Leckék a LockBit eltávolításából

Leckék a LockBit eltávolításából

Időbélyeg: 29. március 2024. 2:58

Mint a legtöbb operátor, mi is tényleg élvezte a múlt havi hírt arról, hogy a nemzetközi bűnüldözés megzavarta a világ egyik LockBitjét legjövedelmezőbb ransomware bandák.

A zsarolóprogramok az elmúlt 10 évben globális problémává váltak, és a modern zsarolóvírus-bandák hatékonyan működnek összetett üzletként. Az elmúlt egy évben több kormány és magáncég működött együtt, hogy megzavarják ezeket a bandákat. Az érintett koordináló szervezetek Cronos hadművelet a LockBit saját infrastruktúráját használta a banda működésének részleteinek közzétételéhez. Például, A LockBit kiszivárogtatási oldala az eltávolítás nyilvánosságra hozatalára szolgált: letartóztatások több országban, elérhető visszafejtési kulcsok, információk a szereplőkről stb. Ez a taktika nem csak a LockBit megszégyenítését szolgálja, hanem hatékony figyelmeztetés a banda leányvállalatai és más ransomware bandák számára is.

lockbit-leaksite.png

Képernyőkép a LockBit kiszivárogtatási helyéről az utólagos eltávolítás után, amely összefoglalja a bűnüldözési tevékenységeket. (Forrás: Aaron Walton.)

Ez a LockBit elleni tevékenység nagy győzelem, de a zsarolóvírus továbbra is jelentős probléma, még a LockBittől is. A zsarolóprogramok elleni hatékonyabb küzdelem érdekében a kiberbiztonsági közösségnek figyelembe kell vennie a levont tanulságokat.

Soha ne bízz a bűnözőkben

Az Egyesült Királyság Nemzeti Bűnügyi Ügynöksége (NCA) szerint előfordult, hogy egy áldozat fizetett a LockBitnek, de a banda nem törölte az adatokat a szervereiről, ahogy azt ígérte.

Ez persze nem szokatlan. Sok zsarolóprogram-banda nem teszi meg azt, amit tenni akar, akár nem biztosít módszert a fájlok visszafejtésére, akár nem folytatja az ellopott adatok tárolását (törlés helyett).

Ez rávilágít a váltságdíj fizetésének egyik legfontosabb kockázatára: az áldozat abban bízik, hogy egy bűnöző feltartja az alkut. Súlyosan rontja a csoport hírnevét annak felfedése, hogy a LockBit nem törli az adatokat, ahogy ígérte. A zsarolóvírus-csoportoknak meg kell őrizniük a megbízhatóság látszatát – ellenkező esetben áldozataiknak nincs okuk fizetni nekik.

Fontos, hogy a szervezetek felkészüljenek ezekre az eshetőségekre, és legyenek terveik. A szervezetek soha nem feltételezhetik, hogy a visszafejtés lehetséges lesz. Ehelyett alapos katasztrófa-helyreállítási tervek és eljárások kidolgozását kell előnyben részesíteniük arra az esetre, ha adataik veszélybe kerülnének.

Ossza meg az információkat a kapcsolatok kialakításához

A bűnüldöző szervezetek, például az Egyesült Államok FBI-ja, a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és a titkosszolgálat mindig érdeklődnek a támadók taktikái, eszközei, fizetései és kommunikációs módszerei iránt. Ezek az adatok segíthetnek azonosítani más áldozatokat, akiket ugyanaz a támadó vagy ugyanazt a taktikát vagy eszközöket használó támadó célzott. Az összegyűjtött információk az áldozatokról, a pénzügyi veszteségekről, a támadási taktikákról, az eszközökről, a kommunikációs módszerekről és a fizetési követelésekről szóló információkat tartalmaznak, amelyek viszont segítik a bűnüldöző szerveket a ransomware csoportok jobb megértésében. Az információkat akkor is felhasználják, amikor vádat emelnek a bűnözők ellen, amikor elkapják őket. Ha a bűnüldöző szervek mintákat látnak az alkalmazott technikákban, az teljesebb képet tár fel a bűnszervezetről.

A ransomware-as-a-service (RaaS) esetében az ügynökségek kétirányú támadást alkalmaznak: megzavarják mind a banda adminisztratív személyzetét, mind a leányvállalatait. Az adminisztratív személyzet általában az adatszivárgás helyének kezeléséért, míg a leányvállalatok felelősek a ransomware telepítéséért és a hálózatok titkosításáért. Az adminisztratív személyzet lehetővé teszi a bűnözőket, és eltávolításuk nélkül továbbra is lehetővé teszi más bűnözők számára. A leányvállalatok más ransomware-bandáknak fognak dolgozni, ha az adminisztratív személyzet megzavarta.

A leányvállalatok az általuk megvásárolt vagy illegálisan hozzáfért infrastruktúrát használják. Az infrastruktúrával kapcsolatos információkat eszközeik, hálózati kapcsolataik és viselkedéseik teszik közzé. Az adminisztrátorokkal kapcsolatos részletek a váltságdíj folyamatán keresztül kerülnek nyilvánosságra: A váltságdíj-folyamat megtörténtéhez az adminisztrátor biztosít egy kommunikációs és egy fizetési módot.

Bár a jelentőség nem tűnik azonnal értékesnek egy szervezet számára, a bűnüldöző szervek és a kutatók képesek kihasználni ezeket a részleteket, hogy többet tárjanak fel a mögöttük álló bűnözőkről. A LockBit esetében a bűnüldöző szervek képesek voltak a múltbeli incidensek részleteit felhasználni a csoport infrastruktúrájának és egyes leányvállalatainak megzavarására. Ezen információk nélkül, amelyeket a támadás áldozatai és a szövetséges ügynökségek segítségével gyűjtöttek össze, a Cronos hadművelet valószínűleg nem jöhetett volna létre.

Fontos megjegyezni, hogy a szervezeteknek nem kell áldozatoknak lenniük ahhoz, hogy segítsenek. A kormányok szívesen dolgoznak együtt magánszervezetekkel. Az Egyesült Államokban a szervezetek csatlakozhatnak a zsarolóvírusok elleni küzdelemhez, ha együttműködnek a CISA-val, amely létrehozta a Joint Cyber ​​Defense Collaborative-t (JCDC), hogy globális partnerségeket építsenek ki a kritikus és időszerű információk megosztása érdekében. A JCDC megkönnyíti a kétirányú információmegosztást a kormányzati szervek és az állami szervezetek között.

Ez az együttműködés segít a CISA-nak és a szervezeteknek is lépést tartani a trendekkel és azonosítani a támadó infrastruktúrát. Amint azt a LockBit eltávolítása is mutatja, az ilyen típusú együttműködés és információmegosztás kritikus lépést adhat a bűnüldöző szerveknek még a legerősebb támadócsoportokkal szemben is.

Mutassa be a Ransomware elleni United Frontot

Remélhetjük, hogy más ransomware bandák figyelmeztetésként veszik a LockBit elleni fellépést. De addig is legyünk szorgalmasak saját hálózataink biztosításában és felügyeletében, az információk megosztásában és az együttműködésben, mert a ransomware veszélye még nem múlt el. A zsarolóvírus-bandák hasznot húznak, ha áldozataik azt hiszik, hogy elszigeteltek – de amikor a szervezetek és a bűnüldöző szervek kéz a kézben dolgoznak az információk megosztásán, együtt egy lépéssel az ellenfeleik előtt járhatnak.

Időbélyeg:

Még több Sötét olvasmány