LockBit Grubu Yayından Kaldırmadan Önce Yeni Kripto Dolabı Hazırladı

Britanya Ulusal Suç Teşkilatı’nın öncülük ettiği uluslararası LockBit soruşturmasına ve ortadan kaldırılmasına katkıda bulunan Tokyo merkezli siber güvenlik firması Trend Micro da böyle söyledi.

Trend Micro, fidye yazılımı operasyonunun LockBit-NG-Dev adı verilen “yeni nesil” kripto kilitleme kötü amaçlı yazılımı üzerinde çalıştığını ve bunun “grubun tamamlandığında gerçek bir 4.0 sürümü olarak değerlendirebileceği yeni bir sürüm olabileceğini” söyledi.

Bu çabaların durumu, NCA ve FBI’ın Salı günü “Cronos Operasyonu” aracılığıyla 10 ülkenin ortaklaşa çalışarak sızmak için çalıştığını ve Pazartesi günü tutuklamalar ve tutuklamalarla desteklenen “dünyanın en zararlı siber suç grubu” tarafından kullanılan altyapıyı kapattığını duyurmasından bu yana belirsizliğini koruyor. iddia edilen bağlı kuruluşlar ve kara para aklayıcıların iddianameleri.

LockBit’in yeniden başlatma girişiminde bulunup bulunmayacağı veya markasının kalıcı olarak yakılıp yakılmayacağı açık bir soru olmaya devam ediyor. Ne olursa olsun, çok sayıda güvenlik uzmanı kesintiyi övdü ve bunun LockBit’in yöneticileri, yüklenicileri ve bağlı kuruluşları için büyük ve muhtemelen ölümcül operasyonel baş ağrılarına neden olacağını söyledi.

Kaldırılana kadar LockBit önemli bir oyuncu olarak kaldı. Blockchain analiz firması Chainaliz, 2023 yılında ve bu yıl şu ana kadar LockBit’in herhangi bir fidye yazılımı grubu arasında ikinci en yüksek miktarda izlenebilir fidye ödemesi aldığını söyledi.

Palo Alto Networks’ün 42. Birimi, geçen yıl LockBit’in veri sızıntısı sitesinde 928 kuruluşu listelediğini ve bu tür sızıntı sitelerinde listelenen 3.998 kurbanın %23’ünü oluşturduğunu belirtti. fidye ödediler, belli değil.

Montaj Sorunları

Trend, grubun yasa dışı kar elde etme becerisine rağmen, “bir takım lojistik, teknik ve itibar sorunları” nedeniyle bağlı kuruluşlar için kripto kilitleme kötü amaçlı yazılımının yeni ve büyük bir versiyonunu iki yıl içinde üretmemiş olması büyük bir engeldi. Mikro dedi.

Trend Micro, “LockBit’in sağlam bir versiyonunun piyasaya sürülmesindeki görünür gecikme ve devam eden teknik sorunlarla birleştiğinde, bu grubun en iyi iştirakleri çekme ve konumunu koruma yeteneğini ne kadar süre koruyacağı görülecek.” söz konusu. “Bu arada, LockBit’in bir organizasyonun başarısız olamayacak kadar büyük olduğu fikrini çürütecek bir sonraki büyük grup olmasını umuyoruz.”

LockBit bir zamanlar diğer fidye yazılımı gruplarından kısmen, kripto-kilitleyen kötü amaçlı yazılımının hızı ve gelişmişliği nedeniyle ayrılıyordu; bu yazılım, “fidye yazılımı için basitleştirilmiş, işaretle ve tıklatmalı bir arayüz sunarak, onu daha düşük düzeyde teknik bilgiye sahip olanlar için erişilebilir hale getiriyordu” ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı geçen yıl bildirdi.

Trend Micro, “Tamamen teknik açıdan bakıldığında, diğer rakip fidye yazılımı paketleriyle karşılaştırıldığında LockBit’i özel kılan şey, kendi kendine yayılma yeteneklerine sahip olmasıydı” dedi. “Ağdaki bir ana bilgisayara virüs bulaştığında, LockBit yakındaki diğer hedefleri arayabilir ve onlara da bulaşmayı deneyebilir; bu, bu tür kötü amaçlı yazılımlarda yaygın olmayan bir tekniktir.”

Halkla İlişkiler cephesinde, grubun halka açık kişiliği LockBitSupp – “LockBit Desteği”nin kısaltması ve en azından kısmen grubun gerçek lideri tarafından yönetildiği söyleniyor – düzenli olarak ekibinin rakipleri pahasına cesaretiyle övünüyor ve markayı parlatmaya çalışıyor ve yeni iştiraklerin ilgisini çekin. Trend Micro’nun haberine göre, bağlı kuruluşlara ana operatörlerden önce ödeme alacakları ve kurbanlarının ödediği her fidyenin yüzde 80’ini ya da müzakereleri LockBit üstlenirse yüzde 50 ila yüzde 70’ini alacaklarına söz verdi.

LockBitSupp ayrıca grubun logosunu taşıyan herkese 1.000 dolar ödeme sözü vermek ve gerçek kimliğini ortaya çıkarabilen herkese 1 milyon dolar ödül teklif etmek gibi gösterileri de destekledi.

Güvenlik uzmanları, kripto-kilitleme zararlı yazılımının her türden bağlı kuruluşa ilgi duyduğunu ve diğer Rus suç örgütleriyle yakın bağları olduğunu söyledi. Mandiant’ın 2022’de yayınladığı araştırma, Rusya’nın kötü şöhretli Evil Corp’unun ABD yaptırımlarından kaçmak için LockBit’i kullandığını ileri sürdü. Chainalytics, LockBit yöneticilerinden biri tarafından “Albay Cassad olarak bilinen, Sevastopol merkezli, Rusya yanlısı olduğunu iddia eden bir askeri gazeteciye” yapılan kripto para birimi bağışlarını takip etti.

Çoklu Sürümler

Güvenlik uzmanları LockBit’in daha önce fidye yazılımının birden fazla sürümünü yayınladığını söyledi:

• LockBit sürüm 1.0 Ocak 2020’de piyasaya sürüldü ve orijinal olarak “ABCD” fidye yazılımı olarak biliniyordu.
• LockBit sürüm 2.0diğer adıyla “Red”, grubun birincil veri filtreleme aracı StealBit ile birlikte Haziran 2021’de piyasaya sürüldü.
• LockBit Linux Ekim 2021’de Linux ve VMWare ESXi sistemlerine bulaşmak üzere piyasaya sürüldü.
• LockBit sürüm 3.0diğer adıyla “Black”, Mart 2022’de piyasaya sürüldü ve altı ay sonra grubun hoşnutsuz geliştiricisi tarafından sızdırıldı ve bu da birden fazla sahteliğe yol açtı.
• LockBit Yeşil Ocak 2023’te piyasaya sürüldü ve büyük bir yeni sürüm olarak müjdelendi; ancak güvenlik uzmanları, bunun bir Conti şifreleyicinin yeniden markalanmış bir sürümü olduğunu tespit ederek bunu hızla reddetti.

Trend Micro, henüz yayınlanmamış LockBit-NG-Dev’in parçalanmasının, önceki dolaplarla benzerlikler göstermesine rağmen “bu yeni sürümün .NET’te yazılmış ve muhtemelen CoreRT kullanılarak derlenmiş gibi göründüğünü ortaya çıkardığını” söyledi. geçmiş sürümler için kullanılan olağan C/C++ dili.”

Güvenlik firması, kötü amaçlı yazılımın hızlı, aralıklı ve tam şifreleme modları sunduğunu söyledi. Firma, “Dosyalar genellikle şifrelemeyi hızlandırmak için hızlı modda şifreleniyor – bağlı kuruluşlar tarafından yaygın olarak tercih edilen bir seçenek – ancak dosya uzantılarına bağlı olarak farklı modları gerçekleştirecek şekilde yapılandırılabilir” dedi. LockBit ilk olarak kripto dolabının 2.0 sürümüne aralıklı bir şifreleme seçeneği ekledi.

Gecikmeli Güncellemeler

LockBit en son iki yıl önce fidye yazılımı kripto dolabının yeni ve büyük bir versiyonunu yayınladı.

Tehdit istihbaratı firması Analyst1’in baş güvenlik stratejisti olan fidye yazılımı araştırmacısı Jon DiMaggio, LockBit Green’in Ocak 2023’te piyasaya sürülmesinin, her yıl büyük bir yeni sürüm yayınlamasıyla bilinen grup için bir riskten korunma aracı gibi göründüğünü söyledi. DiMaggio, Bilgi Güvenliği’ne verdiği demeçte, grubun sorunlarının kısmen, LockBit’in popülaritesinin artması ve çok sayıda bağlı kuruluşun ilgisini çekmesi nedeniyle “büyük güvensizliklere sahip ego odaklı bir CEO tarafından yönetilen” organizasyonun teknik yeteneği elinde tutmada veya altyapısını başarılı bir şekilde ölçeklendirmede başarısız olmasından kaynaklanıyordu. Geçen yıl Medya Grubu. Sonuç olarak, kötü amaçlı yazılımın yeni sürümleri veya kurban ödemeyi reddettikten sonra çalınan verilerin güvenilir, otomatik olarak sızdırılması gibi bağlı kuruluşların beklediği hizmetler gerçekleşmedi.

DiMaggio, grubun liderliğinin daha da kötü yönetim tercihlerinin, önemli bir geliştiriciyle anlaşmazlığa yol açtığını, bu geliştiricinin daha sonra sağlanan iş için ödeme yapılmaması nedeniyle işten çıktığını, kaynak kodunu sızdırdığını ve grubu kamuoyu önünde karaladığını söyledi. Bu geliştiricinin kaybı, grubun kötü amaçlı yazılımının yeni ve büyük bir sürümünü hızlı bir şekilde geliştirme becerisinden mahrum kalmasına neden oldu.

Daha sonra LockBit bir sis perdesine girmiş gibi görünüyor. Tehdit istihbaratı firması RedSense’ten araştırmacılar Yelisey Bohuslavskiy ve Marley Smith, ISMG’ye grubun LockBitSupp kişiliğinin gazetecilerle röportajlar yaptığını ve özellikle Twitter aracılığıyla grubu kamuoyunun gözünde tutmak için tasarlanmış kışkırtıcı açıklamalar yaptığını söyledi. Aynı zamanda, fidye yazılımı grubu çok sayıda düşük düzeyli bağlı kuruluşa imza atmıştı; araştırmacılar, bunların fidye ödeyen kurbanları toplama konusunda büyük ölçüde etkisiz olduğunu, ancak yine de grubu aktif saldırılarla kamuya açık bir şekilde ilişkilendirdiğini bildirdi. Bu sis perdesiydi.

Smith, perde arkasında LockBit’in “hayalet gruplarla” çalıştığını, yani bağımsız olarak veya Zeon gibi diğer fidye yazılımı gruplarıyla çalışan yüksek vasıflı bilgisayar korsanlarıyla, yani kalem testçileriyle sözleşme yaptığını söyledi. Smith, bu yüksek vasıflı kalem test uzmanlarının çoğunun daha önce Rusça konuşan kötü şöhretli Conti fidye yazılımı grubu için çalıştığını, bu grubun Başkan Vladimir Putin’in Ukrayna’ya karşı yürüttüğü fetih savaşını alenen destekledikten sonra kapandığını ve bunun da birçok Conti kurbanının fidye ödemeyi reddetmesine yol açtığını söyledi.

Conti Yetenek Destekli LockBit

Smith, hayalet grupları kullanmanın LockBit’in kendi teknik yetenek veya vasıflı bağlı kuruluş eksikliğini telafi etmesine ve markayı desteklemek ve kurbanları ödeme yapmaları için korkutmaya devam etmek için gereken “belirli bir düzeyde gizem ve gücü sürdürmesine” olanak tanıdığını söyledi.

RedSense araştırmacıları, “Düşük seviyeli bağlı kuruluşlar Twitter’da paylaşım yaparken, Conti’nin gerçek profesyonelleri dünyanın her yerindeki yüksek profilli hedeflere saldırıyordu” ve bu da çok sayıda kurbanın hızlı bir şekilde ödeme yapmasına ve LockBit’in veri sızıntısı sitesinde asla listelenmemesine neden oldu, dedi. yeni bir rapor.

Bu haftaki kolluk kuvvetlerinin yayından kaldırması bu durumu bozdu. Uzmanlar, ortaya çıkan itibar kaybı ve grubun artık altyapısını yeniden inşa etmek için ihtiyaç duyacağı şirket içi teknik yeteneğe sahip olmaması nedeniyle LockBit’in yeniden başlatılmasının pek olası olmadığını söyledi. RedSense araştırmacıları, “Büyük olasılıkla, LockBit eski verileri boşaltmaya çalışacak; bu, her grubun bir yayından kaldırma sonrasında kullandığı taktiktir, ancak bu, medyadaki spekülasyonlar dışında herhangi bir sonuç getirmeyecektir” dedi.