LockBit, 2019’un sonunda ortaya çıktı ve kendisine ilk olarak “ABCD fidye yazılımı” adını verdi. O zamandan beri hızla büyüdü. Grup, bir “hizmet olarak fidye yazılımı” operasyonudur, yani çekirdek bir ekip kendi kötü amaçlı yazılımını oluşturur ve kodunu saldırı başlatan “bağlı kuruluşlara” lisanslarken web sitesini çalıştırır.
Tipik olarak, hizmet olarak fidye yazılımı grupları bir işletmeye başarılı bir şekilde saldırıp ödeme aldıklarında, kârlarının bir kısmını bağlı kuruluşlarla paylaşırlar. LockBit söz konusu olduğunda, Malwarebytes’in tehdit istihbaratı kıdemli yöneticisi Jérôme Segura, ortaklık modelinin tepetaklak olduğunu söylüyor. Bağlı kuruluşlar, doğrudan kurbanlarından ödeme alır ve ardından çekirdek LockBit ekibine bir ücret öder. Yapı görünüşte iyi çalışıyor ve LockBit için güvenilir. Segura, “Bağlı kuruluş modeli gerçekten iyi hazırlanmıştı” diyor.
Araştırmacılar, son on yılda her türden siber suçlunun operasyonlarını profesyonelleştirdiğini ve düzene soktuğunu defalarca görmüş olsa da, birçok önde gelen ve üretken fidye yazılımı grubu, kötü şöhret kazanmak ve kurbanların gözünü korkutmak için gösterişli ve öngörülemeyen kamu görevlilerini benimsiyor. Buna karşılık, LockBit nispeten tutarlı, odaklanmış ve düzenli olarak bilinir.
Antivirüs şirketi Emsisoft’ta tehdit analisti olan Brett Callow, “Bütün gruplar arasında, muhtemelen en iş odaklı olduklarını düşünüyorum ve uzun ömürlü olmalarının bir nedeni de bu,” diyor. “Ancak sitelerinde çok sayıda kurban yayınlamaları, bazılarının iddia ettiği gibi, en üretken fidye yazılımı grubu oldukları anlamına gelmiyor. Yine de, muhtemelen bu şekilde tanımlanmaktan oldukça memnunlar. Bu, yeni üyelerin işe alınması için iyi bir şey.”
Yine de grup kesinlikle abartılı değil. LockBit, karı en üst düzeye çıkarmak için hem teknik hem de lojistik yeniliklere yatırım yapıyor gibi görünüyor. Örneğin, güvenlik şirketi Sophos’ta olaylara müdahale müdürü Peter Mackenzie, grubun kurbanlarını fidye ödemeye zorlamak için yeni yöntemler denediğini söylüyor.
Mackenzie, “Farklı ödeme yöntemleri var” diyor. Mackenzie, “Verilerinizin silinmesi için ödeme yapabilir, erken yayınlanması için ödeme yapabilir, son teslim tarihini uzatmak için ödeme yapabilirsiniz” diyor ve LockBit’in ödeme seçeneklerini herkese açtığını ekliyor. Bu, en azından teorik olarak, rakip bir şirketin bir fidye yazılımı kurbanının verilerini satın almasıyla sonuçlanabilir. Mackenzie, “Mağdurun bakış açısına göre, bu onlar üzerinde ekstra bir baskı oluşturuyor ve bu da insanların ödeme yapmasına yardımcı oluyor” diyor.
LockBit kullanıma sunulduğundan beri yaratıcıları, kötü amaçlı yazılımını geliştirmek için önemli ölçüde zaman ve çaba harcadı. Grup, kod için iki büyük güncelleme yayınladı: 2021’in ortalarında piyasaya sürülen LockBit 2.0 ve Haziran 2022’de piyasaya sürülen LockBit 3.0. İki sürüm, sırasıyla LockBit Red ve LockBit Black olarak da bilinir. Araştırmacılar, teknik evrimin LockBit’in bağlı kuruluşlarla çalışma biçimindeki değişikliklere paralel olduğunu söylüyor. LockBit Black’in piyasaya sürülmesinden önce grup, en fazla 25 ila 50 üyeden oluşan özel bir grupla çalıştı. Ancak 3.0 sürümünden bu yana çete önemli ölçüde açıldı, bu da dahil olan bağlı kuruluşların sayısını takip etmeyi zorlaştırdı ve ayrıca LockBit’in kollektif üzerinde kontrol uygulamasını zorlaştırdı.