تضرب عملية إزالة برنامج LockBit Ransomware عمقًا في جدوى العلامة التجارية

تضرب عملية إزالة برنامج LockBit Ransomware عمقًا في جدوى العلامة التجارية

الطابع الزمني: 3 أبريل 2024 6:11 مساءً
تضرب عملية إزالة برنامج LockBit Ransomware عمقًا في جدوى العلامة التجارية وذكاء بيانات PlatoBlockchain. البحث العمودي. منظمة العفو الدولية.

على الرغم من ادعاء عصابة LockBit لبرامج الفدية كخدمة (RaaS) بالعودة بعد عملية إزالة رفيعة المستوى في منتصف فبراير، يكشف التحليل عن اضطراب كبير ومستمر لأنشطة المجموعة - إلى جانب تأثيرات مضاعفة في جميع أنحاء الجريمة الإلكترونية السرية. مع الآثار المترتبة على مخاطر الأعمال.

كانت LockBit مسؤولة عن 25% إلى 33% من جميع هجمات برامج الفدية في عام 2023، وفقًا لشركة Trend Micro، مما يجعلها بسهولة أكبر مجموعة فاعلة للتهديدات المالية في العام الماضي. منذ ظهوره في عام 2020، حصد آلاف الضحايا والملايين في شكل فدية، بما في ذلك الهجمات الساخرة على المستشفيات أثناء الوباء.

جهود عملية كرونوس، والتي شاركت فيها العديد من وكالات إنفاذ القانون حول العالم، أدت إلى انقطاع الخدمة على المنصات التابعة لشركة LockBit، والاستيلاء على موقع التسريب الخاص بها من قبل الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA). ثم استخدمت السلطات الأخير لإجراء اعتقالات وفرض عقوبات ومصادرة العملات المشفرة والمزيد من الأنشطة المتعلقة بالأعمال الداخلية للمجموعة. كما قاموا أيضًا بنشر لوحة إدارة LockBit وكشفوا عن أسماء الشركات التابعة التي تعمل مع المجموعة.

علاوة على ذلك، أشاروا إلى أنه سيتم توفير مفاتيح فك التشفير، وكشفوا أن LockBit، خلافًا لوعودها للضحايا، لم تحذف أبدًا بيانات الضحية بعد سداد المدفوعات.

في المجمل، كان ذلك عرضًا ذكيًا للقوة والقدرة على الوصول من مجتمع الشرطة، مما أثار ذعر الآخرين في النظام البيئي في أعقاب ذلك مباشرة وأدى إلى الحذر عندما يتعلق الأمر بالعمل مع أي نسخة متجددة من LockBit وزعيمها، الذي يمضي قدمًا. التعامل مع "LockBitSupp."

لاحظ باحثون من Trend Micro أنه بعد شهرين ونصف من عملية Cronos، هناك القليل من الأدلة الثمينة على أن الأمور بدأت تتغير بالنسبة للمجموعة - على الرغم من ادعاءات LockBitSupp بأن المجموعة تشق طريقها مرة أخرى إلى العمليات العادية.

نوع مختلف من إزالة الجرائم الإلكترونية

قوبلت عملية Cronos في البداية بالتشكيك من قبل الباحثين، الذين أشاروا إلى أن عمليات الإزالة الأخيرة البارزة لمجموعات RaaS مثل Black Basta، كونتي, خلية النحلو Royal (ناهيك عن البنية التحتية للوصول الأولي لأحصنة طروادة مثل Emotet, ققبوتو TrickBot)، لم تؤدي إلا إلى انتكاسات مؤقتة لمشغليها.

ومع ذلك، فإن ضربة LockBit مختلفة: فالكم الهائل من المعلومات التي تمكنت سلطات إنفاذ القانون من الوصول إليها ونشرها علنًا قد أضر بشكل دائم بمكانة المجموعة في دوائر الويب المظلم.

وأوضح باحثو تريند مايكرو: "في حين أنهم يركزون في كثير من الأحيان على البنية التحتية للقيادة والسيطرة، فقد ذهب هذا الجهد إلى أبعد من ذلك". تحليل صدر اليوم. "لقد شهدت الشرطة تمكنها من اختراق لوحة إدارة LockBit، وكشف الشركات التابعة، والوصول إلى المعلومات والمحادثات بين الشركات التابعة والضحايا. وقد ساعد هذا الجهد التراكمي في تشويه سمعة LockBit بين الشركات التابعة ومجتمع الجرائم الإلكترونية بشكل عام، الأمر الذي سيجعل من الصعب العودة منها.

وفي الواقع، كانت تداعيات مجتمع الجرائم الإلكترونية سريعة، حسبما لاحظت تريند مايكرو. لواحد، تم حظر LockBitSupp من منتديين مشهورين تحت الأرض، XSS وExploit، مما يعيق قدرة المشرف على حشد الدعم وإعادة البناء.

بعد فترة وجيزة، ادعى مستخدم على X (تويتر سابقًا) يُدعى "Loxbit" في منشور عام أنه تعرض للغش من قبل LockBitSupp، في حين قام فرع آخر مفترض يُدعى "michon" بفتح موضوع تحكيم في المنتدى ضد LockBitSupp بسبب عدم الدفع. أعلن أحد وسطاء الوصول الأولي باستخدام المقبض "dealfixer" عن منتجاته ولكنه ذكر على وجه التحديد أنهم لا يريدون العمل مع أي شخص من LockBit. وقام IAB آخر، "n30n"، بفتح مطالبة في منتدى Ramp_v2 بشأن فقدان الدفع المحيط بالاضطراب.

ولعل الأسوأ من ذلك هو أن بعض المعلقين في المنتدى كانوا قلقين للغاية بشأن الكم الهائل من المعلومات التي تمكنت الشرطة من جمعها، وتكهن البعض بأن LockBitSupp ربما عملت مع سلطات إنفاذ القانون في العملية. وسرعان ما أعلن LockBitSupp أن ثغرة أمنية في PHP هي المسؤولة عن قدرة سلطات إنفاذ القانون على اختراق معلومات العصابة؛ أشار مقيمون الويب المظلم ببساطة إلى أن الخطأ عمره أشهر وانتقدوا ممارسات LockBit الأمنية ونقص الحماية للشركات التابعة.

"تراوحت مشاعر مجتمع الجرائم الإلكترونية تجاه تعطيل LockBit بين الرضا والتكهنات حول مستقبل المجموعة، مما يشير إلى التأثير الكبير للحادث على صناعة RaaS،" وفقًا لتحليل Trend Micro الذي صدر اليوم.

التأثير المروع لتعطيل LockBit على صناعة RaaS

في الواقع، أثار الاضطراب بعض التفكير الذاتي بين مجموعات RaaS النشطة الأخرى: أشار مشغل Snatch RaaS على قناته على Telegram إلى أنهم جميعًا معرضون للخطر.

وفقًا لشركة Trend Micro، "يبدو أن تعطيل نموذج الأعمال وتقويضه كان له تأثير تراكمي أكبر بكثير من تنفيذ عملية إزالة فنية". "السمعة والثقة هي المفتاح لجذب الشركات التابعةوعندما تُفقد هذه الأشياء، يصبح من الصعب إقناع الناس بالعودة. نجحت عملية كرونوس في ضرب أحد العناصر الأكثر أهمية في أعمالها: علامتها التجارية.

يقول جون كلاي، نائب رئيس تريند مايكرو لمعلومات التهديدات، لـ Dark Reading أن إلغاء قفل LockBit وتأثير التعطيل المروع على مجموعات RaaS بشكل عام يمثل فرصة لإدارة مخاطر الأعمال.

ويشير إلى أن "هذا قد يكون الوقت المناسب للشركات لإعادة تقييم نماذجها الدفاعية حيث قد نشهد تباطؤًا في الهجمات بينما تقوم هذه المجموعات الأخرى بتقييم أمنها التشغيلي". "هذا أيضًا هو الوقت المناسب لمراجعة خطة الاستجابة لحوادث العمل للتأكد من تغطية جميع جوانب الانتهاك، بما في ذلك استمرارية العمليات التجارية، والتأمين الإلكتروني، والاستجابة - للدفع أو عدم الدفع."

علامات الحياة في LockBit مبالغ فيها إلى حد كبير

ومع ذلك، تحاول LockBitSupp الارتداد، حسبما وجدت Trend Micro - على الرغم من النتائج الإيجابية القليلة.

تم إطلاق مواقع تسرب جديدة لـ Tor بعد أسبوع من العملية، وقال LockBitSupp في منتدى Ramp_v2 أن العصابة تبحث بنشاط عن IABs التي تتمتع بإمكانية الوصول إلى نطاقات .gov و.edu و.org، مما يشير إلى التعطش للانتقام. ولم يمض وقت طويل قبل أن يبدأ ظهور العشرات من الضحايا المفترضين على موقع التسريب، بدءًا من مكتب التحقيقات الفيدرالي.

ومع ذلك، عندما جاء الموعد النهائي لدفع الفدية وذهب، بدلاً من ظهور بيانات مكتب التحقيقات الفيدرالي الحساسة على الموقع، نشرت LockBitSupp إعلانًا مطولًا بأنها ستستمر في العمل. بالإضافة إلى ذلك، كان أكثر من ثلثي الضحايا من الهجمات المعاد تحميلها والتي حدثت قبل عملية كرونوس. ومن بين الضحايا الآخرين، كان الضحايا ينتمون إلى مجموعات أخرى، مثل ALPHV. بشكل عام، كشف القياس عن بعد الخاص بشركة Trend Micro عن مجموعة صغيرة واحدة فقط من أنشطة LockBit بعد Cronos، من إحدى الشركات التابعة في جنوب شرق آسيا والتي تحمل طلب فدية منخفض قدره 2,800 دولار.

ولعل الأمر الأكثر إثارة للقلق هو أن المجموعة تعمل أيضًا على تطوير إصدار جديد من برامج الفدية – Lockbit-NG-Dev. وجدت Trend Micro أن لديها نواة .NET جديدة، مما يسمح لها بأن تكون أكثر حيادًا عن النظام الأساسي؛ كما أنه يزيل إمكانات النشر الذاتي والقدرة على طباعة ملاحظات الفدية عبر طابعات المستخدم.

"إن قاعدة التعليمات البرمجية جديدة تمامًا فيما يتعلق بالانتقال إلى هذه اللغة الجديدة، مما يعني أنه من المحتمل أن تكون هناك حاجة إلى أنماط أمان جديدة لاكتشافها. وحذر الباحثون من أنها لا تزال قطعة فعالة وقوية من برامج الفدية.

ومع ذلك، فهذه علامة ضعيفة على الحياة في أحسن الأحوال بالنسبة لشركة LockBit، ويشير كلاي إلى أنه من غير الواضح إلى أين ستتجه هي أو الشركات التابعة لها بعد ذلك. ويحذر بشكل عام من أن المدافعين سيحتاجون إلى الاستعداد للتحولات في تكتيكات عصابات برامج الفدية في المستقبل بينما يقوم المشاركون في النظام البيئي بتقييم حالة اللعب.

ويوضح قائلاً: "من المرجح أن تبحث مجموعات RaaS عن نقاط ضعفها التي يتم اكتشافها من قبل سلطات إنفاذ القانون". "قد يقومون بمراجعة أنواع الشركات/المنظمات التي يستهدفونها حتى لا يعيروا الكثير من الاهتمام لهجماتهم. قد تنظر الشركات التابعة في كيفية التحول بسرعة من مجموعة إلى أخرى في حالة إزالة مجموعة RaaS الرئيسية الخاصة بها.

ويضيف: "قد يزداد التحول نحو استخراج البيانات فقط مقابل نشر برامج الفدية، حيث إنها لا تعطل الأعمال، ولكنها لا تزال تسمح بالأرباح. يمكننا أيضًا أن نرى مجموعات RaaS تتحول بالكامل نحو أنواع الهجمات الأخرى، مثل اختراق البريد الإلكتروني للعمل (BEC)، والتي لا يبدو أنها تسبب الكثير من الاضطراب، ولكنها لا تزال مربحة للغاية بالنسبة لنتائجها النهائية.

الطابع الزمني:

اكثر من قراءة مظلمة