Polisler LockBit’in LockBitSupp’unun maskesini kaldırmıyor


‘LockBitSupp Kimdir’ diye alay ettikten sonra polisler onun ‘kolluk kuvvetleriyle meşgul olduğunu’ söyledi

Akşaya Asokan (asokan_akshaya), Mathew J. Schwartz (euroinfosec) •
23 Şubat 2024

Büyük Bir Açıklama Yok: Polisler LockBit'in LockBitSupp'unun Maskesini Ortaya Çıkarmıyor
“LockBitSupp kimdir?” Polis, LockBit’in altyapısına el koyduğundan beri bu sorunun cevabıyla uğraşıyor.

“LockBitSupp kimdir?” Polis, bu hafta başında sızıp bozdukları kötü şöhretli hizmet olarak fidye yazılımı çetesinin kamuya açık sözcüsü olan “LockBit Desteği”nin kimliğini ortaya çıkararak bu sorunun cevabını açıklayacağına söz verdi.

Ayrıca bakınız: SASE’yi NDR ile entegre etme: SASE Olgunluğu, Bulut Stratejisi ve Ağ Görünürlüğü

Belirlenen zamanda, yani büyük açıklama geldiğinde, kolluk kuvvetleri temas halinde göründükleri dışında çok az şey açıkladı. LockBit’in Tor tabanlı veri sızıntısı sitesine gönderilen ve yetkililer tarafından bu tarihten önce ele geçirilen bir mesaja göre, “Kim olduğunu biliyoruz. Nerede yaşadığını biliyoruz. Ne kadar değerli olduğunu biliyoruz. LockBitSupp, Emniyet teşkilatı ile anlaştı :)” hafta.*

Emniyet teşkilatından yapılan açıklamada, karikatürize edilmiş bir kedi resminin yanında, önceki iddiaların aksine LockBitSupp’un ABD veya Hollanda’da yaşamadığı ve Lamborghini değil, Mercedes kullandığı belirtildi. Kaynak bulmak zor.”

Birçok güvenlik uzmanı, büyük açıklamayı iklim değişikliğine karşı bir dokunuş olarak tanımlamak için sosyal medyayı kullandı. Bazıları zaten tüm geceyi geçirmiş, Cuma günü saat 7’de GMT’de vaat edilen açıklamayı beklemişti; bu noktada kolluk kuvvetleri, belirtilmeyen nedenlerden dolayı beş saatlik bir gecikme duyurdu. “FBI / NCA UK / EUROPOL ‘LockbitSupp Kimdir?’ için gece saat 2’ye kadar kaldık.” tweet attı kötü amaçlı yazılım araştırmacısı vx-underground.

Uluslararası kolluk kuvvetleri, Pazartesi günü grubun karanlık web sızıntı sitesine el koyduklarından bu yana LockBitSupp’un gerçek kimliğinin açıklanmasıyla dalga geçiyor ve “LockBitSupp kimdir?” başlığıyla bir geri sayım sayacı yayınlıyordu.

Britanya Ulusal Suç Teşkilatı’nın siber suç bölümünün öncülüğünde yürütülen ve 10 ülkenin kolluk kuvvetlerinin dahil olduğu ortak bir soruşturma, “Cronos Operasyonu” adı altında LockBit’e sızdı ve onu bozdu. ABD’li yetkililer, grubun 2.000’den fazla kuruluşu başarıyla hedef aldığını, büyük miktarda hasara yol açtığını ve kurbanlar tarafından yapılan kripto para fidye ödemeleri yoluyla 144 milyon dolardan fazla para aldığını söyledi (bkz: LockBit Baskısında Tutuklamalar ve İddialar).

Geri sayım sayacı, suçlular çalınan verileri sızdırmadan önce ödeme yapmayan kurbanın üzerindeki baskıyı artırmaya çalışan bir fidye yazılımı kinayesidir. Yalnızca bu durumda, ABD Dışişleri Bakanlığı, LockBit liderliğinin tutuklanmasına veya mahkum edilmesine yol açan bilgi için 10 milyon dolara kadar veya grupla çalışmak üzere komplo kuran herhangi biri hakkında aynı istihbarat için 5 dolara kadar ödül teklif etti.

Belki Persona’da

Fidye yazılımı takipçisi Jon DiMaggio, LockBitSupp ile birçok kez sanal olarak etkileşime girdi ve farklı etkileşimler arasında tutarsızlıklar buldu. Onun hipotezi, grubun gerçek lideri de dahil olmak üzere, kişiliği toplamda iki veya muhtemelen üç farklı kişinin yönettiği yönündedir.

LockBit’in gerçek lideri – LockBitSupp Prime – kararsız görünüyor. DiMaggio, “Bu, büyük güvensizliklere sahip, ego odaklı bir CEO tarafından yönetilen bir işletme” dedi. Grubun saldırı kodu ne kadar karmaşık olursa olsun, “Bence sonunda onların ölümüne yol açacak olan şey, bu tür bir ego ve güvensizlikleri nedeniyle sürekli aşırı tepki vermeleri olacaktır.”

Bu dengesiz davranışın bir işareti, LockBit’in kripto-kilitleme kötü amaçlı yazılımındaki kusurları bulabilen herkese sunduğu 50.000 dolarlık hata ödülü şeklinde geldi. DiMaggio, birisi bir kusur bulup bildirdiğinde liderliğin ödeme yaptığını ancak ana LockBit geliştiricisinin maaşından 50.000 doları kestiğini söyledi. Bir anda istifa etti, LockBit kaynak kodunu sızdırdı ve onları kamuoyu önünde karalamaya başladı. Daha sonra diğer gruplar LockBit’in sızdırılan kodunu kullanmaya başladı.

Derin Bağlantılar

DiMaggio, 2023’ün başlarında verdiği bir röportajda, LockBit liderinin, REvil’in lideri Sodinokibi’nin yanı sıra Colonial Pipeline’ı vuran ve BlackMatter’a ve daha sonra Alphv, yani BlackCat’e dönüşen DarkSide ile bağlantıları olduğunu söyledi. Grubun ayrıca uzun süredir faaliyet gösteren siber suç grubu FIN7’nin eski bir kilit geliştiricisiyle çalıştığı da görülüyor.

Pek çok grubun gelip gitmesine rağmen, fidye yazılımı dünyasındaki üst düzey kişilerin sayısı çok fazla görünmüyor. RedSense’in kurucu ortağı ve baş araştırma sorumlusu Yelisey Bohuslavskiy yakın zamanda Information Security Media Group’a şunları söyledi: “Bu gerçekten sınırlı bir insan kalabalığı. 2018’de orada olanlarla aynı insanlar ve 2024’te de hala buradalar.” Görmek: Fidye Yazılımı Sonunda Düşüşe mi Girdi? Gruplar ‘Mücadele Ediyor’).

Tüm Tanıtımlar İyi Tanıtımdır

Geçen ayın sonunda, Rusça XSS ve Exploit siber suç forumları, michon tarafından sağlanan bir erişimi kullandıktan sonra “michon” tanıtıcısını kullanan bir internet erişim komisyoncusuna ödeme yapmayı reddettiği için LockBitSupp’un kapatıldığını bildirdi. (XSS ve diğer forumların daha önce kendi forumlarında tüm fidye yazılımı işlerini yasakladıklarını iddia etmelerine aldırış etmeyin.) Yasak, XSS liderliğinin LockBitSupp’a fidye ödemesinin %10’unu michon’a ödemesini emretmesi ve kendisinin bu emre uymaması üzerine ortaya çıktı.

Trend Micro, “LockBitSupp, hem davacıya hem de konuya ağırlık veren diğer destekçilere yanıt verirken bir dereceye kadar kibir sergiledi” dedi. “Oyuncu, ‘başarısız olamayacak kadar büyük’ ​​biri gibi göründü ve hatta iddianın sonucuna ilişkin kararı verecek olan hakemi küçümsedi.”

Güvenlik uzmanları, LockBitSupp’un kişiliğinin, en azından rakipleri aşağılayarak ve röportajlar vererek, grubu kamuoyunun gözünde tutmak için tasarlanmış gibi göründüğünü söyledi. LockBitSupp, herkesin şunu söylemesinin ardından büyük ilgi topladı: dövme yaptırdım Grubun logosunu taşıyan kişi 1.000 dolar alacak – bu bir yalan gibi görünüyor – ve LockBitSupp’un gerçek kimliğini ortaya çıkarabilecek herkese 1 milyon dolar ödül teklif edilecek.

Bu, grubun profilini artırdı ve muhtemelen bağlı kuruluşların toplanmasına ve daha fazla kurbanın hızlı bir şekilde fidye ödemesine yardımcı oldu.

RedSense araştırmacıları bir raporda, “LockBitSupp hakkında farklı görüşlere sahip olabilirsiniz, ancak kesinlikle İngilizce konuşan kitleleri kendilerini ve gruplarını Google arama listelerinin en üstüne koymaları için kandırmayı başardılar ve bu önemli bir kazançtı” dedi.

Sis perdesi

2023’ün ortalarına gelindiğinde, hizmet olarak fidye yazılımı iş modeli çöküyordu ve LockBit’in liderliği, büyük kurbanları sessizce vurmak için yüksek vasıflı yüklenicileri veya “hayalet grupları” kullanmaya başladı; buna büyük miktarlarda veri sızdırmak da dahil ve bunun sonucunda çok sayıda veri sızdırıldı. RedSense, fidye ödemelerinin yapıldığını söyledi. 2024 yılına gelindiğinde, bu saldırılar devam ederken LockBitSupp, LockBit’in hala bir RaaS grubu olduğunu iddia ederek ve kârının büyük çoğunluğunun küçük ekiplerden elde edildiği veri sızıntısı bloguna dikkat çekerek “gerçek operasyonlar için sadece dikkat dağıtıcı” olarak hizmet etti. “pentesterler”in büyük oranda eskiden Conti Team 1 olarak bilinen Zeon grubundan geldiği belirtildi.

Hükümet Bağlarıyla İlgili Sorular

Conti’nin Mayıs 2022’de sızdırılan iç iletişimlerine göre, bu grubun “Stern” olarak bilinen liderinin, görünüşe göre Rusya’nın FSB olarak bilinen Federal Güvenlik Servisi ile yakın bağları vardı.

RedSense’in bildirdiğine göre, çok geçmeden, 2022’nin ortalarında ilk iki erişim komisyoncusu, grubun yöneticisinin yerine “güvenlik aygıtı tarafından atanan bir kişinin” getirildiğini söyleyerek LockBit ile bağlarını kopardıklarını bildirdi. Her ne kadar bu iddia tehdit istihbaratı grubu tarafından doğrulanamasa da, eğer doğruysa, “Bu aynı zamanda LockBitSupp tarafından oluşturulan dikkat dağıtıcı unsurlara neden bu kadar vurgu yapıldığını da açıklayabilir: düşük seviyeli bağlı kuruluşlar Twitter’da paylaşım yaparken, gerçek profesyoneller Conti dünyanın her yerindeki yüksek profilli hedeflere saldırıyordu.”

Yetkililer, LockBit’e sızma ve altyapının bozulması kapsamında gruba dahil olan herkesi takip etmeye devam edeceklerini söyledi. ABD Başsavcı Yardımcısı Lisa Monaco bu hafta şöyle konuştu: “İşimiz burada bitmiyor: ortaklarımızla birlikte LockBit’te durumu tersine çeviriyoruz – şifre çözme anahtarları sağlıyoruz, kurban verilerinin kilidini açıyoruz ve LockBit’in dünya çapındaki suç ortaklarını takip ediyoruz.”

*Güncelleme 23 Şubat 2023 12:20 UTC: Bu hikaye, LockBitSupp’un kimliğine ilişkin en son emniyet beyanını içerecek şekilde güncellendi.





Source link