LockBit 랜섬웨어 게시 중단으로 브랜드의 생존 가능성이 깊숙이 파고들다

LockBit RaaS(Ransomware-as-a-Service) 갱단이 2월 중순 세간의 이목을 끌었던 게시 중단 후 다시 돌아왔다고 주장하고 있음에도 불구하고, 분석에 따르면 지하 사이버 범죄 전반에 파급 효과와 함께 그룹 활동에 심각하고 지속적인 혼란이 있는 것으로 나타났습니다. 비즈니스 위험에 영향을 미칩니다.

Trend Micro에 따르면 LockBit은 25년 모든 랜섬웨어 공격의 33~2023%를 담당했으며 지난해 가장 큰 금융 위협 행위자 그룹으로 자리매김했습니다. 2020년에 등장한 이후로 팬데믹 기간 동안 병원에 대한 냉소적인 공격을 포함하여 수천 명의 피해자와 수백만 명의 몸값을 요구했습니다.

XNUMXD덴탈의 크로노스 작전 노력, 전 세계 여러 법 집행 기관이 참여한 사건으로 인해 LockBit 계열 플랫폼이 중단되고 영국 국립범죄수사국(NCA)이 유출 사이트를 인수했습니다. 그런 다음 당국은 후자를 사용하여 체포하고, 제재를 가하고, 암호화폐를 압수하고, 그룹의 내부 활동과 관련된 더 많은 활동을 수행했습니다. 그들은 또한 LockBit 관리 패널을 공개하고 그룹과 협력하는 계열사의 이름을 노출했습니다.

또한 그들은 암호 해독 키를 사용할 수 있게 될 것이라고 언급했으며 LockBit은 피해자에 대한 약속과는 달리 지불이 이루어진 후 피해자 데이터를 삭제하지 않았다는 사실을 밝혔습니다.

전체적으로 그것은 치안 커뮤니티의 능숙한 무력 과시였으며 즉각적인 여파로 생태계의 다른 사람들을 놀라게 하고 다시 등장하는 LockBit 버전 및 그 주역과 협력할 때 경계심을 불러일으켰습니다. "LockBitSupp"를 처리합니다.

Trend Micro의 연구원들은 Cronos 작전 이후 2개월 반이 지난 지금 그룹이 정상 운영으로 복귀하고 있다는 LockBitSupp의 주장에도 불구하고 그룹의 상황이 반전되고 있다는 증거가 거의 없다고 지적했습니다.

다른 종류의 사이버 범죄 게시 중단

Cronos 작전은 처음에 연구원들에 의해 회의적인 반응을 보였습니다. 그들은 최근 Black Basta와 같은 RaaS 그룹에 대한 다른 유명 인사의 게시 중단을 지적했습니다. 콘티, 하이브및 Royal(예: 초기 액세스 트로이 목마를 위한 인프라는 말할 것도 없고) Emotet, 칵봇및 TrickBot)은 운영자에게 일시적인 차질만을 가져왔습니다.

그러나 LockBit 파업은 다릅니다. 법 집행 기관이 접근하고 공개할 수 있었던 엄청난 양의 정보로 인해 다크 웹 서클에서 그룹의 입지가 영구적으로 손상되었습니다.

트렌드마이크로 연구원들은 “그들은 종종 명령 및 제어 인프라를 확보하는 데 중점을 두지만 이러한 노력은 더 나아졌습니다.”라고 설명했습니다. 오늘 발표된 분석. “경찰이 LockBit의 관리 패널을 손상시키고, 계열사를 폭로하고, 계열사와 피해자 간의 정보와 대화에 접근하는 것을 보았습니다. 이러한 누적된 노력은 계열사 및 사이버 범죄 커뮤니티 전반에서 LockBit의 평판을 훼손하는 데 도움이 되었으며, 이로 인해 복구가 더 어려워질 것입니다.”

실제로 사이버 범죄 커뮤니티의 피해는 신속했다고 Trend Micro는 밝혔습니다. 하나는, LockBitSupp이 금지되었습니다 두 개의 인기 있는 지하 포럼인 XSS와 Exploit에서 발생하는 문제로 인해 관리자의 지원 확보 및 재구축 능력이 방해를 받고 있습니다.

얼마 지나지 않아 "Loxbit"이라는 X(이전 Twitter) 사용자는 공개 게시물에서 LockBitSupp에 의해 사기를 당했다고 주장했으며, "michon"이라는 또 다른 추정 제휴사는 미지급에 대한 LockBitSupp에 대한 포럼 중재 스레드를 열었습니다. "dealfixer"라는 핸들을 사용하는 한 초기 액세스 브로커는 자신의 상품을 광고했지만 LockBit의 어느 누구와도 협력하고 싶지 않다고 구체적으로 언급했습니다. 그리고 또 다른 IAB인 "n30n"은 중단으로 인한 지불 손실에 대해 Ramp_v2 포럼에 클레임을 제기했습니다.

아마도 일부 포럼 논평자들은 경찰이 수집할 수 있는 엄청난 양의 정보에 대해 극도로 우려했으며, 일부는 LockBitSupp이 해당 작전에 대해 법 집행 기관과 협력했을 수도 있다고 추측했습니다. LockBitSupp은 갱단의 정보에 침투하는 법 집행 기관의 능력이 PHP의 취약점 때문이라고 재빨리 발표했습니다. 다크웹 지지자들은 단순히 버그가 몇 달 된 것이라고 지적하고 LockBit의 보안 관행과 계열사에 대한 보호 부족을 비판했습니다.

오늘 발표된 Trend Micro의 분석에 따르면 "LockBit의 중단에 대한 사이버 범죄 커뮤니티의 감정은 그룹의 미래에 대한 만족에서 추측까지 다양했으며 이는 이 사건이 RaaS 업계에 미치는 중대한 영향을 암시합니다."라고 밝혔습니다.

LockBit 중단이 RaaS 산업에 미치는 냉각 효과

실제로 이러한 혼란은 다른 활동적인 RaaS 그룹들 사이에서 일부 자기 반성을 촉발시켰습니다. Snatch RaaS 운영자는 Telegram 채널에서 그들 모두가 위험에 처해 있다고 지적했습니다.

Trend Micro에 따르면 "비즈니스 모델을 방해하고 훼손하는 것은 기술적인 게시 중단을 실행하는 것보다 훨씬 더 누적된 효과를 가져온 것 같습니다." “평판과 신뢰가 가맹점 유치의 핵심, 그리고 이것들이 손실되면 사람들이 다시 돌아오도록 하는 것이 더 어렵습니다. Cronos 작전은 비즈니스에서 가장 중요한 요소 중 하나인 브랜드를 공격하는 데 성공했습니다.”

Trend Micro의 위협 인텔리전스 담당 부사장인 Jon Clay는 Dark Reading에 대해 LockBit의 방어와 RaaS 그룹에 대한 혼란의 냉각 효과가 일반적으로 비즈니스 위험 관리에 대한 기회를 제공한다고 말했습니다.

그는 “다른 그룹이 자체 운영 보안을 평가하는 동안 공격 속도가 느려질 수 있으므로 기업이 방어 모델을 재평가해야 할 때가 될 수 있습니다.”라고 말합니다. "이것은 또한 비즈니스 운영 연속성, 사이버 보험, 지불 여부에 대한 대응을 포함하여 위반의 모든 측면이 포함되었는지 확인하기 위해 비즈니스 사고 대응 계획을 검토할 때입니다."

LockBit의 삶의 징후는 크게 과장되었습니다

그럼에도 불구하고 LockBitSupp은 반등을 시도하고 있다고 Trend Micro는 밝혔습니다. 그러나 긍정적인 결과는 거의 없습니다.

새로운 Tor 유출 사이트는 운영 일주일 후에 시작되었으며, LockBitSupp은 lamp_v2 포럼에서 갱단이 .gov, .edu 및 .org 도메인에 액세스할 수 있는 IAB를 적극적으로 찾고 있다고 밝혔으며, 이는 복수에 대한 갈증을 나타냅니다. FBI를 시작으로 피해자로 추정되는 수십 명이 유출 사이트에 나타나기 시작한 것은 그리 오래되지 않았습니다.

그러나 몸값 지불 기한이 왔다가 지나갔을 때 LockBitSupp는 민감한 FBI 데이터가 사이트에 표시되는 대신 계속 운영하겠다는 긴 선언문을 게시했습니다. 또한 피해자의 2,800분의 XNUMX 이상이 크로노스 작전 이전에 발생한 재업로드 공격으로 구성되었습니다. 그 중 피해자들은 ALPHV와 같은 다른 그룹에 속해 있었습니다. 전체적으로 Trend Micro의 원격 측정 결과는 Cronos 다음으로 몸값 요구액이 XNUMX달러로 낮은 동남아시아 계열사로부터 단 하나의 작은 LockBit 활동 클러스터가 드러났습니다.

아마도 더 우려스러운 점은 이 그룹이 새로운 버전의 랜섬웨어인 Lockbit-NG-Dev도 개발하고 있다는 점입니다. Trend Micro는 플랫폼에 구애받지 않는 새로운 .NET 코어를 갖추고 있음을 발견했습니다. 또한 자체 전파 기능과 사용자 프린터를 통해 몸값 메모를 인쇄하는 기능도 제거합니다.

“이 새로운 언어로의 전환과 관련하여 코드 기반은 완전히 새로운 것이므로 이를 탐지하려면 새로운 보안 패턴이 필요할 가능성이 높습니다. 이는 여전히 기능적이고 강력한 랜섬웨어입니다.”라고 연구원들은 경고했습니다.

그럼에도 불구하고 이는 LockBit의 빈혈 징후이며 Clay는 LockBit이나 그 계열사가 다음에 어디로 갈지 불분명하다고 지적합니다. 일반적으로 그는 생태계에 참여하는 사람들이 플레이 상태를 평가함에 따라 방어자들은 앞으로 랜섬웨어 갱 전술의 변화에 ​​대비해야 한다고 경고합니다.

"RaaS 그룹은 법 집행 기관에 의해 적발된 자신의 약점을 조사할 가능성이 높습니다."라고 그는 설명합니다. “그들은 공격에 별로 주의를 기울이지 않기 위해 어떤 유형의 기업/조직을 표적으로 삼는지 검토할 수 있습니다. 계열사는 주요 RaaS 그룹이 무너질 경우 한 그룹에서 다른 그룹으로 빠르게 이동할 수 있는 방법을 살펴볼 수 있습니다."

그는 “랜섬웨어 배포에 비해 데이터 유출로만 전환하는 경우 비즈니스에 지장을 주지 않으면서도 여전히 이익을 얻을 수 있으므로 증가할 수 있습니다. 또한 RaaS 그룹이 완전히 RaaS로 전환하는 것을 볼 수 있었습니다. 비즈니스 이메일 침해(BEC)와 같은 기타 공격 유형, 이는 큰 혼란을 야기하지는 않지만 여전히 수익성 측면에서 매우 수익성이 높습니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability