Usunięcie oprogramowania ransomware LockBit uderza głęboko w rentowność marki

Mimo że gang LockBit oferujący ransomware jako usługę (RaaS) twierdzi, że powrócił po głośnym ataku w połowie lutego, analiza ujawnia znaczące, ciągłe zakłócenia w działalności grupy – wraz z konsekwencjami w całym podziemiu cyberprzestępczym. z konsekwencjami dla ryzyka biznesowego.

Według Trend Micro firma LockBit była odpowiedzialna za od 25% do 33% wszystkich ataków oprogramowania ransomware w 2023 r., co z łatwością czyni ją największą grupą podmiotów zajmujących się zagrożeniami finansowymi w zeszłym roku. Od czasu jego pojawienia się w 2020 r. pochłonął tysiące ofiar i miliony okupów, w tym cyniczne ataki na szpitale podczas pandemii.

Połączenia Operacja Cronos, wysiłek, w które zaangażowanych było wiele organów ścigania na całym świecie, doprowadziło do przestojów na platformach powiązanych z LockBit i przejęcia miejsca wycieków przez brytyjską Narodową Agencję ds. Przestępczości (NCA). Następnie władze wykorzystały to drugie do aresztowań, nałożenia sankcji, przejęcia kryptowaluty i innych działań związanych z wewnętrznym funkcjonowaniem grupy. Nagłośnili także panel administracyjny LockBit i ujawnili nazwiska partnerów współpracujących z grupą.

Ponadto zauważyli, że udostępnione zostaną klucze odszyfrowujące, i ujawnili, że LockBit, wbrew obietnicom złożonym ofiarom, nigdy nie usuwał danych ofiar po dokonaniu płatności.

Podsumowując, był to sprytny pokaz siły i dostępu ze strony społeczności policyjnej, który wystraszył innych w ekosystemie bezpośrednio po nim i wywołał ostrożność, jeśli chodzi o współpracę z jakąkolwiek ponownie pojawiającą się wersją LockBit i jego przywódcą, który kieruje się obsłuż „LockBitSupp.”

Badacze z Trend Micro zauważyli, że dwa i pół miesiąca po operacji Cronos istnieje bardzo niewiele dowodów na to, że sytuacja grupy się odwraca – pomimo twierdzeń LockBitSupp, że grupa odzyskuje normalną działalność.

Inny rodzaj eliminacji cyberprzestępczości

Operacja Cronos początkowo spotkała się ze sceptycyzmem badaczy, którzy wskazali, że inne niedawne, głośne ataki na grupy RaaS, takie jak Black Basta, Conti, Uli Royal (nie wspominając o infrastrukturze dla trojanów pierwszego dostępu, takich jak Emotet, Qakboti TrickBot), spowodowały jedynie tymczasowe niepowodzenia dla ich operatorów.

Jednak strajk LockBit jest inny: sama ilość informacji, do których organy ścigania mogły uzyskać dostęp i które upublicznić, trwale nadszarpnęła pozycję grupy w kręgach Dark Web.

„Chociaż często koncentrują się na zniszczeniu infrastruktury dowodzenia i kontroli, wysiłki te poszły o krok dalej” – wyjaśnili badacze Trend Micro w: opublikowana dzisiaj analiza. „Dzięki policji udało się złamać panel administracyjny LockBit, zdemaskować podmioty stowarzyszone oraz uzyskać dostęp do informacji i rozmów między podmiotami stowarzyszonymi a ofiarami. Ten skumulowany wysiłek pomógł zszarganić reputację LockBit wśród podmiotów stowarzyszonych i ogólnie społeczności cyberprzestępczej, co utrudni powrót do zdrowia.”

Trend Micro zauważył, że skutki działań społeczności cyberprzestępczej były szybkie. Dla jednego LockBitSupp został zbanowany z dwóch popularnych podziemnych forów, XSS i Exploit, utrudniając administratorowi zdobycie wsparcia i odbudowę.

Niedługo potem użytkownik X (dawniej Twittera) o nazwie „Loxbit” w publicznym poście stwierdził, że został oszukany przez LockBitSupp, podczas gdy inny domniemany partner o nazwie „michon” otworzył wątek arbitrażowy na forum przeciwko LockBitSupp w związku z brakiem płatności. Jeden z brokerów o pierwszym dostępie, używający pseudonimu „dealfixer”, reklamował swoje produkty, ale wyraźnie wspomniał, że nie chce współpracować z nikim z LockBit. Inny IAB, „n30n”, otworzył roszczenie na forum ramp_v2 w związku z utratą płatności w związku z zakłóceniami.

Co gorsza, niektórzy komentatorzy na forum byli niezwykle zaniepokojeni samą ilością informacji, które policja była w stanie zebrać, a niektórzy spekulowali, że LockBitSupp mógł nawet współpracować przy tej operacji z organami ścigania. LockBitSupp szybko ogłosił, że za zdolność organów ścigania do infiltracji informacji gangu odpowiedzialna jest luka w PHP; Mieszkańcy Dark Web po prostu zwrócili uwagę, że błąd ma kilka miesięcy i skrytykowali praktyki bezpieczeństwa LockBit oraz brak ochrony dla partnerów.

„Nastroje społeczności cyberprzestępczej w związku z zakłóceniami działalności LockBit wahały się od satysfakcji po spekulacje na temat przyszłości grupy, wskazujące na znaczący wpływ incydentu na branżę RaaS” – wynika z opublikowanej dzisiaj analizy Trend Micro.

Mrożący wpływ LockBit Disruption na branżę RaaS

Rzeczywiście, zakłócenia wywołały pewną autorefleksję wśród innych aktywnych grup RaaS: operator Snatch RaaS zauważył na swoim kanale Telegram, że wszyscy są zagrożeni.

„Wydaje się, że zakłócanie i podważanie modelu biznesowego miało znacznie bardziej skumulowany skutek niż przeprowadzenie usunięcia technicznego” – twierdzi Trend Micro. „Reputacja i zaufanie są kluczem do przyciągnięcia partnerów, a gdy te zostaną utracone, trudniej jest nakłonić ludzi do powrotu. Operacji Cronos udało się uderzyć w jeden najważniejszy element jej działalności: markę.

Jon Clay, wiceprezes ds. analizy zagrożeń w firmie Trend Micro, mówi Dark Reading, że defangażowanie LockBit i ogólnie ograniczający wpływ tego zakłócenia na grupy RaaS stwarzają szansę na zarządzanie ryzykiem biznesowym.

„To może być czas dla firm na ponowną ocenę swoich modeli obrony, ponieważ możemy zaobserwować spowolnienie ataków, podczas gdy inne grupy oceniają własne bezpieczeństwo operacyjne” – zauważa. „To także czas na dokonanie przeglądu planu reagowania na incydenty biznesowe, aby upewnić się, że uwzględniono wszystkie aspekty naruszenia, w tym ciągłość działania biznesowego, ubezpieczenie cybernetyczne i reakcję – zapłacić lub nie zapłacić”.

Oznaki życia LockBit są mocno przesadzone

Trend Micro stwierdził jednak, że LockBitSupp próbuje odbić się od normy – choć z kilkoma pozytywnymi wynikami.

Nowe strony z wyciekami Tora zostały uruchomione tydzień po operacji, a LockBitSupp powiedział na forum ramp_v2, że gang aktywnie poszukuje IAB z dostępem do domen .gov, .edu i .org, co wskazuje na żądzę zemsty. Nie trwało długo, zanim na stronie wycieku zaczęły pojawiać się dziesiątki rzekomych ofiar, począwszy od FBI.

Jednak gdy minął termin zapłaty okupu, zamiast wrażliwych danych FBI na stronie, LockBitSupp zamieścił obszerną deklarację, że będzie nadal działać. Ponadto ponad dwie trzecie ofiar stanowiły ataki, które miały miejsce przed operacją Cronos. Spośród pozostałych ofiary należały do ​​innych grup, takich jak ALPHV. W sumie telemetria firmy Trend Micro ujawniła tylko jeden mały, prawdziwy klaster aktywności LockBit po Cronos, pochodzący od podmiotu stowarzyszonego z Azji Południowo-Wschodniej, który żądał niskiego okupu wynoszącego 2,800 dolarów.

Być może bardziej niepokojące jest to, że grupa pracuje również nad nową wersją oprogramowania ransomware — Lockbit-NG-Dev. Firma Trend Micro odkryła, że ​​ma nowy rdzeń .NET, co pozwala na większą niezależność od platformy; usuwa również możliwości samodzielnego rozprzestrzeniania się i drukowania notatek z żądaniem okupu za pośrednictwem drukarek użytkownika.

„Baza kodu jest zupełnie nowa w związku z przejściem na nowy język, co oznacza, że ​​prawdopodobnie potrzebne będą nowe wzorce bezpieczeństwa, aby ją wykryć. To wciąż funkcjonalne i potężne oprogramowanie ransomware” – ostrzegają badacze.

Mimo to są to w najlepszym przypadku anemiczne oznaki życia LockBit, a Clay zauważa, że ​​nie jest jasne, dokąd ona lub jej podmioty stowarzyszone mogą dalej pójść. Ogólnie rzecz biorąc, ostrzega, obrońcy będą musieli być przygotowani na przyszłe zmiany w taktyce gangów zajmujących się oprogramowaniem ransomware, w miarę jak osoby uczestniczące w ekosystemie oceniają aktualny stan rzeczy.

„Grupy RaaS prawdopodobnie myślą, że organy ścigania wyłapią ich własne słabości” – wyjaśnia. „Mogą sprawdzić, jakiego rodzaju firmy/organizacje są celem, aby nie zwracać zbytniej uwagi na swoje ataki. Partnerzy mogą zastanowić się, jak szybko przejść z jednej grupy do drugiej, na wypadek gdyby ich główna grupa RaaS została zniszczona”.

Dodaje: „Przechodzenie w kierunku wyłącznie eksfiltracji danych zamiast wdrażania oprogramowania ransomware może wzrosnąć, ponieważ nie zakłóca to działalności firmy, ale nadal może generować zyski. Mogliśmy również zaobserwować całkowite przesunięcie się grup RaaS w stronę rozwiązań RaaS inne typy ataków, takie jak naruszenie bezpieczeństwa poczty biznesowej (BEC), które nie wydają się powodować tak dużych zakłóceń, ale nadal są bardzo dochodowe, jeśli chodzi o wyniki finansowe”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability