Huolimatta LockBit ransomware-as-a-service (RaaS) -jengi väitti palaavansa helmikuun puolivälissä tapahtuneen korkean profiilin poistamisen jälkeen, analyysi paljastaa merkittävän, jatkuvan häiriön ryhmän toiminnassa – sekä heijastusvaikutuksia koko tietoverkkorikollisuuden maanalaisessa ympäristössä. jolla on vaikutuksia liiketoimintariskeihin.
Trend Micron mukaan LockBit oli vastuussa 25–33 prosentista kaikista kiristysohjelmahyökkäyksistä vuonna 2023, mikä tekee siitä helposti viime vuoden suurimman taloudellisen uhan toimijaryhmän. Siitä lähtien, kun se ilmestyi vuonna 2020, se on vaatinut tuhansia uhreja ja miljoonia lunnaita, mukaan lukien kyyniset iskut sairaaloihin pandemian aikana.
- Operaatio Cronos -ponnistelu, johon osallistui useita lainvalvontaviranomaisia ympäri maailmaa, johti katkoihin LockBitiin liittyvillä alustoilla ja Ison-Britannian kansallisen rikosviraston (NCA) haltuunottoa sen vuotosivustolla. Viranomaiset käyttivät jälkimmäistä pidätyksiä, sanktioita, kryptovaluuttojen takavarikointia ja muita ryhmän sisäiseen toimintaan liittyviä toimia. He myös julkistivat LockBit-hallintapaneelin ja paljastivat ryhmän kanssa työskentelevien tytäryhtiöiden nimet.
Lisäksi he totesivat, että salauksen purkuavaimet asetetaan saataville, ja paljasti, että LockBit ei uhreille antamansa lupausten vastaisesti koskaan poistanut uhrien tietoja maksujen suorittamisen jälkeen.
Kaiken kaikkiaan se oli poliisiyhteisön taitava esitys voimasta ja pääsystä, joka pelotti muita ekosysteemissä välittömästi sen jälkeen ja johti varovaisuuteen työskennellessä minkä tahansa uudelleen ilmaantuvan LockBit-version ja sen johtajan kanssa, joka menee ohi. käsittele "LockBitSupp".
Trend Micron tutkijat huomauttivat, että kaksi ja puoli kuukautta Operation Cronosin jälkeen on olemassa arvokkaita todisteita siitä, että asiat ovat kääntymässä ryhmän kannalta - huolimatta LockBitSuppin väitteistä, että ryhmä kynsi tiensä takaisin normaaliin toimintaan.
Erilainen kyberrikollisuuden poistaminen
Operaatio Cronos suhtautui aluksi skeptisesti tutkijoihin, ja he huomauttivat, että muut viimeaikaiset korkean profiilin RaaS-ryhmien, kuten Black Bastan, poistamiset, Conti, Hive, ja Royal (puhumattakaan infrastruktuurista alkupääsyn troijalaisille, kuten Emotet, Qakbotja TrickBot), ovat aiheuttaneet vain tilapäisiä takaiskuja operaattoreilleen.
LockBit-lakko on kuitenkin erilainen: Pelkkä tietomäärä, jonka lainvalvontaviranomaiset pääsivät käsiksi ja julkistamaan, on vahingoittanut pysyvästi ryhmän asemaa Dark Web -piireissä.
"Vaikka he usein keskittyvät johtamis- ja ohjausinfrastruktuurin poistamiseen, tämä pyrkimys meni pidemmälle", Trend Micron tutkijat selittivät tänään julkaistu analyysi. "Se näki, että poliisi onnistui vaarantamaan LockBitin hallintapaneelin, paljastamaan tytäryhtiöt ja pääsemään tietoihin ja keskusteluihin tytäryhtiöiden ja uhrien välillä. Tämä kumulatiivinen ponnistelu on auttanut tahraamaan LockBitin mainetta tytäryhtiöiden ja verkkorikollisyhteisön keskuudessa yleensä, mikä vaikeuttaa paluuta."
Itse asiassa tietoverkkorikollisyhteisön seuraukset olivat nopeat, Trend Micro havaitsi. Yhdelle, LockBitSupp on kielletty kahdelta suositulta maanalaselta foorumilta, XSS ja Exploit, jotka haittaavat järjestelmänvalvojan kykyä hankkia tukea ja rakentaa uudelleen.
Pian tämän jälkeen X:n (entinen Twitter) käyttäjä nimeltä "Loxbit" väitti julkisessa viestissä, että LockBitSupp oli huijannut hänet, kun taas toinen oletettu tytäryhtiö nimeltä "michon" avasi foorumin välimiesketjun LockBitSuppia vastaan maksamatta jättämisen vuoksi. Yksi alkupääsyn välittäjä, joka käytti kahvaa "dealfixer", mainosti tuotteitaan, mutta mainitsi erityisesti, että he eivät halunneet tehdä yhteistyötä kenenkään LockBitin kanssa. Ja toinen IAB, "n30n", avasi ramp_v2-foorumilla vaatimuksen häiriön aiheuttamasta maksun menetyksestä.
Ehkä pahempaa on, että jotkut foorumin kommentaattorit olivat äärimmäisen huolissaan poliisin kokoaman tiedon valtavasta määrästä, ja jotkut arvelivat, että LockBitSupp saattoi jopa työskennellä lainvalvontaviranomaisten kanssa operaatiossa. LockBitSupp ilmoitti nopeasti, että PHP:n haavoittuvuus oli syyllinen lainvalvontaviranomaisten kykyyn soluttautua jengin tietoihin; Dark Webin asukkaat huomauttivat vain, että bugi on kuukausia vanha, ja kritisoivat LockBitin tietoturvakäytäntöjä ja tytäryhtiöiden suojan puutetta.
"Kyberrikollisyhteisön tunteet LockBitin häiriöstä vaihtelivat tyytyväisyydestä spekulaatioihin ryhmän tulevaisuudesta, mikä vihjasi tapahtuman merkittävästä vaikutuksesta RaaS-teollisuuteen", Trend Micron tänään julkaistun analyysin mukaan.
LockBit Disruptionin jäähdyttävä vaikutus RaaS-teollisuuteen
Häiriö onkin herättänyt jonkinlaista itsereflektiota muiden aktiivisten RaaS-ryhmien keskuudessa: Snatch RaaS -operaattori huomautti Telegram-kanavallaan, että he olivat kaikki vaarassa.
"Liiketoimintamallin häiriintymisellä ja heikentämisellä näyttää olleen paljon kumulatiivisempi vaikutus kuin teknisen purkamisen toteuttamisella", Trend Micro sanoo. "Maine ja luottamus ovat avainasemassa tytäryhtiöiden houkuttelemisessa, ja kun nämä katoavat, ihmisiä on vaikeampi saada takaisin. Operaatio Cronos onnistui iskemään yhteen sen liiketoimintaelementtiin, joka oli tärkein: sen brändiä vastaan.
Jon Clay, Trend Micron uhkatiedon varatoimitusjohtaja, kertoo Dark Readingille, että LockBitin raiskaaminen ja häiriön jäähdyttävä vaikutus RaaS-ryhmiin yleensä tarjoavat mahdollisuuden liiketoimintariskien hallintaan.
"Yrityksillä voi olla aika arvioida puolustusmallejaan uudelleen, koska saatamme nähdä hyökkäysten hidastuvan, kun taas nämä muut ryhmät arvioivat omaa toimintavarmuuttaan", hän huomauttaa. "Tämä on myös aika tarkastella liiketoimintahäiriöiden torjuntasuunnitelmaa varmistaaksesi, että sinulla on kaikki tietoturvaloukkauksen näkökohdat, mukaan lukien liiketoiminnan jatkuvuus, kybervakuutus ja vastaus – maksaa tai olla maksamatta."
LockBitin elämänmerkit ovat suuresti liioiteltuja
LockBitSupp yrittää kuitenkin toipua, Trend Micro havaitsi - tosin vain harvoin positiivisin tuloksin.
Uudet Tor-vuotosivustot avattiin viikko leikkauksen jälkeen, ja LockBitSupp sanoi ramp_v2-foorumilla, että jengi etsii aktiivisesti IAB:itä, joilla on pääsy .gov-, .edu- ja .org-verkkotunnuksiin, mikä osoittaa kostonhimoa. Ei kestänyt kauan, kun lukuisia oletettuja uhreja alkoi ilmestyä vuotosivustolle, alkaen FBI:sta.
Kuitenkin, kun lunnaiden maksun määräaika tuli ja meni, sen sijaan, että arkaluontoiset FBI-tiedot näkyisivät sivustolla, LockBitSupp julkaisi pitkän ilmoituksen, että se jatkaisi toimintaansa. Lisäksi yli kaksi kolmasosaa uhreista koostui uudelleen ladatuista hyökkäyksistä, jotka tapahtuivat ennen Operaatio Cronos -operaatiota. Muista uhrit kuuluivat muihin ryhmiin, kuten ALPHV:hen. Kaiken kaikkiaan Trend Micron telemetria paljasti vain yhden pienen todellisen LockBit-aktiviteettiklusterin Cronosin jälkeen, Kaakkois-Aasiassa sijaitsevalta tytäryhtiöltä, jolla oli alhainen, 2,800 XNUMX dollarin lunnaiden kysyntä.
Ehkä huolestuttavampaa on, että ryhmä on myös kehittänyt uutta versiota kiristyshaittaohjelmista - Lockbit-NG-Dev. Trend Micro havaitsi, että sillä on uusi .NET-ydin, mikä mahdollistaa sen olevan alustaagnostikkoisempi; se poistaa myös itsensä leviämisen ja mahdollisuuden tulostaa lunnaita käyttäjän tulostimien kautta.
"Koodipohja on täysin uusi suhteessa tähän uuteen kieleen siirtymiseen, mikä tarkoittaa, että sen havaitsemiseen tarvitaan todennäköisesti uusia suojausmalleja. Se on edelleen toimiva ja tehokas lunnasohjelma", tutkijat varoittivat.
Silti nämä ovat parhaimmillaankin aneeminen merkki elämästä LockBitille, ja Clay huomauttaa, ettei ole selvää, minne se tai sen tytäryhtiöt voivat mennä seuraavaksi. Yleisesti ottaen hän varoittaa, että puolustajien on oltava valmiita ransomware-jengien taktiikkojen muutoksiin jatkossa, kun ekosysteemiin osallistuvat arvioivat pelitilannetta.
"RaaS-ryhmät tarkastelevat todennäköisesti omia heikkouksiaan lainvalvontaviranomaisille", hän selittää. "He voivat tarkistaa, minkä tyyppisiin yrityksiin/organisaatioihin he kohdistavat, jotta he eivät kiinnittäisi paljon huomiota hyökkäyksiinsä. Tytäryhtiöt voivat tarkastella, kuinka he voivat siirtyä nopeasti ryhmästä toiseen, jos heidän pääryhmänsä kaadetaan."
Hän lisää, "siirtyminen vain tietojen suodattamiseen verrattuna kiristysohjelmien käyttöönotuksiin voi lisääntyä, koska ne eivät häiritse liiketoimintaa, mutta voivat silti mahdollistaa voittoja. Voisimme myös nähdä RaaS-ryhmien siirtyvän kokonaan kohti muut hyökkäystyypit, kuten yrityssähköpostin kompromissi (BEC), jotka eivät näytä aiheuttavan niin paljon häiriöitä, mutta ovat silti erittäin tuottoisia.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability
