Bugün faaliyet gösteren en üretken fidye yazılımı çetelerinden biri olan Lockbit, geçen hafta iç operasyonlarını netlikle ortaya çıkardı. Tor ağındaki bir soğan sitesi aracılığıyla kısaca erişilebilir hale getirilen sızdırılan dosyalar, araştırmacılara ve güvenlik uzmanlarına Lockbit’in Hizmet Olarak Fidye Yazılımı (RAAS) operasyonunu nasıl çalıştırdığına dair nadir bir bakış sundu.
İhlal, Lockbit’in altyapısına erişimi, açık sohbet günlükleri, fidye yazılımı oluşturma kayıtları, yapılandırma dosyaları, bitcoin cüzdan adresleri ve bağlı kuruluş tanımlayıcılarından kaynaklandığına inanıyordu. Fidye yazılımı grupları genellikle spot ışığının kontrolünde olsa da, bu sefer analizin kendisi konusu haline geldiler.
OnTinue’nin bir Güvenlik Operasyon Merkezi analisti olan Rhys Downing, sızdırılan verilerin derinlemesine gözden geçirilmesine öncülük etti. Çalışmaları, saldırganların nasıl yük oluşturma, fidye taleplerini tahmin etmesi ve müzakereler yapmayı da içeren Lockbit’in bağlı kuruluş programının operasyonel yöntemlerini detaylandırıyor.
Downing’in analizi aynı zamanda Lockbit’in ekosisteminin yapılandırılmış doğasını ortaya çıkarır ve grubun altyapısını yıkar ve bu suç ağının nasıl organize olduğunu ortaya çıkarır.
Satış Ortaklığı Programı: Hedefler, Fiyatlar ve Taktikler
Sızan verilerin en önemli parçalarından biri, Lockbit bağlı kuruluşlar tarafından oluşturulan her fidye yazılımı yükünü kaydeden dahili olarak “derleme” olarak bilinen bir tablodur. Her kayıt, bağlı kuruluş kimliği, kamu ve özel şifreleme anahtarları, hedeflenen şirket referansları ve ilan edilen fidye talepleri gibi ayrıntıları içerir.
Bu tahminler, yükleri piyasaya sürmeden önce saldırganların kendileri tarafından manuel olarak girildi, fiyatlandırma stratejilerine ve hedef seçimlerine ilişkin bilgiler ortaya koydu. Bazı fidye talepleri abartıldı, “303kkk” (303 milyon dolar) gibi girişler test verileri gibi görünüyor, ancak diğerleri daha hesaplanmış bir yaklaşım gösterdi. Örneğin, bir bağlı kuruluş, 168 milyon doların üzerinde birleştirilmiş bir değeri ile dört yapıyı günlüğe kaydetti.
Düşük ödeme oranı
Yüzlerce fidye yazılımı yapısına ve agresif fidye taleplerine rağmen, 246 kurbanın sadece 7’si ödeme yapmış olarak kaydedildi. Ve ilginç bir şekilde, hiçbiri bir şifre çözme aracı almanın onayını göstermedi. Verilerin eksik olduğu veya birisi onu amaçlı bıraktığı için bunun olup olmadığı belirsizliğini koruyor.
Rakamlar, kurbanların çoğunun ödemediği bir şeyi netleştirir ve daha azı karşılığında daha az şey görür. Bu, eğitim teknolojisi şirketinin, daha fazla serpinti önlemek için siber suçlulara açıklanmayan bir fidye ödediği son Powerschool veri ihlali ile uyumludur.
Lockbit’e gelince, sızdırılan veritabanı, bağlı kuruluşlara ücretli komisyonları işaretleyen alanın, vakaların sadece% 2.8’inde sıfırdan daha yüksek olduğunu gösterdi. Ancak bu bile fidye ödemesinin kesin kanıtı değildir.
Sohbet günlükleri insan, düşmanca bir tarafı ortaya çıkarır
OnTinue tehdit raporuna göre, Lockbit bağlı kuruluşları ve kurbanlar arasındaki 4.000’den fazla sohbet transkripti de sızdırıldı. Bu mesajlar hesaplanmış basınç, duygusal manipülasyon ve açıkça tehditlerin bir karışımını göstermektedir. Bazı durumlarda, bağlı kuruluşlar merhamet için memnuniyet duydular ve uyarı yapmadan fidye fiyatlarını iki katına çıkardılar.
Bir bağlı kuruluş, küçük bir firma olduğunu iddia eden bir şirkete cevap verdi: “Your size is irrelevant. Your data is valuable.”
Başka bir konuşma, tuhaf bir işe alım sahasında Lockbit’in ortaklık programını tanıtan bir mesaj içeriyordu: “Want a Lamborghini, a Ferrari and lots of ti**y girls? Sign up and start your pentester billionaire journey in 5 minutes with us.”
Bu konuşmalar, Lockbit’in iştiraklerinin bilgisayar korsanlarından/siber suçlulardan daha saldırgan satış temsilcileri gibi davrandığını göstermektedir. Taktikler, psikolojik baskıdan kolluk kuvvetleri veya sigorta sağlayıcılarını içeren uyarılara kadar değişmektedir.
Profesyonel bir suç işletmesi
Verilerde dikkat çekici olan şey organizasyon seviyesidir. Lockbit, modüler yük oluşturucular, bağlı kuruluş panoları ve güçlü bir arka uç altyapısı kullanır. İştirakler, dosyaların şifrelemesinin kullanımdan sonra kendini silmeye olup olmadığına kadar her şeyi kontrol etmek için yapı yapılandırmalarını ayarlayabilir.
Hatta soğan alanlarından birinde bir böcek ödül programı yayınladılar ve altyapılarında bulunan güvenlik açıkları için ödüller sundular.
Kolluk kuvvetleri
İhlal, geçmiş bir kolluk eylemiyle de yeniden bağlandı. İngiltere’nin Ulusal Suç Ajansı ve diğerleri tarafından yönetilen bir kampanya olan Cronos Operasyonu, daha önce Lockbit’in operasyonlarıyla bağlantılı kullanıcı adlarına maruz kaldı. Bu kullanıcı adlarının birçoğu, yük verilerinde bulunan eşleşen bu yeni sızıntıda doğrulandı.
Dikkate değer kullanıcılar dahil:
- En fazla sayıda üretilen yüke sahip Ashlin
- Diğer yüksek hacimli operatörler olarak Rich, Melville ve Merrick
Bu bağlantı ayrıca, çetenin ana ekibinin ve üst düzey iştiraklerin geçmiş yayından kaldırma çabalarından sonra bile tutarlı kaldığını doğrulamaktadır.
Basitçe söylemek gerekirse, OnTinue’den veri ihlali analizi, kilitbitin bir franchise gibi çalıştığı gibi birkaç şeyi netleştirir. Kötü amaçlı yazılım sağlarlar, bağlı kuruluşlar saldırıları yapar ve herkes fidye kesilir.
Bu sızıntı, birçok bağlı kuruluşun saldırılarını satış çağrıları, beklenen getirileri günlüğe kaydetme, müzakereleri yönetme ve kurbanları baskı altına almak için yapılandırılmış adımları takip ettiğini göstermektedir. Ancak tıpkı bir şey satmak için başarısız bir girişim gibi, bu girişimlerin çoğu düz düşüyor gibi görünüyor.
Qualys’teki güvenlik açığı araştırmalarının yöneticisi Saeed Abbasi’ye göre, ihlal savunucular için değerli bir zeka kaynağıdır. “Güvenlik ekiplerinin hangi sistemlerin Lockbit’in hedeflediğini ve bağlı kuruluşların nasıl özelleştirilmiş yüklerin olduğunu anlayarak, yamalamaya daha iyi öncelik verebilir, gözden kaçan sistemleri sertleştirebilir ve temel erişim kontrollerini iyileştirebilir” dedi.
Lockbit’in Tor kullanımı, sonlarında kilit bir savunma olmaya devam ederek sitelerinin yıkılmasını zorlaştırıyor. Bununla birlikte, sızıntı, hiçbir sistemin, siber suçlular tarafından çalıştırılan bir sistemin gerçekten güvenli olmadığını göstermektedir.
Lockbit ihlali, dünya çapında işletmeleri etkileyen bir fidye yazılımı işlemindeki perdeyi geri çekti. Güvenlik uzmanlarının yıllarca şüphelendiğini doğrular, fidye yazılımı grupları işletmeler gibi işlev görür, katılımcı, altyapı yönetimi ve finansal planlama ile tamamlanır.