2022’de yayınlanan araştırma, Rusya’nın kötü şöhretli Evil Corp’unun ABD yaptırımlarından kaçmak için LockBit kullandığını öne sürdü. Chainalytics, LockBit yöneticilerinden biri tarafından “Albay Cassad olarak bilinen, Sevastopol merkezli, Rusya yanlısı olduğunu iddia eden bir askeri gazeteciye” yapılan kripto para birimi bağışlarını takip etti.
Çoklu Sürümler
Güvenlik uzmanları LockBit’in daha önce fidye yazılımının birden fazla sürümünü yayınladığını söyledi:
- LockBit sürüm 1.0: Ocak 2020’de piyasaya sürülen ve orijinal olarak “ABCD” fidye yazılımı olarak bilinen;
- LockBit sürüm 2.0: diğer adıyla “Red”, grubun birincil veri filtreleme aracı StealBit ile birlikte Haziran 2021’de piyasaya sürüldü;
- LockBit Linux: Linux ve VMWare ESXi sistemlerine bulaştığı için Ekim 2021’de piyasaya sürülen;
- LockBit sürüm 3.0: diğer adıyla “Black”, Mart 2022’de piyasaya sürüldü ve altı ay sonra grubun hoşnutsuz geliştiricisi tarafından sızdırıldı ve bu da birden fazla sahteliğe yol açtı;
- LockBit Yeşil: Ocak 2023’te piyasaya sürüldü ve büyük bir yeni sürüm olarak müjdelendi; ancak güvenlik uzmanları, bunun bir Conti şifreleyicinin yeniden markalanmış bir sürümü olduğunu tespit ederek hızla reddetti.
Trend Micro, henüz yayınlanmamış LockBit-NG-Dev’in parçalanmasının, önceki dolaplarla benzerlikler göstermesine rağmen “bu yeni sürümün .NET’te yazılmış ve muhtemelen CoreRT kullanılarak derlenmiş gibi göründüğünü ortaya çıkardığını” söyledi. geçmiş sürümler için kullanılan olağan C/C++ dili.”
Güvenlik firması, kötü amaçlı yazılımın hızlı, aralıklı ve tam şifreleme modları sunduğunu söyledi. Firma, “Dosyalar genellikle şifrelemeyi hızlandırmak için hızlı modda şifreleniyor – bağlı kuruluşlar tarafından yaygın olarak tercih edilen bir seçenek – ancak dosya uzantılarına bağlı olarak farklı modları gerçekleştirecek şekilde yapılandırılabilir” dedi. LockBit ilk olarak kripto dolabının 2.0 sürümüne aralıklı bir şifreleme seçeneği ekledi.
Gecikmeli Güncellemeler
LockBit en son iki yıl önce fidye yazılımı kripto dolabının yeni ve büyük bir versiyonunu yayınladı.
Tehdit istihbaratı şirketi Analyst1’in baş güvenlik stratejisti olan fidye yazılımı araştırmacısı Jon DiMaggio, LockBit Green’in Ocak 2023’te piyasaya sürülmesinin, her yıl büyük bir yeni sürüm yayınlamasıyla bilinen grup için bir riskten korunma aracı gibi göründüğünü söyledi. DiMaggio daha önce Information’a verdiği demeçte, grubun sorunlarının kısmen, LockBit’in popülaritesinin artması ve çok sayıda bağlı kuruluşun ilgisini çekmesi nedeniyle “büyük güvensizliklere sahip ego odaklı bir CEO tarafından yönetilen” organizasyonun teknik yeteneği elinde tutmada veya altyapısını başarılı bir şekilde ölçeklendirmede başarısız olmasından kaynaklanıyordu. Güvenlik Medya Grubu. Sonuç olarak, kötü amaçlı yazılımın yeni sürümleri veya bir kurban ödemeyi reddettikten sonra çalınan verilerin güvenilir, otomatik olarak sızdırıldığını görmek gibi bağlı kuruluşların beklediği hizmetler gerçekleşmedi.
DiMaggio, grubun liderliğinin daha da kötü yönetim tercihlerinin, önemli bir geliştiriciyle anlaşmazlığı tetiklediğini, bunun da onun sağlanan iş için ödeme yapılmaması nedeniyle ayrılmasına, ardından kaynak kodunun sızdırılmasına ve grubu kamuoyu önünde karalamasına yol açtığını söyledi. Geliştiricinin kaybı, grubun kötü amaçlı yazılımının büyük ve yeni bir sürümünü hızlı bir şekilde geliştirme becerisinden yoksun kalmasına neden oldu.
Daha sonra LockBit bir sis perdesine girmiş gibi görünüyor. Tehdit istihbaratı firması RedSense’ten araştırmacılar Yelisey Bohuslavskiy ve Marley Smith, ISMG’ye grubun LockBitSupp personelinin gazetecilerle röportajlar yaptığını ve özellikle Twitter aracılığıyla grubu kamuoyunun gözünde tutmak için tasarlanmış kışkırtıcı açıklamalar yaptığını söyledi. Aynı zamanda fidye yazılımı grubu, araştırmacıların belirttiğine göre fidye ödeyen kurbanları toplama konusunda büyük ölçüde etkisiz olan ancak yine de grubu aktif saldırılara alenen bağlayan çok sayıda düşük düzeyli bağlı kuruluşa imza attı. Bu sis perdesiydi.
Perde arkasında Smith, LockBit’in “hayalet gruplarla” çalıştığını, bunun da Zeon gibi diğer fidye yazılımı gruplarından ödünç alınan veya bağımsız olarak çalışan yüksek vasıflı bilgisayar korsanlarıyla, yani pentester’larla sözleşme yaptığını söyledi. Smith, bu yüksek vasıflı pentester’ların çoğunun daha önce Rusça konuşan kötü şöhretli Conti fidye yazılımı grubu için çalıştığını, bu grubun Başkan Vladimir Putin’in Ukrayna’ya karşı fetih savaşını alenen destekledikten sonra kapandığını ve birçok Conti kurbanının fidye ödemeyi reddetmesine yol açtığını söyledi.
Conti Yetenek Destekli LockBit
Smith, hayalet grupları kullanmanın LockBit’in kendi teknik yetenek veya vasıflı bağlı kuruluş eksikliğini telafi etmesine ve markayı desteklemek ve kurbanları ödeme yapmaları için korkutmaya devam etmek için gereken “belirli bir düzeyde gizem ve gücü sürdürmesine” olanak tanıdığını söyledi.
RedSense araştırmacıları, “Düşük seviyeli bağlı kuruluşlar Twitter’da paylaşım yaparken, Conti’nin gerçek profesyonelleri dünyanın her yerindeki yüksek profilli hedeflere saldırıyordu” ve bu da çok sayıda kurbanın hızlı bir şekilde ödeme yapmasına ve LockBit’in veri sızıntısı sitesinde asla listelenmemesine neden oldu, dedi. yeni bir rapor.
Bu haftaki kolluk kuvvetlerinin yayından kaldırması bu durumu bozdu. Uzmanlar, ortaya çıkan itibar kaybı nedeniyle LockBit’in yeniden başlatılmasının pek olası olmadığını ve grubun altyapılarını yeniden inşa etmek için ihtiyaç duyacağı şirket içi teknik bilgiye artık sahip olmadığını söyledi. RedSense araştırmacıları, “Büyük olasılıkla, LockBit eski verileri boşaltmaya çalışacak; bu, her grubun bir yayından kaldırma sonrasında kullandığı taktiktir, ancak bu, medyadaki spekülasyonlar dışında herhangi bir sonuç getirmeyecektir” dedi.