Yetkililer, LockBit Fidye Yazılımı Grup Liderliğinin Kimliğinin Büyük Açıklamasını Yeniden Planladı
Akşaya Asokan (asokan_akshaya), Mathew J. Schwartz (euroinfosec) •
23 Şubat 2024
“LockBitSupp kimdir?” Polis, bu hafta başında sızıp bozdukları kötü şöhretli hizmet olarak fidye yazılımı çetesinin kamuya açık sözcüsü olan “LockBit Desteği”nin kimliğini ortaya çıkararak bu sorunun cevabını açıklayacağına söz verdi.
Ayrıca bakınız: SASE ve NDR Birbirlerini Nasıl Tamamlıyor?
Cuma sabahı, büyük açıklamayı yapmak için söz verilen saatte, Britanya Ulusal Suç Teşkilatı bunun yerine GMT 12:00’ye beş saatlik bir gecikme duyurdu.
Bütün geceyi gölet üzerinde geçiren güvenlik uzmanları gecikmeyi eleştirdi. “FBI / NCA UK / EUROPOL için sabah 2’ye kadar kaldık “LockbitSupp kimdir?” kötü amaçlı yazılım araştırmacısı vx-underground gönderildi X’te.
Uluslararası kolluk kuvvetleri, Pazartesi günü grubun karanlık web sızıntı sitesine el koymalarından bu yana LockbitSupp’un gerçek kimliğinin açıklanmasıyla dalga geçiyor ve “LockbitSupp Kimdir?” başlığıyla bir geri sayım sayacı yayınlıyor.
Britanya Ulusal Suç Teşkilatı’nın siber suç bölümünün öncülüğünde yürütülen ve 10 ülkenin kolluk kuvvetlerinin dahil olduğu ortak bir soruşturma, “Cronos Operasyonu” adı altında LockBit’e sızdı ve onu bozdu. ABD’li yetkililer, grubun 2.000’den fazla kuruluşu başarıyla hedef aldığını, büyük miktarda hasara yol açtığını ve kurbanlar tarafından yapılan kripto para fidye ödemeleri yoluyla 144 milyon dolardan fazla para aldığını söyledi (bkz: LockBit Baskısında Tutuklamalar ve İddialar).
Geri sayım sayacı, suçlular çalınan verileri sızdırmadan önce ödeme yapmayan kurbanın üzerindeki baskıyı artırmaya çalışan bir fidye yazılımı kinayesidir. Yalnızca bu durumda, ABD Dışişleri Bakanlığı, LockBit liderliğinin tutuklanmasına veya mahkum edilmesine yol açan bilgi için 10 milyon dolara kadar veya grupla çalışmak üzere komplo kuran herhangi biri hakkında aynı istihbarat için 5 dolara kadar ödül teklif etti.
Belki Persona’da
Fidye yazılımı takipçisi Jon DiMaggio, LockBitSupp ile birçok kez sanal olarak etkileşime girdi ve farklı etkileşimler arasında tutarsızlıklar buldu. Onun hipotezi, grubun gerçek lideri de dahil olmak üzere, kişiliği toplamda iki veya muhtemelen üç farklı kişinin yönettiği yönündedir.
LockBit’in gerçek lideri – LockBitSupp Prime – kararsız görünüyor. DiMaggio, “Bu, büyük güvensizliklere sahip, ego odaklı bir CEO tarafından yönetilen bir işletme” dedi. Grubun saldırı kodu ne kadar karmaşık olursa olsun, “Bence sonunda onların ölümüne yol açacak olan şey, bu tür bir ego ve güvensizlikleri nedeniyle sürekli aşırı tepki vermeleri olacaktır.”
Bu dengesiz davranışın bir işareti, LockBit’in kripto-kilitleme kötü amaçlı yazılımındaki kusurları bulabilen herkese sunduğu 50.000 dolarlık hata ödülü şeklinde geldi. DiMaggio, birisi bir kusur bulup bildirdiğinde liderliğin ödeme yaptığını ancak ana LockBit geliştiricisinin maaşından 50.000 doları kestiğini söyledi. Bir anda istifa etti, LockBit kaynak kodunu sızdırdı ve onları kamuoyu önünde karalamaya başladı. Daha sonra diğer gruplar LockBit’in sızdırılan kodunu kullanmaya başladı.
Derin Bağlantılar
DiMaggio, 2023’ün başlarında verdiği bir röportajda, LockBit liderinin, REvil’in lideri Sodinokibi’nin yanı sıra Colonial Pipeline’ı vuran ve BlackMatter’a ve daha sonra Alphv, yani BlackCat’e dönüşen DarkSide ile bağlantıları olduğunu söyledi. Grubun ayrıca uzun süredir faaliyet gösteren siber suç grubu FIN7’nin eski bir kilit geliştiricisiyle çalıştığı da görülüyor.
Pek çok grubun gelip gitmesine rağmen, fidye yazılımı dünyasındaki üst düzey kişilerin sayısı çok fazla görünmüyor. RedSense’in kurucu ortağı ve baş araştırma sorumlusu Yelisey Bohuslavskiy yakın zamanda Information Security Media Group’a şunları söyledi: “Bu gerçekten sınırlı bir insan kalabalığı. 2018’de orada olanlarla aynı insanlar ve 2024’te de hala buradalar.” Görmek: Fidye Yazılımı Sonunda Düşüşe mi Girdi? Gruplar ‘Mücadele Ediyor’).
Tüm Tanıtımlar İyi Tanıtımdır
Geçen ayın sonunda, Rusça XSS ve Exploit siber suç forumları, LockBitSupp’un, sağladıkları bir erişimi kullandıktan sonra “michon” tanıtıcısını kullanarak bir internet erişim komisyoncusuna ödeme yapmayı reddetmesi nedeniyle başlatıldığını bildirdi. (XSS ve diğer forumların daha önce kendi forumlarında tüm fidye yazılımı işlerini yasakladıklarını iddia etmelerine aldırış etmeyin.) Yasak, XSS liderliğinin LockBitSupp’a fidye ödemesinin %10’unu michon’a ödemesini emretmesi ve kendisinin bu emre uymaması üzerine ortaya çıktı.
Trend Micro, “LockBitSupp, hem davacıya hem de konuya ağırlık veren diğer destekçilere yanıt verirken bir dereceye kadar kibir sergiledi” dedi. “Oyuncu, ‘başarısız olamayacak kadar büyük’ biri gibi göründü ve hatta iddianın sonucuna ilişkin kararı verecek olan hakemi küçümsedi.”
Güvenlik uzmanları, LockBitSupp’un kişiliğinin, en azından rakipleri aşağılayarak ve röportajlar vererek, grubu kamuoyunun gözünde tutmak için tasarlanmış gibi göründüğünü söyledi. LockBitSupp, herkesin şunu söylemesinin ardından büyük ilgi topladı: dövme yaptırdım Grubun logosunu taşıyan kişi 1.000 dolar alacak – bu bir yalan gibi görünüyor – ve LockBitSupp’un gerçek kimliğini ortaya çıkarabilecek herkese 1 milyon dolar ödül teklif edilecek.
Bu, grubun profilini artırdı ve muhtemelen bağlı kuruluşların toplanmasına ve daha fazla kurbanın hızlı bir şekilde fidye ödemesine yardımcı oldu.
RedSense araştırmacıları bir raporda, “LockBitSupp hakkında farklı görüşlere sahip olabilirsiniz, ancak kesinlikle İngilizce konuşan kitleleri kendilerini ve gruplarını Google arama listelerinin en üstüne koymaları için kandırmayı başardılar ve bu önemli bir kazançtı” dedi.
Sis perdesi
2023’ün ortalarına gelindiğinde, hizmet olarak fidye yazılımı iş modeli çöküyordu ve LockBit’in liderliği, büyük kurbanları sessizce vurmak için yüksek vasıflı yüklenicileri veya “hayalet grupları” kullanmaya başladı; buna büyük miktarlarda veri sızdırmak da dahil ve bunun sonucunda çok sayıda veri sızdırıldı. RedSense, fidye ödemelerinin yapıldığını söyledi. 2024 yılına gelindiğinde, bu saldırılar devam ederken LockBitSupp, LockBit’in hala bir RaaS grubu olduğunu iddia ederek ve kârının büyük çoğunluğunun küçük ekiplerden elde edildiği veri sızıntısı bloguna dikkat çekerek “gerçek operasyonlar için sadece dikkat dağıtıcı” olarak hizmet etti. “pentesterler”in büyük oranda eskiden Conti Team 1 olarak bilinen Zeon grubundan geldiği belirtildi.
Hükümet Bağlarıyla İlgili Sorular
Conti’nin Mayıs 2022’de sızdırılan iç iletişimlerine göre, bu grubun “Stern” olarak bilinen liderinin, görünüşe göre Rusya’nın FSB olarak bilinen Federal Güvenlik Servisi ile yakın bağları vardı.
RedSense’in bildirdiğine göre, çok geçmeden, 2022’nin ortalarında ilk iki erişim komisyoncusu, grubun yöneticisinin yerine “güvenlik aygıtı tarafından atanan bir kişinin” getirildiğini söyleyerek LockBit ile bağlarını kopardıklarını bildirdi. Her ne kadar bu iddia tehdit istihbaratı grubu tarafından doğrulanamasa da, eğer doğruysa, “Bu aynı zamanda LockBitSupp tarafından oluşturulan dikkat dağıtıcı unsurlara neden bu kadar vurgu yapıldığını da açıklayabilir: düşük seviyeli bağlı kuruluşlar Twitter’da paylaşım yaparken, gerçek profesyoneller Conti dünyanın her yerindeki yüksek profilli hedeflere saldırıyordu.”
Yetkililer, LockBit’e sızma ve altyapının bozulması kapsamında gruba dahil olan herkesi takip etmeye devam edeceklerini söyledi. ABD Başsavcı Yardımcısı Lisa Monaco bu hafta şöyle konuştu: “İşimiz burada bitmiyor: ortaklarımızla birlikte LockBit’te durumu tersine çeviriyoruz – şifre çözme anahtarları sağlıyoruz, kurban verilerinin kilidini açıyoruz ve LockBit’in dünya çapındaki suç ortaklarını takip ediyoruz.”