Til tross for at LockBit ransomware-as-a-service (RaaS)-gjengen hevder å være tilbake etter en høyprofilert nedtakelse i midten av februar, avslører en analyse betydelig, pågående forstyrrelse av gruppens aktiviteter – sammen med ringvirkninger gjennom hele cyberkriminalitetsundergrunnen, med implikasjoner for forretningsrisiko.
LockBit var ansvarlig for 25 % til 33 % av alle løsepengevare-angrep i 2023, ifølge Trend Micro, noe som lett gjorde det til den største økonomiske trusselen aktørgruppen det siste året. Siden den dukket opp i 2020, har den krevd tusenvis av ofre og millioner i løsepenger, inkludert kyniske treff på sykehus under pandemien.
De Operasjon Cronos innsats, som involverer flere rettshåndhevelsesbyråer rundt om i verden, førte til driftsstans på LockBit-tilknyttede plattformer, og en overtakelse av lekkasjestedet av Storbritannias National Crime Agency (NCA). Myndighetene brukte deretter sistnevnte til å foreta arrestasjoner, innføre sanksjoner, beslaglegge kryptovaluta og flere aktiviteter knyttet til gruppens indre. De publiserte også LockBit-adminpanelet og avslørte navnene på tilknyttede selskaper som jobber med gruppen.
Videre bemerket de at dekrypteringsnøkler ville bli gjort tilgjengelige, og avslørte at LockBit, i motsetning til løftene til ofrene, aldri slettet offerdata etter at betalinger ble utført.
Alt i alt var det en kunnskapsrik demonstrasjon av makt og tilgang fra politifellesskapet, som skremte andre i økosystemet i umiddelbar ettertid og førte til varsomhet når det gjelder å jobbe med enhver gjenoppstått versjon av LockBit og dens leder, som går forbi håndtere "LockBitSupp."
Forskere fra Trend Micro bemerket at to og en halv måned etter operasjon Cronos er det svært lite bevis på at ting snur for gruppen – til tross for LockBitSupps påstander om at gruppen er på vei tilbake til normal drift.
En annen type fjerning av nettkriminalitet
Operasjon Cronos ble opprinnelig møtt med skepsis av forskere, som påpekte at andre nylige, høyprofilerte fjerninger av RaaS-grupper som Black Basta, Conti, Hive, og Royal (for ikke å nevne infrastrukturen for førstegangstilgang som trojanere Emotet, Qakbot, og TrickBot), har bare resultert i midlertidige tilbakeslag for operatørene deres.
LockBit-streiken er imidlertid annerledes: Den store mengden informasjon som rettshåndhevelse var i stand til å få tilgang til og offentliggjøre har permanent skadet gruppens stilling i Dark Web-sirkler.
"Mens de ofte fokuserer på å ta ut kommando- og kontrollinfrastruktur, gikk denne innsatsen videre," forklarte Trend Micro-forskere i en analyse offentliggjort i dag. "Det så politiet klarte å kompromittere LockBits administrasjonspanel, avsløre tilknyttede selskaper og få tilgang til informasjon og samtaler mellom tilknyttede selskaper og ofre. Denne kumulative innsatsen har bidratt til å svekke omdømmet til LockBit blant tilknyttede selskaper og nettkriminalitet generelt, noe som vil gjøre det vanskeligere å komme tilbake fra."
Faktisk var nedfallet fra nettkriminalitetssamfunnet raskt, observerte Trend Micro. For en, LockBitSupp har blitt utestengt fra to populære undergrunnsfora, XSS og Exploit, som hindrer administratorens evne til å få støtte og gjenoppbygge.
Kort tid etter hevdet en bruker på X (tidligere Twitter) kalt "Loxbit" i et offentlig innlegg å ha blitt lurt av LockBitSupp, mens en annen antatt tilknyttet selskap kalt "michon" åpnet en forumtråd for voldgift mot LockBitSupp for manglende betaling. En førstegangsmegler som brukte "dealfixer"-håndtaket annonserte varene sine, men nevnte spesifikt at de ikke ønsket å jobbe med noen fra LockBit. Og en annen IAB, "n30n," åpnet et krav på ramp_v2-forumet om tap av betaling rundt avbruddet.
Kanskje verre, noen forumkommentatorer var ekstremt bekymret over den store mengden informasjon som politiet var i stand til å samle, og noen spekulerte i at LockBitSupp til og med kan ha jobbet med rettshåndhevelse på operasjonen. LockBitSupp kunngjorde raskt at en sårbarhet i PHP var skyld i lovhåndhevelsens evne til å infiltrere gjengens informasjon; Dark Web-beboere påpekte ganske enkelt at feilen er måneder gammel og kritiserte LockBits sikkerhetspraksis og mangel på beskyttelse for tilknyttede selskaper.
"Sentimentene til nettkriminalitetssamfunnet til LockBits forstyrrelse varierte fra tilfredshet til spekulasjoner om gruppens fremtid, og antydet den betydelige innvirkningen av hendelsen på RaaS-industrien," ifølge Trend Micros analyse, utgitt i dag.
LockBit Disruptions kjølende effekt på RaaS-industrien
Faktisk har forstyrrelsen utløst en viss selvrefleksjon blant andre aktive RaaS-grupper: En Snatch RaaS-operatør påpekte på Telegram-kanalen sin at de alle var i fare.
"Å forstyrre og undergrave forretningsmodellen ser ut til å ha hatt en langt mer kumulativ effekt enn å utføre en teknisk fjerning," ifølge Trend Micro. "Omdømme og tillit er nøkkelen til å tiltrekke seg tilknyttede selskaper, og når disse går tapt, er det vanskeligere å få folk til å returnere. Operasjon Cronos lyktes i å slå mot ett element i virksomheten som var viktigst: merkevaren.»
Jon Clay, Trend Micros visepresident for trusseletterretning, sier til Dark Reading at LockBits defangering og forstyrrelsens avkjølende effekt på RaaS-grupper generelt gir en mulighet for forretningsrisikostyring.
"Dette kan være en tid for bedrifter å revurdere sine forsvarsmodeller, da vi kan se en nedgang i angrep mens disse andre gruppene vurderer sin egen operasjonelle sikkerhet," bemerker han. "Dette er også en tid for å gjennomgå en responsplan for forretningshendelser for å sikre at du har alle aspekter av et brudd dekket, inkludert forretningsdriftskontinuitet, cyberforsikring og responsen - å betale eller ikke betale."
LockBit livstegn er sterkt overdrevet
LockBitSupp prøver likevel å komme tilbake, fant Trend Micro - men med få positive resultater.
Nye Tor-lekkasjesider ble lansert en uke etter operasjonen, og LockBitSupp sa på ramp_v2-forumet at gjengen aktivt søker etter IAB-er med tilgang til .gov-, .edu- og .org-domener, noe som indikerer en hevntørst. Det tok ikke lang tid før en rekke antatte ofre begynte å dukke opp på lekkasjestedet, og startet med FBI.
Men da fristen for løsepenger kom og gikk, i stedet for at sensitive FBI-data dukket opp på nettstedet, la LockBitSupp ut en lang erklæring om at den ville fortsette å operere. I tillegg besto mer enn to tredjedeler av ofrene av gjenopplastede angrep som skjedde før operasjon Cronos. Av de andre tilhørte ofrene andre grupper, for eksempel ALPHV. Alt i alt avslørte Trend Micros telemetri bare en liten ekte LockBit-aktivitetsklynge etter Cronos, fra et tilknyttet selskap i Sørøst-Asia som hadde et lavt krav på løsepenger på $2,800.
Kanskje mer bekymrende, gruppen har også utviklet en ny versjon av løsepengevare - Lockbit-NG-Dev. Trend Micro fant ut at den har en ny .NET-kjerne, som gjør den mer plattformagnostisk; den fjerner også selvforplantende evner og muligheten til å skrive ut løsepenger via brukerens skrivere.
"Kodebasen er helt ny i forhold til overgangen til dette nye språket, noe som betyr at nye sikkerhetsmønstre sannsynligvis vil være nødvendig for å oppdage det. Det er fortsatt en funksjonell og kraftig løsepengevare,» advarte forskere.
Likevel er disse anemiske livstegn i beste fall for LockBit, og Clay bemerker at det er uklart hvor det eller dets tilknyttede selskaper kan gå videre. Generelt, advarer han, vil forsvarere måtte være forberedt på endringer i løsepengevaregjengens taktikk fremover ettersom de som deltar i økosystemet vurderer situasjonen.
"RaaS-grupper ser sannsynligvis på sine egne svakheter som blir fanget opp av rettshåndhevelse," forklarer han. "De kan vurdere hvilke typer virksomheter/organisasjoner de målretter mot for ikke å gi mye oppmerksomhet til angrepene deres. Tilknyttede selskaper kan se på hvordan de raskt kan skifte fra en gruppe til en annen i tilfelle deres viktigste RaaS-gruppe blir tatt ned."
Han legger til, "skifting mot kun dataeksfiltrering versus distribusjon av løsepengevare kan øke ettersom disse ikke forstyrrer en virksomhet, men fortsatt kan tillate fortjeneste. Vi kunne også se RaaS-grupper skifte helt mot andre angrepstyper, som forretningse-postkompromittering (BEC), som ikke ser ut til å forårsake så mye forstyrrelser, men som fortsatt er veldig lukrative for bunnlinjene deres.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability
- : har
- :er
- :ikke
- :hvor
- $OPP
- 2020
- 2023
- 7
- 800
- a
- evne
- I stand
- Om oss
- adgang
- Ifølge
- aktiv
- aktivt
- Aktiviteter
- aktivitet
- tillegg
- Legger
- admin
- Partnerskap
- agenter
- Etter
- kjølvannet
- mot
- byråer
- byrå
- Alle
- tillate
- tillater
- langs
- også
- blant
- beløp
- an
- analyse
- og
- annonsert
- En annen
- noen
- vises
- megling
- ER
- rundt
- arrestasjoner
- AS
- asia
- aspekter
- vurdere
- At
- angripe
- Angrep
- forsøker
- oppmerksomhet
- tiltrekker
- Myndigheter
- tilgjengelig
- tilbake
- basen
- BE
- BEC
- vært
- før du
- være
- BEST
- mellom
- Biggest
- Svart
- Bunn
- Sprette
- merke
- brudd
- megler
- Bug
- virksomhet
- bedriftens e-postkompromiss
- forretningsmodell
- bedrifter
- men
- by
- som heter
- kom
- CAN
- evner
- gjennomført
- saken
- fanget
- Årsak
- Kanal
- sirkler
- hevder
- hevdet
- hevder
- krav
- Cluster
- kode
- kodebase
- Kom
- kommer
- kommentatorer
- samfunnet
- helt
- kompromiss
- bekymret
- fortsette
- kontinuitet
- motsetning
- kontroll
- samtaler
- Kjerne
- kunne
- dekket
- Crime
- Cronos
- cryptocurrency
- cyber
- cybercrime
- mørk
- Mørk lesning
- mørk Web
- dato
- Fristen
- dyp
- Defenders
- Forsvar
- Etterspørsel
- distribusjoner
- Til tross for
- oppdage
- utvikle
- gJORDE
- forskjellig
- Avbryte
- Avbrudd
- domener
- Don
- ned
- under
- lett
- økosystem
- effekt
- effekter
- innsats
- element
- emalje
- dukket
- håndhevelse
- fullstendig
- Selv
- bevis
- utførende
- eksfiltrering
- forklarte
- forklarer
- Exploit
- utsatt
- ekstremt
- nedfall
- langt
- FBI
- Noen få
- finansiell
- Fokus
- Til
- Tving
- tidligere
- Forum
- fora
- Forward
- funnet
- fra
- funksjonelle
- videre
- framtid
- Gjeng
- garner
- general
- få
- blir
- Gi
- Go
- Går
- skal
- sterkt
- Gruppe
- Gruppens
- HAD
- Halvparten
- håndtere
- hardere
- Ha
- he
- hjulpet
- høy profil
- Hits
- sykehus
- Hvordan
- HTML
- HTTPS
- umiddelbar
- Påvirkning
- implikasjoner
- viktig
- pålegge
- in
- hendelse
- hendelsesrespons
- Inkludert
- Øke
- indikerer
- industri
- informasjon
- Infrastruktur
- innledende
- i utgangspunktet
- indre
- i stedet
- forsikring
- Intelligens
- inn
- involverer
- IT
- DET ER
- jpg
- bare
- bare én
- nøkkel
- nøkler
- Type
- maling
- Språk
- Siste
- I fjor
- lansert
- Law
- rettshåndhevelse
- ledende
- lekke
- Led
- Life
- i likhet med
- Sannsynlig
- linjer
- lite
- Lang
- Se
- ser
- tap
- tapte
- Lav
- lukrative
- laget
- Hoved
- gjøre
- Making
- administrer
- ledelse
- Kan..
- midler
- Mellomtiden
- nevner
- nevnt
- møtte
- micro
- millioner
- modell
- modeller
- måneder
- mer
- mest
- flytte
- mye
- flere
- navn
- nasjonal
- AQL
- Trenger
- nødvendig
- nett
- aldri
- Ny
- neste
- normal
- bemerket
- Merknader
- forekom
- of
- ofte
- Gammel
- on
- ONE
- pågående
- bare
- åpnet
- betjene
- drift
- operasjonell
- Drift
- operatør
- operatører
- Opportunity
- or
- Annen
- andre
- ut
- brudd
- egen
- pandemi
- panel
- deltakende
- mønstre
- Betale
- betaling
- betalinger
- Ansatte
- permanent
- PHP
- brikke
- fly
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- Politiet
- politi
- Populær
- positiv
- Post
- postet
- kraftig
- praksis
- Dyrebar
- forberedt
- presentere
- president
- Skrive ut
- Før
- fortjeneste
- lover
- beskyttelse
- offentlig
- raskt
- Ransom
- ransomware
- Ransomware-angrep
- raskt
- Lesning
- nylig
- i slekt
- forhold
- utgitt
- Fjerner
- omdømme
- forskere
- svar
- ansvarlig
- Resultater
- retur
- Avslørt
- avslører
- anmeldelse
- Ripple
- Risiko
- risikostyring
- kongelig
- s
- Sa
- sanksjoner
- tilfredshet
- erfarne
- så
- score
- sikkerhet
- se
- søker
- synes
- Gripe
- gripe cryptocurrency
- sensitive
- følelser
- Tilbakeslag
- skift
- SKIFTENDE
- Skift
- Vis
- undertegne
- signifikant
- Skilt
- ganske enkelt
- siden
- nettstedet
- Nettsteder
- Skepsis
- Ro ned
- liten
- So
- noen
- sørøst
- Sørøst-Asia
- gnist
- spesielt
- spekulasjon
- stående
- startet
- Start
- Tilstand
- Still
- streik
- streik
- slik
- støtte
- ment
- sikker
- rundt
- SWIFT
- taktikk
- tatt
- overtakelse
- ta
- Target
- Teknisk
- Telegram
- forteller
- midlertidig
- enn
- Det
- De
- Staten
- Storbritannia
- verden
- deres
- deretter
- Der.
- Disse
- de
- ting
- denne
- De
- selv om?
- tusener
- trussel
- hele
- tid
- til
- i dag
- Tor
- mot
- Trend
- sant
- Stol
- Turning
- to
- to tredjedeler
- typer
- Uk
- underjordisk
- brukt
- Bruker
- ved hjelp av
- versjon
- Versus
- veldig
- av
- levedyktighet
- vice
- Vice President
- Offer
- ofre
- sårbarhet
- ønsker
- advarte
- advarer
- var
- var det ikke
- Vei..
- we
- svakheter
- web
- uke
- gikk
- var
- Hva
- når
- hvilken
- mens
- HVEM
- vil
- med
- Arbeid
- arbeidet
- arbeid
- hjemkomsten
- verden
- verre
- ville
- X
- XSS
- år
- Du
- zephyrnet
