LockBiti lekkesait kerkib uuesti esile, nädal pärast täielikku kompromissi

LockBiti lunavara teenusena (RaaS) operatsioon käivitas oma lekkekoha uuesti, vaid nädal pärast koordineeritud mahavõtmisoperatsioon ülemaailmselt õiguskaitseorganitelt.

19. veebruaril viis "Operation Cronos Taskforce" – kuhu kuuluvad teiste agentuuride hulgas ka FBI, Europol ja Ühendkuningriigi riiklik kuritegevuse agentuur (NCA) – ulatuslik tegevus. Suurbritannia riikliku kuritegevuse agentuuri (NCA) andmetel, võttis töörühm maha kolmes riigis levinud infrastruktuuri, sealhulgas kümneid servereid. See konfiskeeris koodi ja muud väärtuslikku luureandmeid, ohvritelt varastatud andmemahtu ja enam kui 1,000 seotud dekrüpteerimisvõtit. See vandaalitses rühmituse lekkesaiti ja selle sidusportaali, külmutas enam kui 200 krüptovaluutakontot, vahistas ühe Poola ja Ukraina kodaniku ning esitas süüdistuse kahele Venemaa kodanikule.

NCA pressiesindaja võttis selle kokku 26. veebr, ütles Reutersile, et rühmitus on endiselt täielikult ohustatud.

Isik lisas siiski, et "meie töö nende sihtimiseks ja häirimiseks jätkub."

Tõepoolest, operatsioon Cronos ei pruukinud olla nii kõikehõlmav, kui alguses tundus. Kuigi õiguskaitseorganid suutsid kahjustada LockBiti esmast infrastruktuuri, tunnistas selle juht kirjas, jäid selle varusüsteemid puutumata, võimaldades toimingul kiiresti taastuda.

LockBiti sidusportaali jäetud sõnum; Allikas: vx-underground X-i kaudu (endine Twitter)

"Lõpuks on see õiguskaitseorganite poolt nende vastu märkimisväärne löök," ütleb endine FBI eriagent Michael McPherson, praegu ReliaQuesti tehniliste operatsioonide vanem asepresident. "Ma arvan, et keegi ei ole piisavalt naiivne, et öelda, et see on selle rühma jaoks kirstunael, kuid see on kehahoop."

LockBiti loo pool

LockBiti juhti oleks soovitatav tervitada skeptiliselt. "Nagu paljud sellised mehed lunavararuumis, tal on üsna ego, ta on natuke heitlik. Ja on teada, et ta on rääkinud päris pikki lugusid, kui see tema eesmärgile sobib,“ ütleb Kurtis Minder, lunavara läbirääkija ning GroupSense’i kaasasutaja ja tegevjuht.

Kuid isik või isikud, keda Minder nimetab "Alexiks", lööb oma kirjas märkimisväärselt alandliku tooni.

"Oma isikliku hooletuse ja vastutustundetuse tõttu lõdvestasin ega värskendanud PHP-d õigel ajal," kirjutas lunavarajuht, viidates kriitilisele, CVSS-i reitinguga PHP veale 9.8 punkti 10-st. CVE-2023-3824 “mille tulemusena saadi juurdepääs kahele peamisele serverile, kuhu see PHP versioon installiti. Ma saan aru, et see ei pruugi olla see CVE, vaid midagi muud, näiteks PHP 0day, kuid ma ei saa 100% kindel olla.

Olulise tähtsusega lisas ta: "Kõik teised serverid, millel on varublogi ja millel polnud PHP-d installitud, on mõjutamata ja jätkavad rünnatud ettevõtetelt varastatud andmete väljastamist." Tõepoolest, tänu sellele koondamisele sai LockBiti lekkesait nädala pärast uuesti tööle ja sellel oli kümmekond ohvrit: laenuplatvorm, riiklik hambaravilaborite võrgustik ja mis kõige olulisem - Fultoni maakond Georgias, kus on endine president Trump. osaleb praegu juriidilises võitluses.

Allikas: Bitdefender

Kas õiguskaitsemeetmetel on mõju?

USA ja EL-i õiguskaitseorganid on juba aastaid teinud uudiseid suurte lunavaraoperatsioonide kõrgetasemeliste haarangutega: Mesilaspere, AlphV/BlackCat, Ragnar Kapp, ja nii edasi. Seda hoolimata nendest pingutustest lunavara kasvab jätkuvalt võib mõnes tekitada apaatsust.

Kuid pärast selliseid haaranguid selgitab McPherson: "Need rühmad ei ole uuesti moodustatud või taastusid väiksemal viisil. Taru pole veel saanud tagasi tulla – huvi selle vastu oli, aga see ei realiseerunud.

Isegi kui õiguskaitseorganid ei hävitanud LockBiti täielikult, põhjustas see häkkeritele tõenäoliselt siiski suurt kahju. Näiteks märgib Minder, et "ilmselt on neil juurdepääs mõnele sidusettevõtete teabele", mis annab võimudele märkimisväärset mõjuvõimu.

"Kui ma olen sidusettevõte või teine ​​lunavaraarendaja, võiksin kaks korda mõelda, kas nende inimestega suhelda, juhuks kui nad muutus FBI informaatoriks. Nii et see tekitab teatud usaldamatust. Ja siis ma arvan, et nad teevad sama LockBitiga, öeldes: "Hei, me tegelikult teame, kes on kõik sidusettevõtted, saime kogu nende kontaktteabe." Nüüd on LockBit oma sidusettevõtete suhtes kahtlustav. See on väike kaos. See on huvitav.”

Lunavara pikaajaliseks lahendamiseks võivad valitsused siiski vajada toretsevaid eemaldamisi tõhusate poliitikate ja programmidega.

"Peab olema tasakaalustatud programm, võib-olla föderaalvalitsuse tasandil, mis aitab tegelikult ennetada, reageerida ja parandada. Ma arvan, et kui me näeksime, kui palju kapitali selliste tegevuste tõttu USA majandusest tegelikult lahkub, näeksime, et sellist programmi oleks mõttekas subsideerida, et inimesed ei peaks lunaraha maksma. ta ütleb.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-