הסרת תוכנות כופר של LockBit פוגעת עמוק בכדאיות המותג

למרות שכנופיית LockBit Ransomware-as-a-a-Service (RaaS) טוענת שהיא חוזרת לאחר הסרה מתוקשרת באמצע פברואר, ניתוח חושף הפרעה משמעותית ומתמשכת לפעילות הקבוצה - יחד עם השפעות גלים ברחבי מחתרת פשעי הסייבר, עם השלכות על סיכון עסקי.

LockBit הייתה אחראית ל-25% עד 33% מכל התקפות תוכנות הכופר בשנת 2023, לפי Trend Micro, מה שהופך אותה בקלות לקבוצת השחקנים הגדולה ביותר של איום פיננסי בשנה האחרונה. מאז הופעתה בשנת 2020, היא גבה אלפי קורבנות ומיליוני כופר, כולל פגיעות ציניות בבתי חולים במהלך המגיפה.

השמיים מאמץ מבצע קרונוס, המערבת מספר סוכנויות אכיפת חוק ברחבי העולם, הובילה להפסקות בפלטפורמות הקשורות ל-LockBit, ולהשתלטות על אתר ההדלפות שלה על ידי סוכנות הפשע הלאומית של בריטניה (NCA). לאחר מכן השתמשו הרשויות באחרונים כדי לבצע מעצרים, להטיל סנקציות, לתפוס מטבעות קריפטוגרפיים ועוד פעילויות הקשורות לפעולה הפנימית של הקבוצה. הם גם פרסמו את פאנל הניהול של LockBit וחשפו את שמות השותפים העובדים עם הקבוצה.

בנוסף, הם ציינו כי מפתחות פענוח יהיו זמינים, וחשפו כי LockBit, בניגוד להבטחותיה לקורבנות, מעולם לא מחקה את נתוני הקורבן לאחר ביצוע התשלומים.

בסך הכל זה היה מפגן חכם של כוח וגישה מקהילת השוטרים, שהפחיד אחרים במערכת האקולוגית בסמוך לאחר מכן והוביל לזהירות בכל הנוגע לעבודה עם כל גרסה המתהווה מחדש של LockBit והמנהיג שלה, שעובר על ידי לטפל ב-"LockBitSupp."

חוקרים מ-Trend Micro ציינו כי חודשיים וחצי לאחר מבצע Cronos, ישנן עדויות קטנות וחשובות לכך שהדברים מתהפכים עבור הקבוצה - למרות הטענות של LockBitSupp שהקבוצה חוזרת לפעילות רגילה.

הסרת פשעי סייבר מסוג אחר

מבצע Cronos נתקל בתחילה בספקנות על ידי חוקרים, שהצביעו על הסרות אחרונות ובעלי פרופיל גבוה של קבוצות RaaS כמו Black Basta, קונטי, כוורת, ו-Royal (שלא לדבר על התשתית לגישה ראשונית לטרויאנים כמו עמק, קקבוט, ו-TrickBot), הביאו לכשלים זמניים בלבד עבור המפעילים שלהם.

עם זאת, שביתת LockBit שונה: כמות המידע העצומה שאכיפת החוק הצליחה לגשת אליה ולפרסם אותה פגעה לצמיתות במעמדה של הקבוצה במעגלי האינטרנט האפלים.

"למרות שלעתים קרובות הם מתמקדים בהוצאת תשתית פיקוד ובקרה, המאמץ הזה הלך רחוק יותר", הסבירו חוקרי Trend Micro ב- ניתוח שפורסם היום. "זה ראה שהמשטרה מצליחה לסכן את פאנל הניהול של LockBit, לחשוף שותפים, ולגשת למידע ולשיחות בין שותפים לקורבנות. המאמץ המצטבר הזה עזר להכתים את המוניטין של LockBit בקרב שותפים וקהילת פשעי הסייבר בכלל, מה שיקשה על החזרה ממנו".

אכן, הנשורת מקהילת פשעי הסייבר הייתה מהירה, כך ציין Trend Micro. לאחד, LockBitSupp נאסר משני פורומים מחתרתיים פופולריים, XSS ו-Exploit, מה שמקשה על יכולתו של המנהל לגייס תמיכה ולבנות מחדש.

זמן קצר לאחר מכן, משתמש ב-X (לשעבר טוויטר) בשם "Loxbit" טען בינתיים בפוסט פומבי שרומה על ידי LockBitSupp, בעוד שותף משוער אחר בשם "michon" פתח שרשור בוררות בפורום נגד LockBitSupp בגין אי תשלום. מתווך אחד עם גישה ראשונית שמשתמש ב-"dealfixer" הידית פרסם את מרכולתו אך ציין במפורש שהם לא רוצים לעבוד עם אף אחד מ-LockBit. ו-IAB אחר, "n30n", פתח תביעה בפורום ramp_v2 לגבי אובדן תשלום סביב ההפרעה.

אולי גרוע מכך, חלק מפרשני הפורום היו מודאגים מאוד מכמות המידע העצומה שהמשטרה הצליחה לאסוף, וחלקם שיערו שייתכן כי LockBitSupp אפילו עבדה עם גורמי אכיפת החוק במבצע. LockBitSupp הודיעה במהירות שפגיעות ב-PHP היא האשמה ביכולת של רשויות אכיפת החוק לחדור למידע של הכנופיה; תושבי Dark Web פשוט ציינו שהבאג בן חודשים וביקרו את נוהלי האבטחה של LockBit ואת חוסר ההגנה על שותפים.

"הרגשות של קהילת פשעי הסייבר לשיבוש של LockBit נעו בין שביעות רצון לספקולציות לגבי עתידה של הקבוצה, ורמזים על ההשפעה המשמעותית של התקרית על תעשיית ה-RaaS", על פי הניתוח של Trend Micro, שפורסם היום.

ההשפעה המצמררת של LockBit Disruption על תעשיית ה-RaaS

ואכן, ההפרעה עוררה הרהור עצמי בקרב קבוצות RaaS פעילות אחרות: מפעילת RaaS של Snatch ציינה בערוץ הטלגרם שלה שכולן נמצאות בסיכון.

"נראה שלשיבוש וערעור המודל העסקי הייתה השפעה מצטברת הרבה יותר מאשר ביצוע הסרה טכנית", לפי Trend Micro. "מוניטין ואמון הם המפתח למשיכת שותפים, וכשהם אובדים, קשה יותר לגרום לאנשים לחזור. מבצע קרונוס הצליח לפגוע במרכיב אחד בעסקיו שהיה חשוב ביותר: המותג שלו".

ג'ון קליי, סגן נשיא טרנד מיקרו למודיעין איומים, אומר ל-Dark Reading שההשפעה המצמררת של LockBit וההשפעה המצמררת של ההפרעה על קבוצות RaaS באופן כללי מהווה הזדמנות לניהול סיכונים עסקיים.

"זה יכול להיות זמן לעסקים להעריך מחדש את מודל ההגנה שלהם מכיוון שאנו עשויים לראות האטה בהתקפות בזמן שהקבוצות האחרות הללו מעריכות את האבטחה התפעולית שלהן", הוא מציין. "זהו גם הזמן לבחון תוכנית תגובה לאירוע עסקי כדי לוודא שיש לך את כל ההיבטים של הפרה מכוסה, כולל המשכיות הפעילות העסקית, ביטוח סייבר והתגובה - לשלם או לא לשלם."

סימני חיים של LockBit מוגזמים מאוד

LockBitSupp בכל זאת מנסה להתאושש, מצא Trend Micro - אם כי עם מעט תוצאות חיוביות.

אתרי הדלפות חדשים של Tor הושקו שבוע לאחר המבצע, ו- LockBitSupp אמר בפורום ramp_v2 שהחבורה מחפשת באופן פעיל IABs עם גישה לדומיינים .gov, .edu ו- .org, מה שמצביע על צמא לנקמה. לא עבר זמן רב עד שעשרות של קורבנות כביכול החלו להופיע באתר ההדלפות, החל מה-FBI.

עם זאת, כאשר המועד האחרון לתשלום הכופר הגיע והלך, במקום נתוני FBI רגישים שיופיעו באתר, LockBitSupp פרסמה הצהרה ארוכה שהיא תמשיך לפעול. בנוסף, יותר משני שלישים מהקורבנות היו מתקפות שהועלו מחדש שהתרחשו לפני מבצע קרונוס. מבין האחרים, הקורבנות השתייכו לקבוצות אחרות, כמו ALPHV. בסך הכל, הטלמטריה של טרנד מיקרו חשפה רק אשכול פעילות אמיתי קטן אחד של LockBit אחרי Cronos, מחברה בדרום מזרח אסיה שנשאה דרישה נמוכה של 2,800 דולר כופר.

אולי יותר מדאיג, הקבוצה גם פיתחה גרסה חדשה של תוכנת כופר - Lockbit-NG-Dev. Trend Micro מצאה שיש לו ליבת NET חדשה, המאפשרת לו להיות יותר אגנוסטית לפלטפורמה; זה גם מסיר את יכולות ההפצה העצמית ואת היכולת להדפיס פתקי כופר דרך המדפסות של המשתמש.

"בסיס הקוד חדש לחלוטין ביחס למעבר לשפה החדשה הזו, מה שאומר שכנראה יהיה צורך בדפוסי אבטחה חדשים כדי לזהות אותו. זו עדיין תוכנת כופר פונקציונלית וחזקה", הזהירו חוקרים.

ובכל זאת, אלו הם סימני חיים אנמיים במקרה הטוב עבור LockBit, וקליי מציין שלא ברור לאן הוא או השותפים שלו עשויים ללכת. באופן כללי, הוא מזהיר, המגינים יצטרכו להיות מוכנים לשינויים בטקטיקות של כנופיות תוכנות כופר בהמשך, כאשר אלו המשתתפים במערכת האקולוגית מעריכים את מצב המשחק.

"סביר להניח שקבוצות RaaS מסתכלות על החולשות של עצמן הנתפסות על ידי רשויות החוק", הוא מסביר. "הם עשויים לסקור אילו סוגי עסקים/ארגונים הם מכוונים כדי לא לתת תשומת לב רבה להתקפות שלהם. שותפים עשויים לבחון כיצד הם יכולים לעבור במהירות מקבוצה אחת לאחרת במקרה שקבוצת ה-RaaS הראשית שלהם תוסר."

הוא מוסיף, "מעבר לכיוון חילוץ נתונים בלבד לעומת פריסות של תוכנות כופר עשוי לגדול מכיוון שאלו לא משבשות את העסק, אך עדיין יכולות לאפשר רווחים. יכולנו גם לראות שקבוצות RaaS עוברות לגמרי לכיוון סוגי התקפות אחרים, כמו פגיעה באימייל עסקי (BEC), שנראה שלא גורמים לשיבושים רבים כל כך, אבל עדיין משתלמים מאוד עבור השורות התחתונה שלהם".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability