Üretken, tehlikeli ve korkulan LockBit fidye yazılımı kartelinin Birleşik Krallık Ulusal Suç Ajansı (NCA), FBI ve diğerleri tarafından önemli ölçüde sekteye uğratıldığı haberi, siber güvenlik topluluğu tarafından memnuniyetle karşılandı.
Birkaç aydır sessizce devam eden Cronos Operasyonu, NCA ve ortaklarının çetenin altyapısını tehlikeye attığını ve operasyon ve bağlı kuruluşları tarafından kullanılan sunucular, özel araçlar ve karanlık web siteleri dahil olmak üzere varlıklara el koyduğunu gördü.
Yetkililer ayrıca LockBit çetesiyle bağlantılı bir dizi kripto para birimi hesabını da dondurdu ve artık Polonya ve Ukrayna’da iki kişinin gözetim altına alındığını biliyoruz.
Uzmanlar iyimser
Kaldırma işleminin ardından Computer Weekly’ye ulaşan güvenlik uzmanları arasında genel olarak iyimser bir ruh hali vardı
“Kilit biti Conti’nin 2022 ortalarında sahneden ayrılmasından bu yana en üretken fidye yazılımı grubu haline geldi. Sophos’un direktörü ve küresel saha CTO’su Chester Wisniewski, “Saldırılarının sıklığı ve ne tür bir altyapıyı felce uğrattıkları konusunda herhangi bir sınıra sahip olmamaları da onları son yılların en yıkıcı saldırıları haline getirdi” dedi. “Operasyonlarını sekteye uğratan ve bağlı kuruluşları ile tedarikçileri arasında güvensizlik yaratan her şey kolluk kuvvetleri için büyük bir kazançtır.”
ESET’in küresel siber güvenlik danışmanı Jake Moore şunları söyledi: “Siber suçluları, özellikle de büyük operasyonel gruplarda yer alan kişileri yakalamak son derece zordur, dolayısıyla düzeni bozmak önemli bir polis taktiğidir. LockBit’in web sitesinin kapatılması, siber suçlulara büyük bir darbe indirecek ve sorunu ortadan kaldırmasa da, suç ağını sekteye uğratacak ve potansiyel olarak işletmelerin hedeflenen faaliyetlerden milyonlarca lira tasarruf etmesini sağlayacaktır.
“Bu, kolluk kuvvetlerinin işbirliği içinde birlikte çalışmasının başarısını ve bunun bağlantılı tehdit aktörlerini hedeflemenin en iyi yolu olmaya devam ettiğini gösteriyor.
Moore, “Yeterli kanıt bulmak, herhangi bir siber suç soruşturmasında en zor husustur, ancak bu, yeterli güç ve proaktif polislik ile suçun her zaman para ödemeye devam etmeyeceğini vurgulamaktadır” dedi.
WithSecure’un tehdit istihbaratı ve sosyal yardım direktörü Tim West, ayrıntıları ortaya çıkmaya devam eden operasyonun boyutunun kutlamaya değer olduğunu söyledi.
“Avrupa emniyet teşkilatından gelen yorumlarda, fidye yazılımı operasyonunu yürütmek için gereken tüm altyapının kapsamlı bir şekilde ele geçirildiği belirtiliyor. Verilerin Lockbit’in kendi sızıntı sitesinde kademeli olarak yayınlanması, Lockbit için yalnızca son derece utanç verici olmakla kalmıyor, aynı zamanda kendilerinin de gerçekleştirilen eylemin boyutunu bilmediklerini gösteriyor” dedi West.
“Bildiğimiz bir şey var ki kolluk kuvvetlerinden oluşan kolektif, Lockbit’e maksimum kesinti sağlamak ve maksimum maliyet getirmek için kısa vadeli ve uzun vadeli etki fırsatlarını kesinlikle dikkatlice tartacak ve biz de onların işleyişini bozan veya engelleyen her türlü eylemi destekliyoruz. operasyona devam edildi. Bu nedenle karmaşık ve zor olacağından kuşku duymadığımız bir operasyonu kutluyor, emeği geçenleri tebrik ediyoruz.”
ExtraHop’un kıdemli teknik müdürü Jamie Moles, kolluk kuvvetlerinin siber suç altyapısını hedef almaya yönelik son hamlelerinin (Hive ve ALPHV/BlackCat gibi şirketlere yönelik benzer operasyonlara bakın) gidilecek doğru yol olduğunu söyledi.
“Şüpheli çete üyelerine yönelik yaptırımlar ve fidye ödeyen firmalara yönelik yasaklar geçmişte tartışılmış olsa da, bu yöntemler büyük ölçüde etkisizdir. Çete üyeleri genellikle suçluların iadesi kanunlarının bulunmadığı ülkelerde ikamet ediyor ve fidye ödeme yasağı, ilgili şirketleri bu kanunların hedef aldığı çetelerden daha fazla cezalandırıyor” dedi Moles.
“Kolluk kuvvetlerinin, bu çetelerin çalıntı verileri satmak ve fidye ödemeleri almak için kullandığı altyapıyı doğrudan hedef alabilmesi, girişimin karlılığını büyük ölçüde azaltıyor. Bu çeteler için düşmanca bir ortam yaratarak, kolluk kuvvetlerinin çevrimiçi kötü niyetli faaliyetleri engellemeye yönelik ortak çabalarının meyve vermeye başladığını görebiliriz.”
Dark Web’de karanlık günler
LockBit’in emsallerinin öfkesini ölçmek için yeraltı siber suç forumlarında takılan Searchlight Cyber’deki araştırmacılar, çetenin ölümünün karışık tepkilere yol açtığını söyledi.
LockBit’in ana temsilcisi LockBitSupp’un aktif bir katılımcı olduğu XSS Rusça konuşulan forumunda, haberlere konu olan bir başlık yüzden fazla yorum aldı; birçoğu LockBit’in büyüklüğü ve itibarının nasıl çöktüğünden endişe ederken, diğerleri endişeliydi. NCA’nın şifre çözme anahtarlarına el koymasıyla ilgili.
Genel olarak genel fikir birliği, LockBit’in bir biçiminin varlığını sürdüreceği yönünde; ancak Searchlight’ın uzmanları, şu ana kadar mevcut olan sınırlı bilgi göz önüne alındığında, bazı karakterlerin endişelenip endişelenmemeleri konusunda emin olmadıklarını belirtti.
Kritik PHP güvenlik açığı LockBit’e karşı mı kullanıldı?
Moralin daha da yükselmesi için diğer XSS forum üyelerinin LockBit’i kötü operasyonel güvenlik nedeniyle aktif olarak suçladığı ortaya çıktı.
Geçtiğimiz gün ortaya çıkan daha ilgi çekici bilgiler arasında, hala kaçak olan LockBit yöneticilerinin alay ettiği, NCA ve ortaklarının çete üzerinde kritik bir PHP güvenlik açığını açması olasılığı da yer alıyor.
Her zaman olduğu gibi, siber suçluların yaptığı açıklamalar asla göründüğü gibi değerlendirilmemelidir. Bununla birlikte, LockBit’in çöküşünün, kendi siber güvenlik risk faktörlerini gerektiği gibi korumadaki başarısızlığıyla çok az ilgisi olduğu iması, hikayeye hoş bir ironi katıyor.
“Fidye yazılımı grupları, kurbanlarına fidye yazılımı bulaştırmak için genellikle halka açık güvenlik açıklarından yararlanıyor [but] Picus Güvenlik güvenlik araştırmacısı Hüseyin Can Yüceel, bu kez Cronos Operasyonu, LockBit operatörlerine kendi ilaçlarının tadına bakma fırsatı verdi, dedi.
“LockBit yöneticilerine göre kolluk kuvvetleri, LockBit’in halka açık sunucularını tehlikeye atmak ve LockBit kaynak koduna, dahili sohbete, kurban ayrıntılarına ve çalınan verilere erişim sağlamak için PHP CVE-2023-3824 güvenlik açığından yararlandı.”
CVE-2023-3824, yaygın olarak kullanılan PHP açık kaynaklı genel amaçlı kodlama dilindeki kritik bir güvenlik açığıdır. Dilin belirli sürümlerinde, yetersiz uzunluk kontrolünün yığın arabellek taşmasına yol açabileceği ve bunun sonucunda bellek bozulmasına veya uzaktan kod yürütülmesine (RCE) yol açabileceği durumlarda ortaya çıkar.
“LockBit grubu, yedekleme sunucularına dokunulmadığını iddia etse de, tekrar çevrimiçi olup olmayacakları belli değil. Şu anda LockBit çalışanları LockBit hizmetlerinde oturum açamıyor. Bir Tox mesajında, düşmanlar ortaklarına yeniden inşa sonrasında yeni bir sızıntı sitesi yayınlayacaklarını söylediler” dedi Yüceel.
LockBit’i Yeniden Oluşturmak
İşte bu noktada yakaladığımız birçok gözlemci tutarlı bir şekilde geri döndü; bir siber suç örgütünün önemli ölçüde sekteye uğraması, bunun LockBit için yolun sonu olduğu anlamına gelmiyor.
“Kısa vadede bu, durdurma veya azaltma yönünde bir yol kat edecek” Kilit biti enfeksiyonlar. Uzun vadede işlerin her zamanki gibi devam edeceğini düşünüyorum. Sorunların temel nedenini ele alırsak Kilit biti Trustwave’de EMEA için kalem testi başkan yardımcısı Ed Williams, “bugünün haberleriyle bunların hiçbiri düzeltilmedi” dedi.
“Çoğu kuruluşta iç ve yan hareket yeteneği dün olduğu gibi bugün de önemsizdir. Bunun için iki ila üç ay verirdim, ardından bu tür fidye yazılımının yeniden doğuşunu göreceğiz; tehdit aktörlerinin bugünden ders alıp izlerini daha iyi gizleyebilecekleri için bunun daha da karmaşık olacağından şüpheleniyorum. ileri.”
Williams’ın düşünceleri başkaları tarafından da paylaşıldı. NCC Grubunun küresel tehdit istihbaratı başkanı Matt Hull da bunların arasındaydı. Şöyle dedi: “Hiç şüphe yok ki insanlar LockBit’in geri dönüp dönemeyeceğini merak edecekler. Grup, sistemlerinin ve verilerinin yedeklerinin bulunduğunu iddia etti. Geçmişte çeşitli fidye yazılımı operatörlerinin yeniden markalaştığını, diğer gruplarla güçlerini birleştirdiğini veya birkaç ay sonra geri döndüğünü gördük.
“Önümüzdeki günler ve haftalarda Cronos Operasyonunun tam kapsamı ve LockBit grubunun gerçek yetenekleri hakkında daha iyi bir fikir edineceğiz.”
Flexxon’un CEO’su ve kurucu ortağı Camellia Chan şunları söyledi: “ICBC’yi vuran çetenin bunu yapmasını bekleyemeyiz. [China’s largest bank] O kadar kötü bir siber saldırıyla ABD hazine piyasasının savaşmadan çökmesine neden oldu. Hatta diğer fidye yazılımı çetelerinde gördüğümüz gibi LockBit zamanla kendini yeniden icat edebilir. Ayrıca, köşede başka tehdit aktörlerinin de olduğuna şüphe yok. İşletmeler için bu, savunmayı güçlendirmek için bir uyandırma çağrısı olmalı.”
Williams şunları ekledi: “Asıl sorun, bu fidye yazılımı gruplarının hizmetlerini ne kadar hızlı bir şekilde yeniden gruplandırabilecekleri ve gelişmiş bir karmaşıklıkla yeniden oluşturabilecekleridir. Bu, masum kuruluşların kendilerini güvence altına almaya ve onları ‘kırılması zor bir ceviz’ haline getirmeye odaklanmaya devam etmeleri gereken sürekli bir kedi-fare oyunudur. Dünyanın dört bir yanındaki işletmeler bugünün haberlerini ‘üç P’lerini gözden geçirme fırsatı olarak değerlendirmeli: şifreler, yamalar ve politikalar.”
LockBit’in kaldırılmasının ardından güvenlikle ilgili talimatlar açıktır; savunmanızı güçlendirmek için fidye yazılımı faaliyetlerinde kısa bir duraklama potansiyelini kullanın.
Netwrix EMEA saha CISO’su ve güvenlik araştırmaları başkan yardımcısı Dirk Schrader, “Şirketler verilerini, kimliklerini ve altyapılarını koruma çabalarını azaltmamalı” dedi.
“Bir gram önlemenin bir kilo tedaviden daha iyi olduğu yönündeki tavsiyeye kulak verin. Hesaplarınızın MFA kullanılarak korunduğundan, ayrıcalıkların işi yapmak için gereken minimum düzeye indirildiğinden ve yalnızca tam zamanında var olduğundan, sistemlerinizin güçlendirildiğinden ve hayati verilerinizin güvence altına alındığından emin olun. LockBit’in iflas edip etmeyeceğini göreceğiz ancak başkaları da boşluğu doldurmaya hazır.”