Lockbit fidye yazılım grubunun altyapısının yakın zamanda ihlali, grubun operasyonları hakkında önemli zeka ortaya çıkaran dahili bir veritabanının sızmasına neden oldu.
Cyble, sızdırılan veritabanını bu hafta müşterilere gönderilen bir danışmanda analiz etti ve fidye ödemeleri, sömürülen güvenlik açıkları ve fidye yazılımı grubunun yapısı hakkında ilginç ayrıntılar ortaya koydu.
7 Mayıs’ta, kimliği belirsiz bir aktör Lockbit’in altyapısını tehlikeye attı ve grubun karanlık web ortağı panellerini şu mesajla tahrif etti: “Suç yapma suçu Prag’dan kötü xoxo.” Saldırgan ayrıca, Lockbit’in 19 Aralık’tan veri dökümü tarihine kadar Hizmet Olarak Fidye Yazılımı (RAAS) operasyonları hakkında kapsamlı ayrıntılar ortaya çıkaran 29 Nisan’da dumped olan eksiksiz bir veritabanı yayınladı.
Lockbit, bir dizi kolluk eylemi Şubat 2024’ten başlayarak grubu önemli ölçüde yavaşlatana kadar en aktif fidye yazılımı grubuydu, bu nedenle grubun iç işleyişini detaylandıran sızan veritabanı geri dönüş planlarını daha da karmaşıklaştıracak.
Lockbit Sızıntı Açıkta kalan İştirakler, Sohbet Günlükleri, Hedefler
Sızıntı, toplam 75 Lockbit Affiliate hesabı, 246 kurban organizasyonu sohbet günlükleri ve Cyble’ın belirli alanlar için üretilen özel fidye yazılımı üreticilerinden çıkardığı yaklaşık 600 potansiyel hedefe maruz kaldı. Sızıntıda ayrıca iletişim günlükleri, kripto para birimi işlem kayıtları ve bağlı kuruluşa özgü bağlantıları da içeriyordu.
Cyble, “Veritabanı, yönetim panelleri, bağlı kuruluş programları, kurban yönetim sistemi ve fidye müzakere platformu da dahil olmak üzere Lockbit fidye yazılımı işleminin iç işleyişine benzeri görülmemiş bir görünürlük sağlıyor” dedi.
Veritabanındaki 21 tablodan biri olan ‘Kullanıcılar’ tablosu, giriş bilgileri, şifrelenmemiş şifreler, izin seviyeleri, kayıt tarihleri ve iletişim tanımlayıcıları içeren Lockbit bağlı kuruluşlarının ve operatörlerinin 75 kaydı içerir.
‘Davetler’ Tablosu (3.693 kayıt), davet kodları ve kripto para birimi cüzdanı adresleri de dahil olmak üzere hedeflenen kuruluşlara gönderilen tehdit davetlerini belgelemektedir.
‘Müşteriler’ tablosu, şifreleme durumu, fidye ödeme durumu ve müzakere kayıtları dahil olmak üzere mağdur kuruluşların 246 kaydı içerir. 239 kuruluş platforma giriş yaptı ve 208 sohbette etkileşime girdi.
Veritabanı “ilk kurban profilinin tutarlı bir modelini ortaya çıkarıyor” dedi Cyble. Saldırı yürütmeden önce Company_Website ve Gelir Alanları ile Kayıtlar Oluştur. Özel fidye yazılımı yapıları, şirkete özgü yapılandırmalar ve benzersiz şifreleme anahtarları ile oluşturulur.
‘Ziyaretler’ tablosu (2.398 kayıt) kurban portal faaliyetlerini ve fidye taleplerine katılmayı izler. Aynı Müşteri-ID’si için birden fazla ziyaret, kurban katılımının kalıplarını gösterir ve genellikle yakın ödeme son tarihlerini yoğunlaştırır.
Cyble, hızlı ödeme için% 10-20 indirim sağlandığını ve ödemelerin sadece BTC ve Monero’da kabul edildiğini söyledi. Rusya merkezli kurbanlar için ücretsiz bir şifreleme sağlandı.
Fidye ödeme oranı% 10’un altında olabilir
Sadece 18 sohbet günlüğü, fidye ödemesini gösteren bilgileri içeriyordu ve Cyble, toplam mağdur sayısına göre yaklaşık% 8,6’lık bir ödeme oranı önerdi. Bu sohbet günlüklerinden sadece iki ödeme 100.000 doları aşarken, yedisi 10.000 € ‘nun altındaydı. Cyble, geri kalan dokuz ödeme bu iki miktar arasında düştü.
Sızıntıda tanımlanan Lockbit iştiraklerine ait yaklaşık 60.000 Bitcoin cüzdan adresi, hedeflenen kuruluşlardan fidye ödemeleri almak için kullanılmış olabilir. Kayıtlar, ödeme durumu ve Ortaklık Komisyonu dağıtımıyla ilgili ayrıntıları içerir.
Sızıntı, Lockbit’in şifrelenmiş verileri aşamalı bir şekilde şifresini çözdüğünü, çünkü “Decrypt_Done”, “Decrypt_2_Done”, “DeRrypt_3_Done”, fidye koleksiyonunu en üst düzeye çıkaracak kayıtlar olduğunu gösteriyor.
Verilerde diğer fidye yazılımı grubu iştirakleriyle bağlantılar da açıklandı. Yakın zamanda kapatıldığını ve markasının aktarıldığını duyuran Hellcat Grubu, 15 Ocak’tan beri Lockbit’e bağlı kaldı ve sohbetler, RansomHub’ın bağlı kuruluşlarının RansomHub’ın geleceği üzerindeki belirsizliğe bağlı olarak Lockbit grubuna katıldığını ortaya koydu.
Sömürülen olası güvenlik açıkları
Sohbet borsalarından birinde, bir Lockbit üyesi bir kurbanın ağına erişimin FortivPN’deki bir güvenlik açığı yoluyla elde edildiğini doğruladı, ancak güvenlik açığının kesin doğası türetilemedi.
Bir kurbanla sohbet değişiminde, bir Lockbit bağlı kuruluşu, kurbanın saldırı göstergeleri hakkındaki sorgusuna yanıt verdi ve zayıf şifreler, maruz kalan yönetici hesapları, açık bağlantı noktaları ve eksik yedekler de dahil olmak üzere çeşitli alan güvenliği sorunlarından yararlandı.
Cyble, 73 benzersiz işleyici profilinin ve açıkta kalan iletişim bilgilerinin analizinin, tehdit aktörleri tarafından yeraltı forumlarında kullanılan potansiyel takma adları ortaya çıkardığını söyledi.
XSS’de bir aktör, ilk erişim brokerlerine (IAB) ilgiyi ve Fortios’ta CVE-2024-55591’in sömürülmesini ifade eden görüldü. Diğer önemli etkinlikler arasında EDR kaçırma, kimlik avı araç setleri, pas tabanlı çalkalananlar ve .msc dosyaları gibi dağıtım mekanizmalarına açık bir odaklanma yer alıyor. Aktör ayrıca Shodan ve Acunetix gibi keşif araçlarının kullanımını gösterdi ve uygulamalı bir operasyonel profil önerdi.
Son forum etkinliği, bir aktörün kurumsal erişim edinme ve CVE-2024-3400 gibi güvenlik açıklarına olan ilgisini gösterdi. Aktör tarafından önemli olan diğer etkinlikler arasında reklam pentest hizmetleri, WAF veya Cloudflare korumasının arkasındaki IP’leri tanımlama ve CVE-2023-3824 ve CVE-2024-6387’nin sömürülmesinin “erişim kolaylığı ve sömürülmesi üzerine odaklanan teknik olarak yetenekli bir aktöre işaret etme” yer alıyor.
Sızan Lockbit veritabanı, en aktif fidye yazılımı gruplarının listesi değişse bile, bir sonraki lidere katılmaya hazır teknik olarak yetenekli bağlı kuruluşların sıkıntısı olmadığını göstermektedir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.