लॉकबिट रैंसमवेयर टेकडाउन ने ब्रांड की व्यवहार्यता पर गहरा प्रहार किया

लॉकबिट रैंसमवेयर टेकडाउन ने ब्रांड की व्यवहार्यता पर गहरा प्रहार किया

समय टिकट: 3 अप्रैल, 2024 6:11 PM
लॉकबिट रैनसमवेयर टेकडाउन ने ब्रांड की व्यवहार्यता प्लेटोब्लॉकचेन डेटा इंटेलिजेंस पर गहरा प्रहार किया। लंबवत खोज. ऐ.

फरवरी के मध्य में एक हाई-प्रोफाइल टेकडाउन के बाद लॉकबिट रैंसमवेयर-ए-ए-सर्विस (राएएस) गिरोह के वापस आने का दावा करने के बावजूद, एक विश्लेषण से समूह की गतिविधियों में महत्वपूर्ण, चल रहे व्यवधान का पता चलता है - साथ ही पूरे साइबर क्राइम भूमिगत प्रभाव के साथ, व्यावसायिक जोखिम के निहितार्थ के साथ।

ट्रेंड माइक्रो के अनुसार, 25 में सभी रैंसमवेयर हमलों में से 33% से 2023% के लिए लॉकबिट जिम्मेदार था, जिससे यह आसानी से पिछले वर्ष का सबसे बड़ा वित्तीय खतरा अभिनेता समूह बन गया। 2020 में उभरने के बाद से, इसने हजारों पीड़ितों और लाखों लोगों की फिरौती का दावा किया है, जिसमें महामारी के दौरान अस्पतालों पर भयावह हमले भी शामिल हैं।

RSI ऑपरेशन क्रोनोस प्रयास, जिसमें दुनिया भर की कई कानून प्रवर्तन एजेंसियां ​​शामिल थीं, जिसके कारण लॉकबिट-संबद्ध प्लेटफार्मों पर रुकावटें आईं और यूके की राष्ट्रीय अपराध एजेंसी (एनसीए) ने इसकी लीक साइट को अपने कब्जे में ले लिया। इसके बाद अधिकारियों ने गिरफ्तारी करने, प्रतिबंध लगाने, क्रिप्टोकरेंसी को जब्त करने और समूह के आंतरिक कामकाज से संबंधित अन्य गतिविधियों के लिए उत्तरार्द्ध का उपयोग किया। उन्होंने लॉकबिट एडमिन पैनल का भी प्रचार किया और समूह के साथ काम करने वाले सहयोगियों के नाम उजागर किए।

इसके अलावा, उन्होंने नोट किया कि डिक्रिप्शन कुंजियाँ उपलब्ध कराई जाएंगी, और खुलासा किया कि लॉकबिट ने, पीड़ितों से किए गए अपने वादों के विपरीत, भुगतान किए जाने के बाद कभी भी पीड़ित डेटा को हटाया नहीं।

कुल मिलाकर यह पुलिसिंग समुदाय की ओर से बल और पहुंच का एक चतुर प्रदर्शन था, जिसने तत्काल बाद में पारिस्थितिकी तंत्र में अन्य लोगों को डरा दिया और जब लॉकबिट और उसके सरगना के किसी भी पुनः उभरते संस्करण के साथ काम करने की बात आती है, तो सतर्क हो जाता है। "लॉकबिटसप्प" संभालें।

ट्रेंड माइक्रो के शोधकर्ताओं ने नोट किया कि, ऑपरेशन क्रोनोस के ढाई महीने बाद, इस बात के बहुत कम सबूत हैं कि समूह के लिए चीजें बदल रही हैं - लॉकबिटसप के दावों के बावजूद कि समूह सामान्य परिचालन में वापस आ रहा है।

एक अलग तरह का साइबर क्राइम टेकडाउन

ऑपरेशन क्रोनोस को शुरू में शोधकर्ताओं द्वारा संदेह का सामना करना पड़ा, जिन्होंने बताया कि ब्लैक बस्ता जैसे रास समूहों के अन्य हालिया, हाई-प्रोफाइल निष्कासन, कोंटी, करंड, और रॉयल (जैसे प्रारंभिक एक्सेस ट्रोजन के लिए बुनियादी ढांचे का उल्लेख नहीं किया गया है Emotet, काकबोट, और ट्रिकबॉट) के परिणामस्वरूप उनके ऑपरेटरों को केवल अस्थायी झटका लगा है।

हालाँकि, लॉकबिट स्ट्राइक अलग है: कानून प्रवर्तन जिस बड़ी मात्रा में जानकारी तक पहुँचने और सार्वजनिक करने में सक्षम था, उसने डार्क वेब सर्कल में समूह की स्थिति को स्थायी रूप से नुकसान पहुँचाया है।

ट्रेंड माइक्रो के शोधकर्ताओं ने बताया, "हालांकि वे अक्सर कमांड और नियंत्रण बुनियादी ढांचे को खत्म करने पर ध्यान केंद्रित करते हैं, लेकिन यह प्रयास और भी आगे बढ़ गया।" आज एक विश्लेषण जारी किया गया. “इसने देखा कि पुलिस लॉकबिट के एडमिन पैनल से समझौता करने, सहयोगियों को बेनकाब करने और सहयोगियों और पीड़ितों के बीच जानकारी और बातचीत तक पहुंचने में कामयाब रही। इस संचयी प्रयास ने सहयोगियों और सामान्य रूप से साइबर अपराध समुदाय के बीच लॉकबिट की प्रतिष्ठा को धूमिल करने में मदद की है, जिससे वापस आना कठिन हो जाएगा।

ट्रेंड माइक्रो ने देखा कि वास्तव में, साइबर अपराध समुदाय का नतीजा तेज था। एक के लिए, LockBitSupp पर प्रतिबंध लगा दिया गया है दो लोकप्रिय भूमिगत मंचों, XSS और एक्सप्लॉइट से, समर्थन जुटाने और पुनर्निर्माण करने की व्यवस्थापक की क्षमता में बाधा उत्पन्न हो रही है।

कुछ ही समय बाद, एक्स (पूर्व में ट्विटर) पर "लोक्सबिट" नामक एक उपयोगकर्ता ने एक सार्वजनिक पोस्ट में दावा किया कि उसे लॉकबिटसप द्वारा धोखा दिया गया है, जबकि "माइकोन" नामक एक अन्य अनुमानित सहयोगी ने भुगतान न करने के लिए लॉकबिटसप के खिलाफ एक फोरम मध्यस्थता थ्रेड खोला। "डीलफिक्सर" हैंडल का उपयोग करने वाले एक प्रारंभिक-एक्सेस ब्रोकर ने अपने माल का विज्ञापन किया लेकिन विशेष रूप से उल्लेख किया कि वे लॉकबिट से किसी के साथ काम नहीं करना चाहते थे। और एक अन्य IAB, "n30n" ने व्यवधान के कारण भुगतान की हानि के बारे में रैंप_v2 फोरम पर एक दावा खोला।

शायद इससे भी बदतर, कुछ फोरम टिप्पणीकार पुलिस द्वारा संकलित की जा सकने वाली भारी मात्रा में जानकारी से बेहद चिंतित थे, और कुछ ने अनुमान लगाया कि लॉकबिटसप ने ऑपरेशन पर कानून प्रवर्तन के साथ भी काम किया होगा। LockBitSupp ने तुरंत घोषणा की कि गिरोह की जानकारी में घुसपैठ करने के लिए कानून प्रवर्तन की क्षमता के लिए PHP में एक भेद्यता जिम्मेदार थी; डार्क वेब के निवासियों ने बस यह बताया कि बग महीनों पुराना है और लॉकबिट की सुरक्षा प्रथाओं और सहयोगियों के लिए सुरक्षा की कमी की आलोचना की।

आज जारी ट्रेंड माइक्रो के विश्लेषण के अनुसार, "लॉकबिट के व्यवधान के प्रति साइबर अपराध समुदाय की भावनाएं संतुष्टि से लेकर समूह के भविष्य के बारे में अटकलों तक थीं, जो रास उद्योग पर घटना के महत्वपूर्ण प्रभाव का संकेत देती हैं।"

रास उद्योग पर लॉकबिट व्यवधान का द्रुतशीतन प्रभाव

वास्तव में, व्यवधान ने अन्य सक्रिय रास समूहों के बीच कुछ आत्म-प्रतिबिंब को जन्म दिया है: एक स्नैच रास ऑपरेटर ने अपने टेलीग्राम चैनल पर बताया कि वे सभी जोखिम में थे।

ट्रेंड माइक्रो के अनुसार, "बिजनेस मॉडल को बाधित करने और कमजोर करने का तकनीकी निष्कासन को क्रियान्वित करने की तुलना में कहीं अधिक संचयी प्रभाव पड़ता है।" “सहयोगियों को आकर्षित करने के लिए प्रतिष्ठा और विश्वास महत्वपूर्ण हैं, और जब ये खो जाते हैं, तो लोगों को वापस लाना कठिन हो जाता है। ऑपरेशन क्रोनोस अपने व्यवसाय के एक तत्व पर प्रहार करने में सफल रहा जो सबसे महत्वपूर्ण था: इसका ब्रांड।

जॉन क्ले, ट्रेंड माइक्रो के थ्रेट इंटेलिजेंस के उपाध्यक्ष, डार्क रीडिंग को बताते हैं कि लॉकबिट की ख़राबी और रास समूहों पर व्यवधान का ठंडा प्रभाव आम तौर पर व्यावसायिक जोखिम प्रबंधन के लिए एक अवसर प्रदान करता है।

उन्होंने कहा, "यह व्यवसायों के लिए अपने रक्षा मॉडल का पुनर्मूल्यांकन करने का समय हो सकता है क्योंकि हम हमलों में मंदी देख सकते हैं जबकि ये अन्य समूह अपनी परिचालन सुरक्षा का आकलन करते हैं।" "यह एक व्यावसायिक घटना प्रतिक्रिया योजना की समीक्षा करने का भी समय है, ताकि यह सुनिश्चित किया जा सके कि आपने उल्लंघन के सभी पहलुओं को कवर किया है, जिसमें व्यवसाय संचालन निरंतरता, साइबर बीमा और प्रतिक्रिया - भुगतान करना या न करना शामिल है।"

जीवन के लॉकबिट संकेतों को बहुत बढ़ा-चढ़ा कर पेश किया गया है

ट्रेंड माइक्रो ने पाया कि LockBitSupp फिर भी वापसी करने का प्रयास कर रहा है - हालाँकि कुछ सकारात्मक परिणामों के साथ।

ऑपरेशन के एक सप्ताह बाद नई टोर लीक साइटें लॉन्च की गईं, और LockBitSupp ने रैंप_v2 फोरम पर कहा कि गिरोह सक्रिय रूप से .gov, .edu और .org डोमेन तक पहुंच वाले IAB की तलाश कर रहा है, जो बदला लेने की प्यास का संकेत देता है। ज्यादा समय नहीं बीता जब लीक साइट पर एफबीआई से लेकर कई कथित पीड़ित सामने आने लगे।

हालाँकि, जब फिरौती भुगतान की समय सीमा आई और चली गई, तो साइट पर संवेदनशील एफबीआई डेटा प्रदर्शित होने के बजाय, LockBitSupp ने एक लंबी घोषणा पोस्ट की कि वह काम करना जारी रखेगी। इसके अलावा, दो-तिहाई से अधिक पीड़ितों में ऑपरेशन क्रोनोस से पहले हुए पुन: अपलोड किए गए हमले शामिल थे। अन्य लोगों में से, पीड़ित अन्य समूहों से संबंधित थे, जैसे कि एएलपीएचवी। कुल मिलाकर, ट्रेंड माइक्रो के टेलीमेट्री ने क्रोनोस के बाद दक्षिण-पूर्व एशिया के एक सहयोगी से सिर्फ एक छोटे से सच्चे लॉकबिट गतिविधि क्लस्टर का खुलासा किया, जिसने $ 2,800 की कम फिरौती की मांग की थी।

शायद अधिक चिंताजनक बात यह है कि समूह रैंसमवेयर का एक नया संस्करण - लॉकबिट-एनजी-डेव भी विकसित कर रहा है। ट्रेंड माइक्रो ने पाया कि इसमें एक नया .NET कोर है, जो इसे अधिक प्लेटफ़ॉर्म-अज्ञेयवादी होने की अनुमति देता है; यह स्व-प्रसार क्षमताओं और उपयोगकर्ता के प्रिंटर के माध्यम से फिरौती नोट मुद्रित करने की क्षमता को भी हटा देता है।

“इस नई भाषा के स्थानांतरण के संबंध में कोड आधार पूरी तरह से नया है, जिसका अर्थ है कि इसका पता लगाने के लिए नए सुरक्षा पैटर्न की आवश्यकता होगी। यह अभी भी रैंसमवेयर का एक कार्यात्मक और शक्तिशाली टुकड़ा है, ”शोधकर्ताओं ने चेतावनी दी।

फिर भी, लॉकबिट के लिए ये जीवन के सर्वोत्तम संकेत हैं, और क्ले का कहना है कि यह स्पष्ट नहीं है कि यह या इसके सहयोगी आगे कहाँ जा सकते हैं। सामान्य तौर पर, वह चेतावनी देते हैं, रक्षकों को आगे चलकर रैंसमवेयर गिरोह की रणनीति में बदलाव के लिए तैयार रहना होगा क्योंकि पारिस्थितिकी तंत्र में भाग लेने वाले लोग खेल की स्थिति का आकलन करते हैं।

वह बताते हैं, "रास समूह संभवतः कानून प्रवर्तन द्वारा अपनी कमजोरियों को पकड़ते हुए देख रहे हैं।" “वे समीक्षा कर सकते हैं कि वे किस प्रकार के व्यवसायों/संगठनों को लक्षित करते हैं ताकि उनके हमलों पर अधिक ध्यान न दिया जा सके। सहयोगी यह देख सकते हैं कि यदि उनका मुख्य रास समूह हटा दिया जाता है तो वे कैसे तेजी से एक समूह से दूसरे समूह में स्थानांतरित हो सकते हैं।

वह आगे कहते हैं, “रैंसमवेयर तैनाती की तुलना में केवल डेटा घुसपैठ की ओर झुकाव बढ़ सकता है क्योंकि ये किसी व्यवसाय को बाधित नहीं करते हैं, लेकिन फिर भी लाभ की अनुमति दे सकते हैं। हम RaaS समूहों को पूरी तरह से स्थानांतरित होते हुए भी देख सकते हैं अन्य प्रकार के आक्रमण, जैसे व्यावसायिक ईमेल समझौता (बीईसी), जो उतना अधिक व्यवधान पैदा नहीं करता है, लेकिन फिर भी उनकी निचली रेखाओं के लिए बहुत लाभदायक है।

समय टिकट:

से अधिक डार्क रीडिंग