LockBit’in Birleşik Krallık Ulusal Suç Teşkilatı, ana operatörü veya ana operatörü olduğunu iddia eden biri tarafından yürütülen birleşik çok uluslu kolluk kuvvetleri operasyonunda çevrimdışı duruma getirildikten bir hafta sonra, emniyet teşkilatlarıyla alay ederek ve yeni bir altyapı ve yeni bir altyapı kurarak LockBit yeniden ortaya çıktı. Halihazırda beş kurban olduğu iddia edilen kişinin ayrıntılarını içeren yeni sızıntı sitesi.
LockBit, 19 Şubat’ta üretken çetenin sunucu altyapısını hedef alan, kaynak kodu, şifre çözme araçları ve kurban verileri dahil olmak üzere verilerin kontrolünü ele geçiren, kripto varlıklarına el konulan ve dondurulan ve Polonya ve Ukrayna’da iki tutuklamayla sonuçlanan Cronos Operasyonu’nda etkisiz hale getirildi .
Bununla birlikte, çetenin sözde elebaşı, LockBit imzalı uzun bir mesajda, Cronos Operasyonuna katılan kurumların iddialarının çoğunu reddetti; – sunucu altyapılarına yamalı bir PHP güvenlik açığı aracılığıyla eriştiler.
LockBit, 19 Şubat sabahı erken saatlerde sorunları fark etmeye başladıklarını ancak PHP’yi yeniden başlattıktan sonra işlerin normale döndüğünü iddia etti. “Buna pek dikkat etmedim çünkü 5 yıl boyunca [sic] Para içinde yüzmekten dolayı çok tembelleştim” diye yazdılar.
LockBit, kendisini hedef alan NCA ve FBI korsanlarının fidye yazılımı dünyasında çalışarak daha fazla para kazanabileceklerini öne sürerek polisle alay etmeye devam etti ve bazılarının kimliklerinin tartışılması da dahil olmak üzere, yayından kaldırmanın ardından ortaya atılan iddiaların çoğuna karşı çıktı. Hikayenin LockBit versiyonuna göre düşük seviyeli kara para aklayıcılardan biraz daha fazlası olan tutuklananlar.
Yetkililerin aslında diğer şeylerin yanı sıra dolabın tam kod tabanına sahip olmadığını iddia ederek maruz kaldıkları ihlalin boyutunu da açıkça reddettiler.
Mesaj ayrıca, yayından kaldırma işleminin, LockBit’in 2024 ABD seçim sonuçlarını etkileyebileceğine inandığı, eski başkan Donald Trump’a karşı açılan hukuki davalarla ilgili bilgileri çaldığı Georgia, Atlanta’daki Fulton County’nin BT sistemlerine yakın zamanda yapılan bir LockBit saldırısıyla tetiklendiğini öne sürüyor. başkanlık seçimi.
LockBit şunları ekledi: “Şahsen ben Trump’a oy vereceğim.” Her ne kadar ABD vatandaşı olmadıkları neredeyse kesin olsa da, bu pek mümkün görünmüyor.
“FBI’ın tüm eylemleri ortaklık programımın itibarını yok etmeyi, moralimi bozmayı amaçlıyor, ayrılmamı ve işimden ayrılmamı istiyorlar, beni korkutmak istiyorlar çünkü beni bulup ortadan kaldıramıyorlar, durdurulamıyorum” dediler. söz konusu.
“FBI’ın beni neşelendirmesinden, bana enerji vermesinden ve beni eğlenceden ve para harcamaktan uzaklaştırmasından çok memnunum.”
Güvenilmez anlatıcı
Bir siber suçlu fidye yazılımı operatörü olarak LockBit’in mesajının, kelimenin gerçek anlamında durumu düzeltme arzusundan kaynaklanmayacağını unutmamak önemlidir. LockBit’in bir operasyon olarak zaten düşüşte olduğu göz önüne alındığında, zarar verici siber saldırılar düzenlemeye devam etmesine rağmen, yeniden ortaya çıkışıyla ilgili mesajların aslında bu bağlamda okunması gerekiyor.
WithSecure kıdemli tehdit analisti Stephen Robinson, “Mesajın amacı gerçeği iletmek değil, bir güç gösterisi olarak LockBit markası için halkla ilişkiler ve itibar hasarı kontrolüne katılmaktır” dedi.
“Bu, Hizmet Olarak Fidye Yazılımının gerçek gücü olan varlıkları hedef alan son derece kapsamlı bir kaldırma işlemiydi [RaaS] LockBit gibi markalar – markanın kendisi ve operasyonları yürüten bağlı kuruluşlar ve grubun finansal varlıkları.
“Siber olaylar, LockBit ile ilişkili kişileri tutuklamak için yüksek profilli gerçek dünya emniyet teşkilatının (LEA) operasyonlarıyla koordine edildi. Ele geçirilen site, LEA’lar tarafından doğrudan bağlı kuruluşlara bir uyarı mesajı göndermek için kullanıldı. LockBit sızıntı sitesi ve markası, LEA’lar tarafından LockBit ve bağlı kuruluşlarıyla tamamen alay etmek ve karalamak için kullanıldı ve LEA’lar, 200’den fazla kripto para cüzdanı ve 1.000’den fazla şifre çözme anahtarı ele geçirdiklerini belirtti.”
Beklenen bir gelişme
Semperis’in İngiltere ve İrlanda’dan sorumlu başkan yardımcısı Dan Lattimer, LockBit’in hızla yeniden ortaya çıkmasına hiç şaşırmadığını söyledi.
“Bu siber suç grubu yalnızca geçen yıl 100 milyon dolardan fazla fidye ödemesi çaldı; küresel kolluk kuvvetlerinin oluşturduğu bir birlik tarafından utandırıldıktan sonra rüzgarda sessizce gitmeyeceklerdi” dedi.
“Genel olarak, savunucular ve rakipler arasındaki mücadele 24 saat devam eden bir mücadeledir ve grubun bütünüyle yeniden ortaya çıkması veya üyelerinin diğer fidye yazılımı gruplarına katılması yalnızca an meselesiydi.
“Geçen hafta Semperis’in müşterilerini ve ortaklarını, LockBit’in yeniden ortaya çıkacağı gerçeğini gözden kaçırmamaları ve her zaman varsayılan bir ihlal zihniyetine sahip olmaları konusunda uyarıyordum. Tehdit aktörlerine karşı gardınızı asla düşüremezsiniz ve çalışanlarınızın, müşterilerinizin ve ortaklarınızın kritik varlıklarını korumak için hayati önem taşıyan bir yedekleme ve kurtarma planı da dahil olmak üzere operasyonel esneklik oluşturmak,” dedi Lattimer.
Rubrik EMEA CISO’su Richard Cassidy şunları ekledi: “Gibi grupların mali kaynaklarının sorgulanması gerekiyor. Kilit bitikapsam olarak, onları engellemekle görevli kolluk kuvvetleri ekiplerinden biraz daha geniştir. Kilit biti operasyonlarının başarısı sayesinde son derece iyi finanse edilmişler, yalnızca ABD kuruluşlarından yaklaşık 91 milyon dolar toplamışlar, bu nedenle yeniden gruplanıp yeni taktikler, teknikler ve prosedürler geliştirecek, kesintilere yol açan hatalardan ders alıp bunlara uyum sağlayacak ekonomik güce sahipler. Böylece gerektiğinde yaklaşımlarını yeniden keşfediyorlar.
“Kolluk kuvvetlerinin aksamasının bu döngüsel doğası ve bu fidye yazılımı gruplarının yeniden canlanması, siber suç ekosisteminde daha geniş bir soruna işaret ediyor. Temel olarak sorun, mali teşvikler, kripto para birimi işlemlerinin göreceli anonimliği ve ele alınamayan güvenlik açıklarının sonsuza dek keşfedilmesi gibi fidye yazılımı saldırılarının ardındaki etkenlerdir.
Cassidy, “O zamana kadar, kesinti ve yeniden dirilişten oluşan durulama-tekrar döngüsünün öngörülebilir gelecekte devam etmesini bekleyebiliriz” dedi.