Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Veritabanı Sızıntısı, yeni şanslar alarak fidye yazılımı grubunu gösterebilir
Akhabokan Akan (Athokan_akhsha) •
12 Haziran 2025
Kuşatılmış fidye yazılımları işlevi operasyonu Lockbit’in iştirakleri Çin hedeflerine yöneldi, son zamanlarda grubun yönetici panelinden sızan verilerin analizini sonlandırdı.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Mayıs ayında bilinmeyen bir hacker, “Suç yapma. Suç kötü. Prag’dan Xoxo” mesajıyla Lockbit Sızıntı Sitesini tahrif etti. Hacker ayrıca 18 Aralık 2024’ten 29 Nisan’a kadar yönetici etkinliğini kapsayan bir veritabanı sızdırdı (bkz:: Hacker sızıntıları çalınan kilitbit fidye yazılımı işlem veritabanı).
Tehdit istihbarat firması Trellix Perşembe raporunda, sızdırılan verilerin de sonuçlandığı gibi, sızdırılan verilerin gerçek olduğunu ve sızdırılan verilerin eksik göründüğünü belirterek yüksek güvenle değerlendirildiğini söylüyor.
Trellix raporu, sızıntı, Lockbit bağlı kuruluşlarının Çin merkezli hedeflerin çoğunluğu olan 156 kuruluşu hedeflediğini gösteriyor. Sızıntı, bağlı kuruluşlar ve bitcoin cüzdan adreslerinin detayları arasındaki iletişim dahil olmak üzere 7.5 megabayt veri içeriyordu.
Trellix, “Lockbit, Çin sınırları içinde faaliyet göstermeye ve potansiyel siyasi sonuçları göz ardı etmeye istekli görünüyor, yaklaşımlarında ilginç bir farklılık gösteriyor.”
Trellix’teki tehdit istihbarat başkanı John Fokker, bilgi güvenliği medyası grubuna Çin hedeflerine olan lockbit saldırılarının güdüsünün bölünmesinin zor olmaya devam ettiğini, ancak bir zamanlar yüksek uçan grubun alakalı kalmaya çalışabileceğini söyledi.
Lockbit’in zor bir 2024’ü olduğunu söylemek yetersiz kalır. O Şubat ayında, İngiltere’nin Ulusal Suç Ajansı tarafından yönetilen uluslararası bir operasyon, grubun veri sızıntı sitesi de dahil olmak üzere 35 Lockbit sunucusunu ele geçirdi. Mayıs ayında yetkililer, Lockbit’in halka açık yüzü olan “Lockbitsupp” kimliğini, ardından Ekim ayında şüpheli altyapı sağlayıcısının tutuklanmasını ve daha sonra iddia edilen bir geliştiricinin yakalandığını ortaya çıkardı (bkz: bkz: Lockbit ve Evil Corp Anti-Whare Whare Baskını Hedefli).
Londra’daki yeni bir siber güvenlik konferansında konuşan İngiltere kolluk kuvvetleri, Cronos Operasyonu kodlu Lockbit Baskının, Rus siber suç forumlarını bozduğunu, bilgisayar korsanları arasında parçalanmaya ve güvensizliğe neden olduğunu söyledi (bakınız: Lockbit Baskı Parçalanmış Rus siber suç grupları).
Rusya’dan faaliyet gösteren birçok siber suç grubunun zorluğuyla karşı karşıya kalan Batı kolluk kuvvetleri, suç iş modellerini ve ilgili oyuncuları istikrarsızlaştırmaya odaklanmıştır. Trellix’in Fokker’i, bu tür çabalar sayesinde, “Lockbit artık tahtta bir zamanlar” pazar payı açısından “pazar payı açısından” ve yukarıdan aşağıya kontrol ile sonuçlandı.
Bu, Lockbit’in Çin örgütlerini hedefleyen şemsiyesi altındaki hack saldırılarındaki artışı açıklayabilir. Analyst1’de bir fidye yazılımı siber suç araştırmacısı olan Anastasia Sentsova, bu saldırıların, bazı ülkeleri hedef olarak önlemek gibi daha deneyimli hackerların takip edeceği normları göz ardı edeceği daha deneyimsiz, düşük seviyeli bağlı kuruluşlara dayanan grubun izlediğini söyledi.
Sentsova, “Düşük seviyeli bağlı kuruluşlarda böyle bir artış, lockbit markasına verilen hasar nedeniyle yüksek profilli bağlı kuruluşları uzaklaştıran kolluk kuvvetlerinden gelen büyük geri dönüşle açıklanabilir.” Dedi.
Kolluk kuvvetleri, Lockbit’in geçen Aralık ayında 777 dolarlık bir kayıt ücreti ödemek isteyen herkese “Lite” bağlı kuruluş programı açmasına neden oldu. Lockbit operasyonu, kayıt ücretlerinden aylık 100.000 dolar kazandığını iddia ederken, bu tutarın “önemli ölçüde abartılı” olduğunu söyledi. Sızan veri kümesindeki Bitcoin adresleri, yeni kayıtlı bağlı kuruluşların% 1’inden daha azının ücreti ödediğini gösteriyor – bu da muhtemelen birkaç ay boyunca sadece 10.000 ila 11.000 dolar arasında bir lockbit geliri ile sonuçlandı.
Veriler ayrıca, bağlı kuruluşların Kremlin’in öngörüsüne bağlı olan Rusya merkezli siber suçlular için büyük bir hayır olan iki Rus devlet kurumuna saldırdığını ortaya koyuyor. Her iki durumda da, Trellix’in raporu Lockbit’in özür dilediğini ve her iki durumda da doğru bir şekilde çalışmadıkları görülmese de şifrelemeleri ücretsiz sağladığını söylüyor. Düzeltme işlemleri ayrıca, enfekte olmuş sistemleri silmek ve yeniden inşa etmek zorunda kalmanın zahmetli çalışmasını veya verilerin yedeklemelerden zaman alıcı restorasyonunu ortadan kaldırmazlar.
Moskova, sınırları içinde siber suçlu yeraltı yaygınlığının ortaya koyduğu risk konusunda artan endişelere sahip gibi görünmektedir ve milletvekilleri iç siber güvenlik ve kritik ulusal altyapıyı güçlendirmeyi amaçlayan ileri mevzuatlara sahiptir. Aralık ayında yetkililer, fidye yazılımı saldırılarındaki rolü için 2023’ten beri ABD tarafından istenen bir lockbit bağlı kuruluşu olan Mikhail Pavlovich Matveev’e karşı cezai suçlamalar da sağladı (bakınız: Rusya, FBI tarafından istediği fidye yazılımı hacker’ın iddia ettiğini iddia ediyor).
Dynarisk’teki tehdit zekası başkanı Milivoj Rajić, “Rusya’nın siber güvenlik mevzuatını güçlendirmek için harekete geçmesinin, özellikle de bir savunma tesisine yönelik sözde lockbit saldırısı gibi iddia edilen veya söylentiler siber olaylarının ardından hareket etmesinin çeşitli stratejik ve politik nedenleri var.” Dedi.
Sızan Lockbit veritabanının analizi, bağlı kuruluşların kontrolü altında olduğuna inanılan kripto para birimi cüzdanlarına onaylanmış 18 ödeme gösterdi. Ödemeler yaklaşık 2,3 milyon dolardı. Lite panelinin sızıntıların kapladığı süre boyunca yaklaşık 70 bağlı kuruluş tarafından kullanıldığı görülmüştür.
Tüm sızdırılmış müzakerelerin neredeyse yarısından sorumlu en aktif bağlı kuruluş, “Christopher” ı kullandı ve Tayvanlı şirketleri zorlamaya ve Yunanistan, Birleşik Arap Emirlikleri ve Filipinler’deki firmalara saldırmaya odaklandı. Fidye ödemesi başarı oranı, belki de 10 milyon dolar veya daha fazla gelire sahip şirketleri seçme stratejisi nedeniyle 14 kurbanda% 57 idi ve 25.000 ila 120.000 dolar arasında nispeten mütevazı gasp talepleri yapıyor, daha sonra% 67’ye kadar “indirim” sundu.
Bilgi Güvenliği Medya Grubu’nun İskoçya’daki Mathew Schwartz ve Kuzey Virginia’daki David Perera’nın raporları ile.