Le retrait du ransomware LockBit nuit profondément à la viabilité de la marque

Le retrait du ransomware LockBit nuit profondément à la viabilité de la marque

Horodatage: 3 avril 2024 6h11
Le retrait du ransomware LockBit touche profondément la viabilité de la marque PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Bien que le gang LockBit ransomware-as-a-service (RaaS) prétende être de retour après un démantèlement très médiatisé à la mi-février, une analyse révèle une perturbation importante et continue des activités du groupe, ainsi que des effets d'entraînement dans l'ensemble de la cybercriminalité souterraine. avec des implications pour le risque commercial.

LockBit était responsable de 25 à 33 % de toutes les attaques de ransomware en 2023, selon Trend Micro, ce qui en fait facilement le plus grand groupe d'acteurs de menace financière de l'année dernière. Depuis son apparition en 2020, il a fait des milliers de victimes et des millions de rançons, notamment des frappes cyniques contre les hôpitaux pendant la pandémie.

Les Effort de l’opération Cronos, impliquant plusieurs organismes chargés de l'application des lois à travers le monde, a entraîné des pannes sur les plateformes affiliées à LockBit et le rachat de son site de fuite par la National Crime Agency (NCA) du Royaume-Uni. Les autorités ont ensuite utilisé ces dernières pour procéder à des arrestations, imposer des sanctions, saisir des cryptomonnaies et d’autres activités liées au fonctionnement interne du groupe. Ils ont également rendu public le panneau d'administration de LockBit et dévoilé les noms des affiliés travaillant avec le groupe.

En outre, ils ont noté que des clés de décryptage seraient mises à disposition et ont révélé que LockBit, contrairement à ses promesses aux victimes, n'avait jamais supprimé les données des victimes après que les paiements aient été effectués.

Dans l'ensemble, il s'agissait d'une démonstration de force et d'accès avisée de la part de la communauté policière, effrayant immédiatement les autres membres de l'écosystème et conduisant à la méfiance lorsqu'il s'agit de travailler avec une version réémergente de LockBit et son chef de file, qui passe par le gérer « LockBitSupp ».

Les chercheurs de Trend Micro ont noté que, deux mois et demi après l'opération Cronos, il y a peu de preuves que les choses s'améliorent pour le groupe – malgré les affirmations de LockBitSupp selon lesquelles le groupe revient à des opérations normales.

Un autre type de lutte contre la cybercriminalité

L'opération Cronos a d'abord été accueillie avec scepticisme par les chercheurs, qui ont souligné que d'autres suppressions récentes et très médiatisées de groupes RaaS comme Black Basta, Conti, Ruche, et Royal (sans parler de l'infrastructure pour les chevaux de Troie à accès initial comme Emotet, QakbotComment, et TrickBot), n'ont entraîné que des revers temporaires pour leurs opérateurs.

Cependant, la grève de LockBit est différente : la grande quantité d'informations auxquelles les forces de l'ordre ont pu accéder et rendre publiques a porté atteinte de manière permanente à la position du groupe dans les cercles du Dark Web.

« Bien qu'ils se concentrent souvent sur la suppression des infrastructures de commande et de contrôle, ces efforts sont allés plus loin », ont expliqué les chercheurs de Trend Micro dans une analyse publiée aujourd'hui. « Cela a vu la police réussir à compromettre le panneau d'administration de LockBit, à exposer les affiliés et à accéder aux informations et aux conversations entre les affiliés et les victimes. Cet effort cumulé a contribué à ternir la réputation de LockBit auprès des affiliés et de la communauté de la cybercriminalité en général, ce qui rendra plus difficile le retour.

En effet, les retombées de la communauté de la cybercriminalité ont été rapides, a observé Trend Micro. Pour un, LockBitSupp a été banni provenant de deux forums clandestins populaires, XSS et Exploit, entravant la capacité de l'administrateur à obtenir du soutien et à reconstruire.

Peu de temps après, un utilisateur de X (anciennement Twitter) appelé « Loxbit » a affirmé dans un message public avoir été trompé par LockBitSupp, tandis qu'un autre affilié présumé appelé « michon » a ouvert un fil d'arbitrage de forum contre LockBitSupp pour non-paiement. Un courtier à accès initial utilisant le pseudo « dealfixer » a annoncé ses produits mais a spécifiquement mentionné qu'il ne voulait travailler avec personne de LockBit. Et un autre IAB, « n30n », a ouvert une réclamation sur le forum ramp_v2 concernant la perte de paiement liée à la perturbation.

Peut-être pire encore, certains commentateurs du forum étaient extrêmement préoccupés par la quantité d'informations que la police était en mesure de compiler, et certains ont émis l'hypothèse que LockBitSupp aurait même pu travailler avec les forces de l'ordre sur l'opération. LockBitSupp a rapidement annoncé qu'une vulnérabilité dans PHP était à l'origine de la capacité des forces de l'ordre à infiltrer les informations du gang ; Les utilisateurs du Dark Web ont simplement souligné que le bug datait de plusieurs mois et ont critiqué les pratiques de sécurité de LockBit et le manque de protection des affiliés.

« Les sentiments de la communauté de la cybercriminalité face à la perturbation de LockBit allaient de la satisfaction à la spéculation sur l'avenir du groupe, faisant allusion à l'impact significatif de l'incident sur l'industrie RaaS », selon l'analyse de Trend Micro publiée aujourd'hui.

L'effet dissuasif de la perturbation de LockBit sur l'industrie RaaS

En effet, la perturbation a suscité une certaine réflexion parmi d’autres groupes RaaS actifs : un opérateur Snatch RaaS a souligné sur sa chaîne Telegram qu’ils étaient tous en danger.

« Perturber et saper le modèle économique semble avoir eu un effet cumulatif bien plus important que l'exécution d'un retrait technique », selon Trend Micro. "La réputation et la confiance sont essentielles pour attirer les affiliés, et quand ceux-ci sont perdus, il est plus difficile de faire revenir les gens. L’opération Cronos a réussi à s’attaquer à un élément le plus important de son activité : sa marque.

Jon Clay, vice-président du renseignement sur les menaces chez Trend Micro, a déclaré à Dark Reading que le démantèlement de LockBit et l'effet dissuasif de la perturbation sur les groupes RaaS en général présentent une opportunité pour la gestion des risques commerciaux.

« Cela peut être le moment pour les entreprises de réévaluer leurs modèles de défense, car nous pourrions assister à un ralentissement des attaques pendant que ces autres groupes évaluent leur propre sécurité opérationnelle », note-t-il. "C'est également le moment de revoir un plan de réponse aux incidents commerciaux pour vous assurer que tous les aspects d'une violation sont couverts, y compris la continuité des opérations commerciales, la cyber-assurance et la réponse - payer ou ne pas payer."

Les signes de vie de LockBit sont grandement exagérés

LockBitSupp tente néanmoins de rebondir, a constaté Trend Micro – mais avec peu de résultats positifs.

De nouveaux sites de fuite Tor ont été lancés une semaine après l'opération, et LockBitSupp a déclaré sur le forum ramp_v2 que le gang recherchait activement les IAB ayant accès aux domaines .gov, .edu et .org, indiquant une soif de vengeance. Il n’a pas fallu longtemps pour que des dizaines de victimes présumées commencent à apparaître sur le site de la fuite, à commencer par le FBI.

Cependant, lorsque la date limite de paiement de la rançon est passée, au lieu que des données sensibles du FBI apparaissent sur le site, LockBitSupp a publié une longue déclaration selon laquelle il continuerait à fonctionner. En outre, plus des deux tiers des victimes étaient des attaques re-téléchargées survenues avant l’opération Cronos. Parmi les autres, les victimes appartenaient à d’autres groupes, comme l’ALPHV. Au total, la télémétrie de Trend Micro n'a révélé qu'un seul petit véritable cluster d'activité LockBit après Cronos, provenant d'une filiale d'Asie du Sud-Est qui demandait une faible rançon de 2,800 XNUMX $.

Peut-être plus inquiétant encore, le groupe a également développé une nouvelle version du ransomware : Lockbit-NG-Dev. Trend Micro a découvert qu'il disposait d'un nouveau noyau .NET, ce qui lui permet d'être plus indépendant de la plate-forme ; il supprime également les capacités d'auto-propagation et la possibilité d'imprimer des notes de rançon via les imprimantes de l'utilisateur.

« La base de code est complètement nouvelle par rapport au passage à ce nouveau langage, ce qui signifie que de nouveaux modèles de sécurité seront probablement nécessaires pour la détecter. Il s'agit toujours d'un ransomware fonctionnel et puissant », ont prévenu les chercheurs.

Pourtant, il s’agit au mieux d’un signe de vie anémique pour LockBit, et Clay note qu’on ne sait pas exactement où lui ou ses filiales pourraient aller ensuite. En général, prévient-il, les défenseurs devront se préparer à des changements dans les tactiques des gangs de ransomwares à mesure que les participants à l’écosystème évaluent l’état des lieux.

« Les groupes RaaS cherchent probablement à détecter leurs propres faiblesses par les forces de l’ordre », explique-t-il. « Ils peuvent examiner les types d’entreprises/organisations qu’ils ciblent afin de ne pas accorder beaucoup d’attention à leurs attaques. Les affiliés peuvent réfléchir à la manière dont ils peuvent passer rapidement d’un groupe à un autre au cas où leur groupe RaaS principal serait supprimé.

Il ajoute : « le recours à l'exfiltration de données uniquement plutôt qu'au déploiement de ransomwares pourrait s'accentuer, car ceux-ci ne perturbent pas une entreprise, mais peuvent néanmoins générer des bénéfices. Nous pourrions également voir les groupes RaaS s’orienter entièrement vers d'autres types d'attaques, comme la compromission de la messagerie professionnelle (BEC), qui ne semblent pas causer autant de perturbations, mais restent très lucratifs pour leurs résultats.

Horodatage:

Plus de Lecture sombre