LockBiti lunavara eemaldamine mõjutab brändi elujõulisust

Hoolimata sellest, et LockBiti lunavara-as-a-service (RaaS) jõuk väitis, et on pärast veebruari keskel toimunud kõrgetasemelist eemaldamist tagasi, näitab analüüs grupi tegevuses olulisi ja jätkuvaid häireid – koos lainetusefektidega kogu küberkuritegevuses maa all. millel on mõju äririskile.

Trend Micro andmetel vastutas LockBit 25. aastal 33–2023% kõigist lunavararünnakutest, muutes selle hõlpsalt eelmise aasta suurimaks finantsohtude rühmaks. Alates selle ilmumisest 2020. aastal on see pandeemia ajal nõudnud tuhandeid ohvreid ja miljoneid lunaraha, sealhulgas küünilisi lööke haiglatele.

. Operatsioon Cronos pingutus, mis hõlmas mitmeid õiguskaitseasutusi üle maailma, põhjustas katkestusi LockBitiga seotud platvormidel ja selle lekkekoha ülevõtmist Ühendkuningriigi riikliku kuritegevuse agentuuri (NCA) poolt. Seejärel kasutasid ametivõimud viimast vahistamiseks, sanktsioonide kehtestamiseks, krüptovaluuta arestimiseks ja muudeks rühmituse sisemise tegevusega seotud tegevusteks. Samuti avalikustasid nad LockBiti administraatoripaneeli ja avalikustasid rühmaga töötavate sidusettevõtete nimed.

Lisaks märkisid nad, et dekrüpteerimisvõtmed tehakse kättesaadavaks, ja paljastasid, et vastupidiselt ohvritele antud lubadustele ei kustutanud LockBit kunagi ohvriandmeid pärast maksete tegemist.

Kokkuvõttes oli see politseiringkondade nutikas jõudemonstratsioon ja juurdepääs, mis kohe pärast seda hirmutas teisi ökosüsteemis ja põhjustas ettevaatlikkuse, kui on vaja töötada LockBiti mis tahes uuesti esilekerkiva versiooni ja selle juhiga, kes läheb mööda. käepide "LockBitSupp".

Trend Micro teadlased märkisid, et kaks ja pool kuud pärast operatsiooni Cronos on vähe tõendeid selle kohta, et asjad rühma jaoks pöörduvad – hoolimata LockBitSuppi väidetest, et rühm naaseb tavapärastesse tegevustesse.

Erinevat tüüpi küberkuritegevuse eemaldamine

Teadlased suhtusid operatsiooni Cronos algselt skeptiliselt ja juhtisid tähelepanu sellele, et teised hiljutised kõrgetasemelised RaaS-i rühmitused, nagu Black Basta, Conti, Mesilaspere, ja Royal (rääkimata infrastruktuurist esialgse juurdepääsu troojalaste jaoks, nagu Emotet, Qakbotja TrickBot), on nende operaatoritele põhjustanud vaid ajutisi tagasilööke.

LockBiti streik on aga erinev: suur hulk teavet, millele õiguskaitseorganid pääsesid juurde ja mida avalikustasid, on grupi positsiooni Dark Webi ringkondades jäädavalt kahjustanud.

"Kuigi nad keskenduvad sageli juhtimis- ja kontrolliinfrastruktuuri väljavõtmisele, läks see pingutus kaugemale," selgitasid Trend Micro teadlased täna avaldatud analüüs. "See nägi, kuidas politseil õnnestus kahjustada LockBiti administraatoripaneeli, paljastada sidusettevõtteid ning pääseda juurde teabele ja vestlustele sidusettevõtete ja ohvrite vahel. Need kumulatiivsed jõupingutused on aidanud rikkuda LockBiti mainet sidusettevõtete ja küberkuritegevuse kogukonna seas üldiselt, mistõttu on raskem sealt tagasi tulla.

Tõepoolest, küberkuritegevuse kogukonna tagajärg oli kiire, märkis Trend Micro. ühe jaoks LockBitSupp on keelatud kahest populaarsest maa-alusest foorumist XSS ja Exploit, mis takistab administraatori võimet koguda tuge ja taastada.

Varsti pärast seda väitis X-i (endine Twitter) kasutaja nimega "Loxbit" vahepeal avalikus postituses, et LockBitSupp on teda petnud, samas kui teine ​​​​oletatav sidusettevõte nimega "michon" avas LockBitSupp'i vastu foorumi vahekohtu lõime maksmata jätmise tõttu. Üks esmase juurdepääsu maakler, kes kasutas käepidemega "diileriparandajat", reklaamis oma tooteid, kuid mainis konkreetselt, et nad ei soovi LockBiti kellegagi koostööd teha. Ja veel üks IAB, "n30n", algatas ramp_v2 foorumis nõude häirega seotud makse kaotamise kohta.

Võib-olla hullem, mõned foorumi kommentaatorid olid äärmiselt mures tohutu teabe pärast, mida politsei suutis koguda, ja mõned spekuleerisid, et LockBitSupp võis operatsiooni kallal isegi õiguskaitseorganitega koostööd teha. LockBitSupp teatas kiiresti, et õiguskaitseorganite suutlikkuses jõugu infosse imbuda on süüdi PHP haavatavus; Dark Web'i elanikud juhtisid lihtsalt tähelepanu sellele, et viga on kuid vana ja kritiseeris LockBiti turvatavasid ja sidusettevõtete kaitse puudumist.

"Küberkuritegevuse kogukonna suhtumine LockBiti häiretesse varieerus rahulolust kuni spekulatsioonideni grupi tuleviku üle, mis viitab intsidendi olulisele mõjule RaaS-i tööstusele," selgub Trend Micro täna avaldatud analüüsist.

LockBiti häirete jahutav mõju RaaS-i tööstusele

Tõepoolest, häire on tekitanud teiste aktiivsete RaaS-i gruppide seas eneserefleksiooni: Snatch RaaS-i operaator märkis oma Telegrami kanalis, et nad kõik on ohus.

Trend Micro sõnul näib, et ärimudeli häirimisel ja õõnestamisel on olnud palju kumulatiivsem mõju kui tehnilisel mahavõtmisel. “Maine ja usaldus on sidusettevõtete ligimeelitamise võtmeks, ja kui need kaotsi lähevad, on inimesi raskem tagasi kutsuda. Operatsioonil Cronos õnnestus lüüa vastu üks tema ärielement, mis oli kõige olulisem: oma kaubamärk.

Trend Micro ohuluure asepresident Jon Clay ütleb Dark Readingile, et LockBiti rikkumine ja häirete jahutav mõju RaaS-i rühmadele pakuvad üldiselt võimalust äririskide juhtimiseks.

"Ettevõtetel võib olla aeg oma kaitsemudeleid ümber hinnata, kuna võime näha rünnakute aeglustumist, samal ajal kui need teised rühmad hindavad oma tegevusjulgeolekut," märgib ta. "Praegu on ka aeg vaadata üle ärijuhtumitele reageerimise plaan, et veenduda, et kõik rikkumisega seotud aspektid on kaetud, sealhulgas äritegevuse järjepidevus, küberkindlustus ja vastus – kas maksta või mitte maksta."

LockBiti elumärgid on tugevalt liialdatud

Trend Micro leidis, et LockBitSupp üritab sellegipoolest tagasi põrgatada – kuigi vähe positiivseid tulemusi.

Uued Tori lekkekohad käivitati nädal pärast operatsiooni ja LockBitSupp ütles ramp_v2 foorumis, et jõuk otsib aktiivselt IAB-sid, millel on juurdepääs .gov, .edu ja .org domeenidele, mis viitab kättemaksujanule. Ei läinud kaua aega, kui lekkekohale hakkas ilmuma hulgaliselt oletatavaid ohvreid, alustades FBI-st.

Kui aga lunaraha maksmise tähtaeg saabus ja möödus, postitas LockBitSupp saidile tundlike FBI andmete asemel pika avalduse oma tegevuse jätkamise kohta. Lisaks moodustasid enam kui kaks kolmandikku ohvritest uuesti üles laaditud rünnakud, mis toimusid enne operatsiooni Cronos. Ülejäänutest kuulusid ohvrid teistesse rühmadesse, näiteks ALPHV-sse. Kokkuvõttes näitas Trend Micro telemeetria pärast Cronost vaid üht väikest tõelist LockBiti tegevusklastrit Kagu-Aasia sidusettevõttelt, mille lunarahanõudmine oli madal, 2,800 dollarit.

Võib-olla veelgi murettekitavam on see, et grupp on välja töötanud ka uut lunavara versiooni - Lockbit-NG-Dev. Trend Micro leidis, et sellel on uus .NET-tuum, mis võimaldab sellel olla platvormi suhtes agnostilisem; see eemaldab ka isepaljumise võimalused ja võimaluse printida lunaraha märkmeid kasutaja printerite kaudu.

"Koodibaas on sellele uuele keelele üleminekuga seoses täiesti uus, mis tähendab, et selle tuvastamiseks on tõenäoliselt vaja uusi turbemustreid. See on endiselt funktsionaalne ja võimas lunavara tükk,” hoiatasid teadlased.

Siiski on need parimal juhul LockBiti jaoks aneemilised elumärgid ja Clay märgib, et pole selge, kuhu see või tema sidusettevõtted edasi võivad minna. Üldiselt hoiatab ta, et kaitsjad peavad olema valmis lunavarajõugude taktikalisteks muutusteks, mis toimuvad, kuna ökosüsteemis osalevad isikud hindavad hetkeseisu.

"RaaS-i rühmad vaatavad tõenäoliselt oma nõrkusi, mida õiguskaitseorganid tabavad," selgitab ta. „Nad võivad üle vaadata, millist tüüpi ettevõtteid/organisatsioone nad sihivad, et mitte pöörata oma rünnakutele palju tähelepanu. Sidusettevõtted võivad uurida, kuidas nad saaksid kiiresti ühest grupist teise lülituda, kui nende peamine RaaS-i grupp maha võetakse.

Ta lisab: „Ainult andmete väljafiltreerimise ja lunavara juurutamise suunas liikumine võib suureneda, kuna need ei häiri äritegevust, kuid võivad siiski teenida kasumit. Samuti võisime näha, et RaaS-i rühmad nihkuvad täielikult poole muud ründetüübid, näiteks ärimeili rikkumine (BEC), mis ei paista nii palju häireid tekitavat, kuid on siiski väga tulusad.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability