Son derece aktif bir tehdit olarak kalmasına rağmen, perde arkası sorunlar ve çekişmeler de dahil olmak üzere bir dizi aksaklık, LockBit’in son aylarında sersemlemesine neden oldu ve operasyon, tehlikeye atılıp kapatılmadan çok önce aşağı doğru bir eğimde görünüyor. Trend Micro’daki araştırmacılara göre çok uluslu bir emniyet teşkilatı tarafından.
Trend Micro’nun araştırma ekibi, Cronos Operasyonu’nun lider kurumu olan Birleşik Krallık Ulusal Suç Teşkilatı (NCA) ile birlikte çalıştı; çetenin altyapısı ve dolabı parçalara ayrılırken ve kurumaya bırakılırken teknik yardım sağladı ve operasyona sınırsız erişimin keyfini çıkardı.
Trend, çetenin hizmet olarak fidye yazılımı (RaaS) öncülüğünden çok daha azaltılmış bir operasyona (yöneticilerinin bazı yer altı forumlarına girmesi bile yasaklanmıştı) kadar olan yolculuğunun, siber suç operasyonlarının karşılaştığı iç çekişmeler gibi zorlukların altını çizdiğini söyledi. teknik sorunlar ve itibar kaybı.
“Lockbit, şüphesiz dünya çapındaki en büyük ve en etkili Fidye Yazılımı operasyonu olsa da, bu kesintinin, tüm suç ortaklarının gelecekte kendileriyle herhangi bir ilişkilerini güçlü bir şekilde yeniden düşünmeleri gerektiğini ve bu ortakların bu organizasyonla ortaklık kurarken bunu açıkça ortaya koymasını umuyoruz. Trend Micro’nun ileri tehdit araştırması direktörü Bob McArdle, “kendileri artan kolluk kuvvetleri müdahalesi riskiyle karşı karşıyadır” dedi.
Güvenlik olayları
Geçtiğimiz birkaç gün boyunca, LockBit’in kendi operasyonel siber güvenliğine yönelik görünüşte biraz gevşek yaklaşımı hakkında bazı tartışmalar oldu – sonuçta yamalanmamış bir PHP güvenlik açığı yoluyla tehlikeye atılmış olması mümkündür – ve bu, grubun ilk kez saldırıya uğraması olmayacak. güvenlik sorunları.
Bir güvenlik uzmanının gözünde çetenin bazı sorunları içeriden gelen tehdit kategorisine giriyor; LockBit’in dağıtılmış ve yarı anonim yapısı ve bağlı kuruluşları ile operatörlerinin etkileşimi sayesinde bu neredeyse kaçınılmaz bir sorundu.
Düşüş dönemi, hoşnutsuz bir geliştiricinin çetenin dolabının bir yapısını sızdırdığı Eylül 2022’de başlamış gibi görünüyor. Bu olay, diğerlerinin kendi klonlarını geliştirmeleri ve kendi RaaS operasyonlarını bağımsız olarak başlatmaları için giriş engelini düşürdüğü ve LockBit’in sahip olduğu her türlü teknolojik avantajı ciddi şekilde engellediği için LockBit’in tahmin ettiğinden daha fazla etkisi oldu.
Bu olayın güvenlik sektörü üzerinde zincirleme etkileri oldu ve güvenlik sektörü birdenbire kendisini LockBit yüklerini kullanan bu tür diğer operasyonlarla uğraşırken veya kurbanlarına tamamen LockBit kılığına girerken buldu.
Böyle bir olayda, kendisine Spacecolon adını veren bir grup, kurbanlara LockBit ile pazarlık yaptıkları izlenimini veren e-posta adresleri ve URL’ler kullandı. Spacecolon kendisine çok benzer görünen bir sızıntı sitesi bile inşa etti.
LockBit’in operatörleri için sızıntı bundan daha kötü olamazdı; iç sorunların dışarıdakilere sinyalini vermek, operasyonel veya potansiyel bağlı kuruluşlar için endişe kaynağı olurdu ve diğer çeteler için de büyük ilgi uyandırırdı.
Trend Micro’nun araştırmacıları, “Bunun gibi bir sızıntının, bir güvenlik hatası olarak değerlendirilmesi gerekir” diye yazdı. “Eğer çekirdek yapıları sızdırılabilirse, o zaman bağlı kuruluşlar başka güvenlik endişelerinin olup olmadığını merak edebilirler. Bir yazılım şirketinde böyle bir olay, iç süreçlerin ve kontrollerin tamamen başarısızlığı veya daha kötüsü bunların yokluğu olarak görülecektir.”
Sızıntı aynı zamanda LockBitSupp adını kullanan ana sözcüsü de dahil olmak üzere operatörlerinin cesur bir yüz sergilemeye çalışmasına rağmen LockBit markasına da zarar vermiş olabilir. Çetenin çekirdek üyeleri muhtemelen bu noktada lider RaaS “tedarikçisi” olarak zorlukla kazandıkları konumlarını pekiştirmek ve güçlendirmek için şapkadan özel bir şey çıkarmaları gerektiğini fark ettiler.
Bunu yaptılar mı? Hayır. Trend Micro’nun görüşüne göre dolap kodunun gelişimi durağanlaştı. Belki de araştırmacılar, çetenin aslında kilit geliştiricilerinden birinden ayrıldığını öne sürdü.
Takip eden aylarda Trend Micro, çeşitli faktörlerin bir sonucu olarak çeteye olan güvende bir “dönüşüm” gözlemlediğini söyledi. Örneğin Nisan 2023’te grup, karanlık web sızıntı sitesine, bazıları uydurma verilere sahip sahte kurbanlarla ilgili bir dizi yeni gönderi ekledi. Elbette bunun dahili test sırasında yapılan bir hata olması mümkündür, ancak Trend Micro’ya göre aynı derecede makul bir senaryo da, gönderilerin hesapları karıştırma ve izleyicilere LockBit’in hala başarılı bir operasyon olduğu izlenimini verme girişimi olduğudur.
2023 yılı boyunca LockBit’in altyapısı daha istikrarsız hale geldi ve karanlık web sızıntı sitesini izleyenler sık sık erişilebilirlik ve kararlılık hataları gördü. Trend Micro ayrıca sızıntı sitesi aynalarıyla ilgili olarak bunlara erişmeye çalışırken tutarsızlıklar ve hatalı yönlendirmeler de dahil olmak üzere bazı olağandışı davranışlar da gördü.
Açıkça işler iyi gitmiyordu ve Eylül 2023’te LockBitSupp, bağlı kuruluşlar için asgari ödemeler ve sabit indirimler de dahil olmak üzere yeni kurallar uygulamayı ve ödemelerin kurbanın siber sigorta poliçesinin kapsadığı tutardan az olmamasını zorunlu kılmayı önerdi. Trend Micro, LockBit’in başarılı ödemelerde bir düşüş gördüğünü ve operasyonu rahatsız eden sorunların, ihtişamlı döneminde olduğu gibi çok sayıda yüksek vasıflı siber suçluyu bağlı kuruluş olarak çekemediği anlamına geldiğini öne sürdü.
Daha fazla inanmam
Araştırmacılar, “LockBit’in 2023 yılı boyunca sorunlar yaşadığı açık ve bunun, bağlı kuruluşları çekme veya elde tutma yetenekleri üzerinde olumsuz bir etkisi olması mantıklı” dedi.
Bunun çeşitli nedenleri var. Birincisi, bağlı kuruluşlar programa olan güvenlerini açıkça kaybediyorlardı ve LockBit’in operatörleri giderek daha tepkisiz görünüyordu. Diğerleri, fidye taleplerini standartlaştıran ve kazançlarını kısıtlayan yeni kuralların çok külfetli olduğunu düşünmüş olabilir; LockBit’in kalbinde bir beyin göçüne işaret eden dolabın yeni sürümlerindeki gecikme de diğerlerini kızdırabilirdi.
Daha yakın zamanlarda, LockBit operatörlerinin ALPHV/BlackCat ve NoEscape mürettebatına bağlı kuruluşlara benzer emniyet operasyonlarının ardından gelip LockBit’e katılmaları yönünde yaptığı çağrı, insanların yalnızca bir yıl önce kaydolmak için nasıl yaygara kopardığı dikkate alındığında “bir çaresizlik havası” taşıyordu.
Ocak 2024’ün sonunda, tanıtıcı michon’u kullanan bir kullanıcının – görünüşe göre bir ilk erişim komisyoncusu (IAB) – yeraltı XSS forumunda LockBitSupp’un erişim için ödeme yapmayı reddettiğini iddia eden bir tahkim başlığı açmasıyla işler doruğa ulaşmış gibi görünüyordu. Başarılı bir fidye yazılımı ödemesine yol açan bir şey sağlamışlardı.
Michon’un suçlayacak tek kişinin kendisi olduğu ortaya çıktı. Piyasada nispeten yeni oldukları için arzu ettikleri satış koşullarını tam olarak belirtmemişlerdi. Ancak konu giderek daha fazla gönderi çektikçe XSS sakinleri, savunmalarını reddederek LockBitSupp’a yönelmeye başladı. Sonuçta LockBitSupp’un fidye yazılımı ödemesinin %10’unu michon’a ödemesi sağlandı.
Konuyu inceleyen Trend Micro ekibi, LockBitSupp’un özellikle hakeme karşı kibirli ve küçümseyici bir tavırla karşılandığını ve muhtemelen kendi itibarlarını kendi ağırlıklarının üzerine çıkmak için kullanmaya çalıştığını söyledi. Bu tür davranışların daha önce botları için fazla büyük olan diğer RaaS operatörlerinde görüldüğünü belirttiler.
“Bu tahkime ilişkin LockBitSupp açısından olumlu bir gelişme yok. Ekip, kötü niyetli aktörün muhtemelen meslektaşlarını, potansiyel erişim tedarikçilerini ve bağlı kuruluşlarını yabancılaştırdığını söyledi.
Her durumda, LockBitSupp 30 Ocak’ta XSS’den yasaklandı ve “sökücü/dolandırıcı” olarak damgalandı. Aynı sıralarda Exploit forumundan da yasaklandılar.
Yeni dolap geliştirilme aşamasında
LockBit bu sorunlarla ilgili ne yapıyordu? Soruşturma sırasında Trend ekibi, mürettebatın hayatta kalma umudunu fidye yazılımı dolabının yeni bir sürümüne bağladığına dair kanıtlar buldu – Trend, bunu öncekilerden önemli ölçüde farklı, platformdan bağımsız bir kötü amaçlı yazılım olan LockBit-NG-Dev olarak adlandırdı. versiyonları.
Ekip, bu varyantın LockBit 4.0 sürümünün temelini oluşturduğuna inanıyor ve bu sürümün yayından kaldırılmasına rağmen hala üzerinde çalışılıyor olabilir.
LockBit-NG-Dev’deki önemli değişikliklerden bazıları şunlardır:
- Dağıtıldığında kötü amaçlı yazılımın platformlar arasında çalışmasına olanak tanıyan, CoreRT kullanılarak derlenen .NET koduna geçiş;
- .NET kod tabanı tamamen yenidir, bu da onu tespit etmek için yeni güvenlik modellerinin oluşturulması gerektiği anlamına gelir; bu, LockBit’in hayatta kalması durumunda savunucular için gelecekte yaşanabilecek bir sorun olabilir;
- LockBit, daha önce öne çıkan kendi kendine yayılma yeteneklerini kaldırmıştır ve LockBit-NG-Dev artık kurbanın yazıcıları aracılığıyla fidye notlarını yazdıramaz;
- Dolabının uygulama tarihinin artık bir geçerlilik süresi var ve Trend bunun, operatörlerin bağlı kuruluşlarının neler yaptığını dikkatli bir şekilde takip etmelerine ve otomatik siber analiz araçlarına meydan okumalarına yardımcı olmak için olduğundan şüpheleniyor.
Ancak bazı benzerlikler var. Örneğin, LockBit-NG-Dev hala yönlendirmeler, sonlandırılacak işlemler ve hizmet adları ve kaçınılması gereken dosyalar ve dizinler için bayraklar içeren bir yapılandırmaya sahiptir ve şifrelenmiş dosyaları rastgele yeniden adlandırma yeteneğini korur.
Hata yapmak için çok büyük?
“LockBit fidye yazılımının arkasındaki suç grubu, tüm operasyonları boyunca sürekli olarak en etkili fidye yazılımı grupları arasında yer alarak geçmişte başarılı olduğunu kanıtladı. Ancak son birkaç yılda bir takım lojistik, teknik ve itibar sorunları yaşamış gibi görünüyorlar” diye yazdı Trend Micro ekibi.
“Bu, LockBit’i, kötü amaçlı yazılımlarının çok beklenen yeni bir sürümü üzerinde çalışarak harekete geçmeye zorladı. Bununla birlikte, LockBit’in sağlam bir versiyonunun piyasaya sürülmesinde görülen gecikme ve devam eden teknik sorunlarla birlikte, bu grubun üst düzey bağlı kuruluşları çekme ve konumunu koruma yeteneğini ne kadar süre koruyacağı henüz bilinmiyor. Bu arada LockBit’in, bir organizasyonun başarısız olamayacak kadar büyük olduğu fikrini çürütecek bir sonraki büyük grup olmasını umuyoruz.”