Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
LockBit Kremlin’in Çorabı Kuklası mı?
Mathew J. Schwartz (euroinfosec) •
29 Şubat 2024
Moskova, Amerikan demokrasisini bozmak için Rusça konuşan LockBit fidye yazılımı grubunu bir araç olarak mı kullanıyor?
Ayrıca bakınız: SASE’yi NDR ile entegre etme: SASE Olgunluğu, Bulut Stratejisi ve Ağ Görünürlüğü
Fidye yazılımı gruplarının itibarı, kripto kilitleyen kötü amaçlı yazılımlarını yalnızca para için kullanmalarıdır. Saldırganların şifre çözücü sağlama veya çalınan verileri silme vaadi karşılığında geçen yıl kurbanlardan 1,1 milyar dolar değerinde kripto para elde ettiler.
LockBit’i doğrudan Rus hükümetiyle ilişkilendiren kamuya açık hiçbir kanıt olmasa da Moskova, Batı’da bölünmeyi ekmek için çok yönlü bir kampanyada elindeki her şeyi kullanma konusunda bir itibar kazandı. Dünyanın en üretken ve saçma sapan konuşan fidye yazılımı gruplarından birinin yetkililerin dikkatinden veya taleplerinden kaçmış olma ihtimali nedir?
İngiltere’deki Surrey Üniversitesi’nde bilgisayar bilimleri alanında misafir profesör olan siber suç uzmanı Alan Woodward, “Bir bahis adamı olsaydım, LockBit’i bir kesinti aracı olarak kullanarak Rus devletine para yatırırdım” dedi. “Kuzey Kore’nin aksine, para için fidye yazılımı başlatmayacaklar; onlar daha çok önemli altyapıyı bozmakla ilgileniyorlar.”
19 Şubat’ta LockBit operasyonuna sızan ve operasyona müdahale eden kolluk kuvvetleri koalisyonu, daha sonra grubun liderlik kişiliği LockBitSupp’un geçmişteki iddialarından önce Amerikalı olmadığını ve ayrıca “kolluk kuvvetleriyle meşgul olduğunu” söyledi. Bu ifadenin bir okuması: LockBit, Rus yetkililerle veya onlar için çalışıyor.
Batılı kolluk kuvvetlerinin “bugün itibariyle LockBit’in kilitlendiğini” bildirmesinden günler sonra LockBitSupp, FBI’ın grubun Fulton County, Georgia’dan çalınan verileri atmasını önlemek için yayından kaldırma zamanını ayarladığını iddia ettiği uzun ve başıboş bir açıklama yayınladı. Jüri, eski Başkan Donald Trump ve 18 sanık aleyhindeki seçimi bozma davasını görmeye hazırlanıyor.
LockBitSupp’un açıklamasının, ABD’nin yerel parlama noktalarına yönelik dürtmeler de dahil olmak üzere bazı kısımları, Rus hükümetinin propaganda konuşmaları gibi okunuyor. “Çalınan belgeler pek çok ilginç şey ve Donald Trump’ın yaklaşmakta olan ABD seçimlerini etkileyebilecek davalarını içeriyor. Şahsen ben Trump’a oy vereceğim çünkü Meksika sınırındaki durum bir tür kabus, Biden emekli olmalı, o bir kukla,” diye belirtiyor mektupta.
Fulton İlçesi verilerinin Perşembe günü boşaltılacağı yönündeki tehditlere rağmen, çalınan ilçe kayıtlarının varsayılan olarak yayınlanmasına yönelik bir geri sayım sayacı, belirtilmeyen nedenlerden dolayı grubun Perşembe sabahı yeniden başlatılan veri sızıntısı sitesinden kayboldu.
Bu, LockBit’in sözlerini yerine getiremediği veya grubun Rus devletiyle bağlarına ilişkin soruların ortaya çıktığı ilk durum değil. RedSense’in baş araştırma görevlisi Yelisey Bohuslavskiy, 2022’nin ortalarında, ilk iki erişim komisyoncusunun LockBitSupp’un yerine “güvenlik aygıtı tarafından atanan bir kişinin” geçtiğini iddia ederek LockBit ile bağlarını kestiklerini bildirdi. Kendisi, diğer işaretlerin de LockBitSupp’un “2021’den bu yana bir Rus güvenlik cihazı implantı” olduğuna işaret ettiğini söyledi.
Eğer öyleyse bu bir sürpriz olmamalı. Özellikle GRU askeri istihbarat teşkilatının geçmişteki çabaları, hack ve sızıntı operasyonları da dahil olmak üzere pek çok sahte kişiliği ön plana çıkardı. Uzmanlar ayrıca Moskova’nın, Ukrayna’ya ve müttefiklerine yönelik hizmet reddi saldırılarını ilan eden, kendini “hacktivist” olarak ilan eden çok sayıda grubu yönetmese bile finanse ettiğinden şüpheleniyor.
Surrey Üniversitesi’nden Woodward, “Genel olarak Rus devleti ve onun vekilleri, dezenformasyonu yaymak ve demokrasimizi etkilemek için her türlü fırsatı değerlendirecektir.” dedi. Yine de bu tür düzenlemelere ilişkin kanıt bulmak oldukça zordur. Moskova’nın “makul inkar edilebilirliği” var, çünkü “tercih ettikleri retoriği ilerletmek için yararlı aptalları kullanmaları”, pek çok Rus yanlısı aktörün Kremlin’in konuşmalarını aslında bunu yapmak zorunda olmasa da papağan gibi tekrarlaması anlamına geliyor. “Rusya’dan şüphelenebiliriz ancak bunu makul şüphenin ötesinde kanıtlayamayız.”
Yapana kadar taklit etmek?
Retorik olarak konuşursak, LockBitSupp, uluslararası bir kolluk kuvvetleri grubunun fidye yazılımı operasyonuna sızmak ve sunucularını ele geçirmek için Cronos Operasyonu bayrağı altında bir araya gelmesinden bu yana durumu bozanlara karşı çevirmeye çalışıyor (bkz.: LockBit Baskısında Tutuklamalar ve İddialar).
Yetkililer, LockBit için utanç verici bir şekilde, bağlı kuruluşlar ve LockBit yöneticileriyle aralarındaki özel Tox sohbet mesajları hakkında çok sayıda istihbarat topladıklarını söyledi. Çok sayıda kurban için ücretsiz şifre çözücüler alıp yayınladılar. ABD ayrıca Rusya’da bulunan iki Rus’un ismini verdi ve suçladı; yetkililer Polonya ve Ukrayna’da tutuklandıklarını duyurdu.
Emniyet güçleri, veri sızıntısı sitesini benzer bir sürümle değiştirerek grubu trollediğinde LockBit’e kendi ilacını da tattırdı. Polisler, kurbanlarla ilgili bilgileri açıklamak yerine grup ve bağlı kuruluşları hakkında ayrıntılı bilgi verdi ve silinmesi için para ödeyen kurbanlardan çalınan verilerin kurtarıldığını bildirdi.
LockBit, RedSense’ten Bohuslavskiy’in LockBit’in “dönüş taklidi yapması” olarak tanımladığı yeni kurbanları yayınlayarak operasyonlarını yeniden başlattığını iddia etti. Yeni bir veri sızıntısı sitesinde listelenen yeni kurbanların büyük olasılıkla grubun kesintiye uğramadan önce saldırdığı kuruluşlar olduğunu ve çalınan verileri büyük olasılıkla kolluk kuvvetlerinin ulaşamadığı sunucularda sakladığını söyledi.
Bohuslavskiy, LockBit’in göründüğü gibi olmadığını söyledi. Özellikle, en azından geçen yıldan bu yana, grubun bağlı kuruluşlarla çalışan bir hizmet olarak fidye yazılımı operasyonu olduğunu iddia ederken, gerçekte doğrudan “hayalet gruplara” – büyük ölçüde Zeon fidye yazılımından gelen uzmanlara – ödeme yaptığını söyledi. grup – kendi bayrağı altında saldırılar başlatmak. Kesintinin bu harici “pentesterleri” Akira gibi daha az kötü şöhrete sahip bir fidye yazılımı grubuna geçmeye yönelteceğini öngördü.
LockBit sonunda sona erse bile, liderlik, her potansiyel kurbanı tuzağa düşürmek ve egosunu yatıştırmak amacıyla, bunun devam eden bir endişe olduğunu iddia etmeye devam edebilir. En azından ilki, uzmanların Conti grubunun Rusya’nın Şubat 2022’de Ukrayna’yı işgalini açıkça destekleme yönündeki feci kararından sonra gördüğü şeydi. Sonuç olarak grubun kurbanlarının çoğu herhangi bir fidye ödemeyi reddetti.
Conti daha sonra parçalanırken, grubun liderliği, grubun işlevsel kalmasını sağlamak ve yan ürünlerinden uzaklaştırmak için yeni kurbanlar talep etmeye devam etti.
LockBit’in bir sonraki hilesi veya tamamen yeniden başlatılması neye benzeyebilir?
“LockBitSupp’un, çetenin kar elde etmesine ve manşetlerde yer almasına olanak tanıyacak Fortune 500 şirketleri, hastaneler, hükümet ve diğer kuruluşlar da dahil olmak üzere, bağlı kuruluşlarını, bir zamanlar lekelenmemiş suç markasını yeniden canlandırmak için umutsuzca ihtiyaç duyduğu yüksek profilli hedefleri avlamaya teşvik etmesini bekliyoruz. ” dedi Analist1.
Öte yandan, özellikle fidye yazılımı grupları için konuşmak ucuzdur ve eğer Rus istihbaratı bunları makul bir inkar için kullanıyorsa bu belki iki kat daha ucuzdur.