למרות שכנופיית LockBit Ransomware-as-a-a-Service (RaaS) טוענת שהיא חוזרת לאחר הסרה מתוקשרת באמצע פברואר, ניתוח חושף הפרעה משמעותית ומתמשכת לפעילות הקבוצה - יחד עם השפעות גלים ברחבי מחתרת פשעי הסייבר, עם השלכות על סיכון עסקי.
LockBit הייתה אחראית ל-25% עד 33% מכל התקפות תוכנות הכופר בשנת 2023, לפי Trend Micro, מה שהופך אותה בקלות לקבוצת השחקנים הגדולה ביותר של איום פיננסי בשנה האחרונה. מאז הופעתה בשנת 2020, היא גבה אלפי קורבנות ומיליוני כופר, כולל פגיעות ציניות בבתי חולים במהלך המגיפה.
השמיים מאמץ מבצע קרונוס, המערבת מספר סוכנויות אכיפת חוק ברחבי העולם, הובילה להפסקות בפלטפורמות הקשורות ל-LockBit, ולהשתלטות על אתר ההדלפות שלה על ידי סוכנות הפשע הלאומית של בריטניה (NCA). לאחר מכן השתמשו הרשויות באחרונים כדי לבצע מעצרים, להטיל סנקציות, לתפוס מטבעות קריפטוגרפיים ועוד פעילויות הקשורות לפעולה הפנימית של הקבוצה. הם גם פרסמו את פאנל הניהול של LockBit וחשפו את שמות השותפים העובדים עם הקבוצה.
בנוסף, הם ציינו כי מפתחות פענוח יהיו זמינים, וחשפו כי LockBit, בניגוד להבטחותיה לקורבנות, מעולם לא מחקה את נתוני הקורבן לאחר ביצוע התשלומים.
בסך הכל זה היה מפגן חכם של כוח וגישה מקהילת השוטרים, שהפחיד אחרים במערכת האקולוגית בסמוך לאחר מכן והוביל לזהירות בכל הנוגע לעבודה עם כל גרסה המתהווה מחדש של LockBit והמנהיג שלה, שעובר על ידי לטפל ב-"LockBitSupp."
חוקרים מ-Trend Micro ציינו כי חודשיים וחצי לאחר מבצע Cronos, ישנן עדויות קטנות וחשובות לכך שהדברים מתהפכים עבור הקבוצה - למרות הטענות של LockBitSupp שהקבוצה חוזרת לפעילות רגילה.
הסרת פשעי סייבר מסוג אחר
מבצע Cronos נתקל בתחילה בספקנות על ידי חוקרים, שהצביעו על הסרות אחרונות ובעלי פרופיל גבוה של קבוצות RaaS כמו Black Basta, קונטי, כוורת, ו-Royal (שלא לדבר על התשתית לגישה ראשונית לטרויאנים כמו עמק, קקבוט, ו-TrickBot), הביאו לכשלים זמניים בלבד עבור המפעילים שלהם.
עם זאת, שביתת LockBit שונה: כמות המידע העצומה שאכיפת החוק הצליחה לגשת אליה ולפרסם אותה פגעה לצמיתות במעמדה של הקבוצה במעגלי האינטרנט האפלים.
"למרות שלעתים קרובות הם מתמקדים בהוצאת תשתית פיקוד ובקרה, המאמץ הזה הלך רחוק יותר", הסבירו חוקרי Trend Micro ב- ניתוח שפורסם היום. "זה ראה שהמשטרה מצליחה לסכן את פאנל הניהול של LockBit, לחשוף שותפים, ולגשת למידע ולשיחות בין שותפים לקורבנות. המאמץ המצטבר הזה עזר להכתים את המוניטין של LockBit בקרב שותפים וקהילת פשעי הסייבר בכלל, מה שיקשה על החזרה ממנו".
אכן, הנשורת מקהילת פשעי הסייבר הייתה מהירה, כך ציין Trend Micro. לאחד, LockBitSupp נאסר משני פורומים מחתרתיים פופולריים, XSS ו-Exploit, מה שמקשה על יכולתו של המנהל לגייס תמיכה ולבנות מחדש.
זמן קצר לאחר מכן, משתמש ב-X (לשעבר טוויטר) בשם "Loxbit" טען בינתיים בפוסט פומבי שרומה על ידי LockBitSupp, בעוד שותף משוער אחר בשם "michon" פתח שרשור בוררות בפורום נגד LockBitSupp בגין אי תשלום. מתווך אחד עם גישה ראשונית שמשתמש ב-"dealfixer" הידית פרסם את מרכולתו אך ציין במפורש שהם לא רוצים לעבוד עם אף אחד מ-LockBit. ו-IAB אחר, "n30n", פתח תביעה בפורום ramp_v2 לגבי אובדן תשלום סביב ההפרעה.
אולי גרוע מכך, חלק מפרשני הפורום היו מודאגים מאוד מכמות המידע העצומה שהמשטרה הצליחה לאסוף, וחלקם שיערו שייתכן כי LockBitSupp אפילו עבדה עם גורמי אכיפת החוק במבצע. LockBitSupp הודיעה במהירות שפגיעות ב-PHP היא האשמה ביכולת של רשויות אכיפת החוק לחדור למידע של הכנופיה; תושבי Dark Web פשוט ציינו שהבאג בן חודשים וביקרו את נוהלי האבטחה של LockBit ואת חוסר ההגנה על שותפים.
"הרגשות של קהילת פשעי הסייבר לשיבוש של LockBit נעו בין שביעות רצון לספקולציות לגבי עתידה של הקבוצה, ורמזים על ההשפעה המשמעותית של התקרית על תעשיית ה-RaaS", על פי הניתוח של Trend Micro, שפורסם היום.
ההשפעה המצמררת של LockBit Disruption על תעשיית ה-RaaS
ואכן, ההפרעה עוררה הרהור עצמי בקרב קבוצות RaaS פעילות אחרות: מפעילת RaaS של Snatch ציינה בערוץ הטלגרם שלה שכולן נמצאות בסיכון.
"נראה שלשיבוש וערעור המודל העסקי הייתה השפעה מצטברת הרבה יותר מאשר ביצוע הסרה טכנית", לפי Trend Micro. "מוניטין ואמון הם המפתח למשיכת שותפים, וכשהם אובדים, קשה יותר לגרום לאנשים לחזור. מבצע קרונוס הצליח לפגוע במרכיב אחד בעסקיו שהיה חשוב ביותר: המותג שלו".
ג'ון קליי, סגן נשיא טרנד מיקרו למודיעין איומים, אומר ל-Dark Reading שההשפעה המצמררת של LockBit וההשפעה המצמררת של ההפרעה על קבוצות RaaS באופן כללי מהווה הזדמנות לניהול סיכונים עסקיים.
"זה יכול להיות זמן לעסקים להעריך מחדש את מודל ההגנה שלהם מכיוון שאנו עשויים לראות האטה בהתקפות בזמן שהקבוצות האחרות הללו מעריכות את האבטחה התפעולית שלהן", הוא מציין. "זהו גם הזמן לבחון תוכנית תגובה לאירוע עסקי כדי לוודא שיש לך את כל ההיבטים של הפרה מכוסה, כולל המשכיות הפעילות העסקית, ביטוח סייבר והתגובה - לשלם או לא לשלם."
סימני חיים של LockBit מוגזמים מאוד
LockBitSupp בכל זאת מנסה להתאושש, מצא Trend Micro - אם כי עם מעט תוצאות חיוביות.
אתרי הדלפות חדשים של Tor הושקו שבוע לאחר המבצע, ו- LockBitSupp אמר בפורום ramp_v2 שהחבורה מחפשת באופן פעיל IABs עם גישה לדומיינים .gov, .edu ו- .org, מה שמצביע על צמא לנקמה. לא עבר זמן רב עד שעשרות של קורבנות כביכול החלו להופיע באתר ההדלפות, החל מה-FBI.
עם זאת, כאשר המועד האחרון לתשלום הכופר הגיע והלך, במקום נתוני FBI רגישים שיופיעו באתר, LockBitSupp פרסמה הצהרה ארוכה שהיא תמשיך לפעול. בנוסף, יותר משני שלישים מהקורבנות היו מתקפות שהועלו מחדש שהתרחשו לפני מבצע קרונוס. מבין האחרים, הקורבנות השתייכו לקבוצות אחרות, כמו ALPHV. בסך הכל, הטלמטריה של טרנד מיקרו חשפה רק אשכול פעילות אמיתי קטן אחד של LockBit אחרי Cronos, מחברה בדרום מזרח אסיה שנשאה דרישה נמוכה של 2,800 דולר כופר.
אולי יותר מדאיג, הקבוצה גם פיתחה גרסה חדשה של תוכנת כופר - Lockbit-NG-Dev. Trend Micro מצאה שיש לו ליבת NET חדשה, המאפשרת לו להיות יותר אגנוסטית לפלטפורמה; זה גם מסיר את יכולות ההפצה העצמית ואת היכולת להדפיס פתקי כופר דרך המדפסות של המשתמש.
"בסיס הקוד חדש לחלוטין ביחס למעבר לשפה החדשה הזו, מה שאומר שכנראה יהיה צורך בדפוסי אבטחה חדשים כדי לזהות אותו. זו עדיין תוכנת כופר פונקציונלית וחזקה", הזהירו חוקרים.
ובכל זאת, אלו הם סימני חיים אנמיים במקרה הטוב עבור LockBit, וקליי מציין שלא ברור לאן הוא או השותפים שלו עשויים ללכת. באופן כללי, הוא מזהיר, המגינים יצטרכו להיות מוכנים לשינויים בטקטיקות של כנופיות תוכנות כופר בהמשך, כאשר אלו המשתתפים במערכת האקולוגית מעריכים את מצב המשחק.
"סביר להניח שקבוצות RaaS מסתכלות על החולשות של עצמן הנתפסות על ידי רשויות החוק", הוא מסביר. "הם עשויים לסקור אילו סוגי עסקים/ארגונים הם מכוונים כדי לא לתת תשומת לב רבה להתקפות שלהם. שותפים עשויים לבחון כיצד הם יכולים לעבור במהירות מקבוצה אחת לאחרת במקרה שקבוצת ה-RaaS הראשית שלהם תוסר."
הוא מוסיף, "מעבר לכיוון חילוץ נתונים בלבד לעומת פריסות של תוכנות כופר עשוי לגדול מכיוון שאלו לא משבשות את העסק, אך עדיין יכולות לאפשר רווחים. יכולנו גם לראות שקבוצות RaaS עוברות לגמרי לכיוון סוגי התקפות אחרים, כמו פגיעה באימייל עסקי (BEC), שנראה שלא גורמים לשיבושים רבים כל כך, אבל עדיין משתלמים מאוד עבור השורות התחתונה שלהם".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 2020
- 2023
- 7
- 800
- a
- יכולת
- יכול
- אודות
- גישה
- פי
- פעיל
- באופן פעיל
- פעילויות
- פעילות
- תוספת
- מוסיף
- מנהל
- שותפים
- סניפים
- לאחר
- בעקבות
- נגד
- סוכנויות
- סוכנות
- תעשיות
- להתיר
- מאפשר
- לאורך
- גם
- בין
- כמות
- an
- אנליזה
- ו
- הודיע
- אחר
- כל
- מופיע
- בוררות
- ARE
- סביב
- מעצרים
- AS
- אסיה
- היבטים
- לְהַעֲרִיך
- At
- לתקוף
- המתקפות
- מנסה
- תשומת לב
- למשוך
- רשויות
- זמין
- בחזרה
- בסיס
- BE
- BEC
- היה
- לפני
- להיות
- הטוב ביותר
- בֵּין
- הגדול ביותר
- שחור
- תַחתִית
- לקפוץ
- מותג
- הפרה
- ברוקר
- חרק
- עסקים
- פשרה בדוא"ל עסקי
- מודל עסקי
- עסקים
- אבל
- by
- נקרא
- הגיע
- CAN
- יכולות
- נשא
- מקרה
- נתפס
- לגרום
- ערוץ
- חוגים
- לטעון
- נתבע
- תביעה
- טענות
- אשכול
- קוד
- בסיס קוד
- איך
- מגיע
- פרשנים
- קהילה
- לחלוטין
- פשרה
- מודאג
- להמשיך
- המשכיות
- להפך
- לִשְׁלוֹט
- שיחות
- ליבה
- יכול
- מכוסה
- פשע
- Cronos
- מטבע מבוזר
- סייבר
- פשעי אינטרנט
- כהה
- קריאה אפלה
- אינטרנט אפל
- נתונים
- המועד אחרון
- עמוק
- המגינים
- גופי בטחון
- דרישה
- פריסות
- למרות
- לאתר
- מתפתח
- DID
- אחר
- לשבש
- התפוררות
- תחומים
- דון
- מטה
- בְּמַהֲלָך
- בקלות
- המערכת האקולוגית
- השפעה
- תופעות
- מאמץ
- אלמנט
- אמייל
- יצא
- אַכִיפָה
- לַחֲלוּטִין
- אֲפִילוּ
- עדות
- מבצע
- פילטרציה
- מוסבר
- מסביר
- לנצל
- חשוף
- מאוד
- נשורת
- רחוק
- FBI
- מעטים
- כספי
- להתמקד
- בעד
- להכריח
- לשעבר
- פוֹרוּם
- פורומים
- קדימה
- מצא
- החל מ-
- פונקציונלי
- נוסף
- עתיד
- כְּנוּפִיָה
- גארנר
- כללי
- לקבל
- מקבל
- לתת
- Go
- Goes
- הולך
- מאוד
- קְבוּצָה
- קבוצה
- היה
- חצי
- לטפל
- קשה
- יש
- he
- עזר
- פרופיל גבוה
- להיטים
- בתי חולים
- איך
- HTML
- HTTPS
- מיידי
- פְּגִיעָה
- השלכות
- חשוב
- שהוטל
- in
- תקרית
- תגובה לאירוע
- כולל
- להגדיל
- המציין
- תעשייה
- מידע
- תשתית
- בתחילה
- בהתחלה
- פְּנִימִי
- במקום
- ביטוח
- מוֹדִיעִין
- אל תוך
- מעורב
- IT
- שֶׁלָה
- jpg
- רק
- רק אחד
- מפתח
- מפתחות
- סוג
- חוסר
- שפה
- אחרון
- שנה שעברה
- הושק
- חוק
- אכיפת החוק
- מוביל
- לדלוף
- הוביל
- החיים
- כמו
- סביר
- קווים
- קְצָת
- ארוך
- נראה
- הסתכלות
- את
- אבוד
- נמוך
- משתלם
- עשוי
- ראשי
- לעשות
- עשייה
- לנהל
- ניהול
- מאי..
- אומר
- בינתיים
- להזכיר
- מוּזְכָּר
- נפגש
- מיקרו
- מיליונים
- מודל
- מודלים
- חודשים
- יותר
- רוב
- המהלך
- הרבה
- מספר
- שמות
- לאומי
- NCA
- צורך
- נחוץ
- נטו
- לעולם לא
- חדש
- הבא
- נוֹרמָלִי
- ציין
- הערות
- התרחשה
- of
- לעתים קרובות
- זקן
- on
- ONE
- מתמשך
- רק
- נפתח
- להפעיל
- מבצע
- מבצעי
- תפעול
- מפעיל
- מפעילי
- הזדמנות
- or
- אחר
- אחרים
- הַחוּצָה
- הפסקות
- שֶׁלוֹ
- מגיפה
- לוח
- משתתף
- דפוסי
- תשלום
- תשלום
- תשלומים
- אֲנָשִׁים
- לצמיתות
- PHP
- לְחַבֵּר
- תכנית
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- מִשׁטָרָה
- שיטור
- פופולרי
- חיובי
- הודעה
- פורסם
- חזק
- פרקטיקות
- יָקָר
- מוּכָן
- להציג
- נשיא
- קופונים להדפסה
- קודם
- רווחים
- מבטיח
- .
- ציבורי
- מהירות
- כופר
- ransomware
- התקפות Ransomware
- מהר
- קריאה
- לאחרונה
- קָשׁוּר
- יחס
- שוחרר
- מסיר
- מוניטין
- חוקרים
- תגובה
- אחראי
- תוצאות
- לַחֲזוֹר
- גילה
- מגלה
- סקירה
- אדוה
- הסיכון
- ניהול סיכונים
- מלכותי
- s
- אמר
- סנקציות
- שביעות רצון
- מתמצא
- ראה
- ציונים
- אבטחה
- לִרְאוֹת
- מחפשים
- נראה
- לתפוס
- לתפוס cryptocurrency
- רגיש
- רגשות
- סטארבקס
- משמרת
- הסטה
- משמרות
- לְהַצִיג
- סִימָן
- משמעותי
- שלטים
- בפשטות
- since
- אתר
- אתרים
- ספקנות
- האט
- קטן
- So
- כמה
- דרומית-מזרחית
- דרום מזרח אסיה
- נצצו
- במיוחד
- ספֵּקוּלָצִיָה
- מעמד
- החל
- החל
- מדינה
- עוד
- להכות
- שביתות
- כזה
- תמיכה
- אמור
- בטוח
- הסובב
- SWIFT
- טקטיקה
- משימות
- השתלטות
- נטילת
- יעד
- טכני
- מברק
- אומר
- זמני
- מֵאֲשֶׁר
- זֶה
- השמיים
- המדינה
- בריטניה
- העולם
- שֶׁלָהֶם
- אז
- שם.
- אלה
- הֵם
- דברים
- זֶה
- אלה
- אם כי?
- אלפים
- איום
- בכל
- זמן
- ל
- היום
- טור
- לקראת
- מְגַמָה
- נָכוֹן
- סומך
- פנייה
- שתיים
- שני שליש
- סוגים
- Uk
- תת קרקעי
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- גרסה
- נגד
- מאוד
- באמצעות
- יכולת חיוניות הקיום
- סְגָן
- סגן הנשיא
- קרבן
- קורבנות
- פגיעות
- רוצה
- מוזהר
- מזהיר
- היה
- לא היה
- דֶרֶך..
- we
- חולשות
- אינטרנט
- שבוע
- הלכתי
- היו
- מה
- מתי
- אשר
- בזמן
- מי
- יצטרך
- עם
- תיק עבודות
- עבד
- עובד
- עובד
- עוֹלָם
- גרוע יותר
- היה
- X
- XSS
- שנה
- אתה
- זפירנט