Pazartesi öğleden sonra, LockBit’in sızıntı sitesi kolluk kuvvetleri koalisyonu tarafından ele geçirildi ve bugün saat 11:30 GMT’de daha fazla ayrıntı vaat eden bir el koyma bildirimi gösteriyor.
Bildiride, “Bu site artık Birleşik Krallık Ulusal Suç Teşkilatı’nın kontrolü altında olup, FBI ve uluslararası emniyet teşkilatı ‘Cronos Operasyonu’ ile yakın işbirliği içinde çalışmaktadır” deniyor.
“Lockbit’in hizmetlerinin Uluslararası Kanun Yaptırımlarının eylemi sonucunda kesintiye uğradığını doğrulayabiliriz – bu devam eden ve gelişen bir operasyondur.”
Eşzamanlı, VX-underground’a göreLockBit paneline erişen LockBit üyesi, Cronos Operasyonu görev gücünden gelen başka bir mesajla karşı karşıya:
“Kolluk Kuvvetleri Lockbit platformunun kontrolünü ele geçirdi ve orada tutulan tüm bilgileri ele geçirdi. Bu bilgiler Lockbit grubu ve sizinle ve onların bağlı kuruluşlarıyla ilgilidir. Elimizde kaynak kodu, saldırdığınız kurbanların ayrıntıları, gasp edilen para miktarı, çalınan veriler, sohbetler ve çok daha fazlası var. Bu durum için Lockbitsupp’a ve kusurlu altyapılarına teşekkür edebilirsiniz. Çok yakında sizinle iletişime geçebiliriz.”
Eylem, ALPHV/Blackcat fidye yazılımı çetesinin sitelerini engellemek için benzer bir kolluk kuvveti eyleminin yürütülmesinden iki ay sonra gerçekleşti. O zamanlar FBI kurbanların kullanması için bir şifre çözücü yayınladı.
Düştü ama muhtemelen dışarı çıkmayacak
Closed Door Security CEO’su William Wright, LockBit’in şimdiye kadar var olan en üretken fidye yazılımı çetesi olduğunu ve Royal Mail de dahil olmak üzere yüzlerce işletmeye yönelik yıkıcı saldırılardan sorumlu olduğunu söylüyor. bu bozulmada yoğun bir şekilde yer alıyor.
“LockBit yalnızca operatörleri tarafından saldırılar gerçekleştirmekle kalmadı, aynı zamanda saldırıları başlatmak için bağlı kuruluşları tarafından kiralanabilecek bir hizmet olarak fidye yazılımı (RaaS) altyapısı da çalıştırdı. Fidye yazılımı sektörünün günümüzdeki büyümesinden büyük ölçüde LockBit’in sorumlu olduğu söylenebilir. Bağlı kuruluşları, şüphesiz birçok suçlunun fidye yazılımını tercih ettiği saldırı haline getiren ve diğerlerini de sektöre çeken saldırılardan büyük mali getiri elde etti” diye ekledi.
“Bu yayından kaldırma işlemine ilişkin tek uyarı, bunun LockBit’in mutlak ölümü anlamına gelmeyebileceğidir. Saldırganlar, DarkSide’dan BlackMatter’a, BlackCat’e ve diğer pek çok örnekte gördüğümüz gibi, yeni markalama altında yeniden ortaya çıkabilir.”
Socura CEO’su Andy Kays, LockBit’in kaldırılmasının birden fazla ülke ve devlet kurumunun özel eylemini gerektirdiğini belirtti; bu da görevin ölçeğini, önemini ve karmaşıklığını vurguluyor.
“Bu kurumların ancak kendilerini sert bir şekilde vurabileceklerini kesin olarak bildiklerinde harekete geçmelerini bekliyorum. Ancak grup hala yedek sunuculara sahip olduklarını savunuyor. Bu aşamada, böyle bir kampanyanın bir grubu tamamen devre dışı bırakıp bırakmayacağını bilmek her zaman son derece zordur. Bu her zaman kişilerin nerede ikamet ettiklerine ve yetkililer tarafından tanınıp tanınmadıklarına bağlıdır. Aynı bireylerin yeniden ortaya çıkıp yeniden gruplanabildiğini defalarca gördük.”
Picus Security güvenlik araştırmacısı Hüseyin Can Yüceel, fidye yazılımı gruplarının sıklıkla halka açık güvenlik açıklarından yararlandığına ve Cronos Operasyonunun LockBit operatörlerine kendi ilaçlarını tattırdığına dikkat çekti.
Help Net Security’ye şunları söyledi: “LockBit yöneticilerine göre kolluk kuvvetleri, LockBit’in halka açık sunucularını tehlikeye atmak ve LockBit kaynak koduna, dahili sohbete, kurban ayrıntılarına ve çalınan verilere erişim sağlamak için PHP CVE-2023-3824 güvenlik açığından yararlandı.” .
“LockBit grubu, yedekleme sunucularına dokunulmadığını iddia etse de, tekrar çevrimiçi olup olmayacakları belli değil. Şu anda LockBit çalışanları LockBit hizmetlerinde oturum açamıyor. Bir Tox mesajında, düşmanlar ortaklarına yeniden inşa sonrasında yeni bir sızıntı sitesi yayınlayacaklarını söylediler.”