Lockbit fidye yazılımı (RAAS) operasyonu 5 ay içinde yaklaşık 2,3 milyon dolar netleşti, bir Lockbit Affiliate panelinin Mayıs 2025 hackinden kaynaklanan veri sızıntısı ortaya çıktı.
Bu miktardan itibaren, operatörler% 20’lik kesintilerini (yaklaşık 456.000 USD) aldılar ve ayrıca panelden kayıtlı bağlı kuruluşlardan 10.000-11.000 $ USD “kazandılar”.
Trellix araştırmacıları, “Bu sızıntının gerçekte gösterdiği şey, yasadışı fidye yazılımı faaliyetlerinin karmaşık ve nihayetinde daha az göz alıcı gerçekliğidir. Kârlı olsa da, dünyanın olduğuna inanmasını istedikleri mükemmel düzenlenmiş, büyük kazançlı operasyondan çok uzak” dedi.
(ABD DOJ daha önce Lockbitsupp’ın Lockbit kıyafetinin lideri – 2019 ve 2024 yılları arasında 100 milyon dolar civarında “kazanılmış” olduğunu tahmin ediyordu).
Halatlarda Lockbit?
Bir zamanlar Lockbit, en aktif ve iyi bilinen Raas operasyonu arasındaydı, ancak grubun “Lite” iştirak panelinin Mayıs 2025 uzlaşması, kıyafetin bir dizi darbesinde sonuncuydu.
2024’ün başlarında, kolluk grubun altyapısını, sızıntı alanını, şifre çözme anahtarlarını, dondurulmuş kripto para hesaplarını kurtardı ve şüpheli iştiraklerinden bazılarını tutukladı. Mayıs ayında İngiltere, ABD ve Avustralya kolluk kuvvetleri, Lockbitsupp’ın kimliğinin iddia edildiği ve üç ülke tarafından kendisine yaptırımlar uygulandığını açıkladı.
Ekim ayında, daha fazla Lockbit iştiraki tutuklandı ve belirlendi ve Aralık ayında ABD Adalet Bakanlığı, Lockbit Fidye Yazılım Grubu için bir geliştirici olduğundan şüphelenilen ikili bir Rus ve İsrail vatandaşına karşı suçlamalar yaptı.
Lockbit veri sızıntısından bilgiler
Trellix araştırmacılarının Lockbit’in “Lite” iştirakleri yönetici panelinin arkasındaki veritabanından geldiğine inandıkları veri sızıntısı, 18 Aralık 2024 – 29 Nisan 2025 arasındaki verileri kapsar ve Lockbit Fidye Yazılımı İştirakleri, Mağdur Kuruluşları, Sohbet Logları, Kriptourrens Cüzdanları ve Fidye Yazılımı Yapı Yapımları hakkında ayrıntılar içerir.
Verilerle ilgili analizleri şunları ortaya koydu:
- Lockbit kıyafeti görünüşe göre fidye yazılımının yeni bir sürümü üzerinde çalışıyor (Lockbit 5.0), ancak henüz yayınlanmadı
- Sızan müzakere sohbetleri, iştiraklerin çoğunun hedef kuruluşları fidye ödemeye ikna etmede çok başarılı olmadığına işaret ediyor. Ayrıca, fidye miktarları çok büyük değil – çoğunlukla 2.000 ila 40.000 USD arasında, bir göze çarpan istisna: Tek bir bağlı kuruluş bir İsviçre yazılımından/BT firmasından 2 milyon dolar aldı
- İştirakçiler imalat, tüketici hizmetleri, finans, yazılım/BT ve devlet sektörlerindeki kuruluşları hedeflemeyi tercih ediyor
- Bazı bağlı kuruluşlar, belirli ülkelerdeki ve/veya belirli sektörlerdeki organizasyonlara vurma konusunda uzmanlaşmış gibi görünmektedir.
Araştırmacılar, “Lockbit’in Aralık 2024’ten Nisan 2025’e kadar olan coğrafi hedeflemesi analizimiz Çin’i en ağır hedeflenen ülke olarak ortaya koyuyor” dedi.
“Çin’deki saldırıların yoğunlaşması, muhtemelen büyük sanayi üssü ve imalat sektörü nedeniyle bu pazara önemli bir odaklanmayı önermektedir. Blackbasta ve Conti Raas gruplarının aksine, zaman zaman onları şifrelemeden araştıran, Lockbit, Çin sınırları içinde çalışmaya ve yaklaşımlarında ilginç bir farklılık göstermeye istekli görünmektedir.”
Lockbit Reklamlar ‘(yani, iştirakler’) Mağdurlar Ülkeye Göre (Kaynak: Trellix)
ABD ve Tayvan’daki kuruluşlar da popüler hedeflerdir. İkincisi, “bölgenin ağları hakkında uzmanlaşmış bilgiye veya sömürülen belirli güvenlik açıklarına sahip olabilecek bir bağlı kuruluşun (“ Christopher ”tarafından giden) özel bir favorisidir.
Lockbit’in Rus hedefleri
İlginç bir şekilde, bağlı kuruluşlardan ikisi iki Rus hükümet kuruluşunu şifreledi: Moskova Köprü İnşaatları Bölümü ve Chebarcul Belediyesi.
Rus ve CIS ülkelerindeki kuruluşlar genellikle Rus merkezli siber suçlular tarafından sınır dışı olarak kabul edilir, ancak bağlı kuruluşlar bu çizgiyi ayak parmaklarına dikkat etmeyebilir.
Her iki durumda da, Lockbitsupp özür diledi, bağlı kuruluşları/rakipleri/FBI’ı saldırı için suçladı ve şifrelemeleri ücretsiz sağladı, ancak görünüşe göre işe yaramadılar.
“Bu, Lockbit fidye yazılımı Rus varlıklarına saldırmak için ilk kez kullanılmadı. Ocak 2024’te Lockbit Imposters’ın bir Rus güvenlik şirketine, A-Security’ye saldırdığı Lockbit, rakiplerinin Lockbit’i taklit etmek ve Ransomware programlarına itibaren hasar vermek için sızdırılmış bir inşaatçı kullandığını belirtti.”
Daha yakın zamanlarda, Darkgaboon APT Grubu hakkında Pozitif Teknolojiler Rus şirketlerine karşı Lockbit 3.0 fidye yazılımından yararlandığını bildirdi. Bu versiyon 2022’de sızdırıldı ve görünüşte Lockbit Raas’a bağlı olmayan bir dizi siber suç tarafından kullanıldı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!