Eliminarea LockBit Ransomware lovește adânc în viabilitatea mărcii

În ciuda faptului că banda LockBit ransomware-as-a-service (RaaS) susține că s-a întors după o eliminare importantă la mijlocul lunii februarie, o analiză dezvăluie o întrerupere semnificativă și continuă a activităților grupului – împreună cu efecte de undă în întreaga criminalitate cibernetică subterană. cu implicații pentru riscul de afaceri.

LockBit a fost responsabil pentru 25% până la 33% din toate atacurile ransomware în 2023, potrivit Trend Micro, făcându-l cu ușurință cel mai mare grup de actori de amenințări financiare din ultimul an. De când a apărut în 2020, a câștigat mii de victime și milioane de răscumpărare, inclusiv lovituri cinice asupra spitalelor în timpul pandemiei.

Efortul operațiunii Cronos, care implică mai multe agenții de aplicare a legii din întreaga lume, a dus la întreruperi ale platformelor afiliate LockBit și la preluarea site-ului său de scurgeri de către Agenția Națională a Crimei (NCA) din Marea Britanie. Autoritățile l-au folosit apoi pe acesta din urmă pentru a face arestări, a impune sancțiuni, a confisca criptomonede și mai multe activități legate de funcționarea interioară a grupului. De asemenea, au făcut publicitate panoului de administrare LockBit și au expus numele afiliaților care lucrează cu grupul.

Mai mult, ei au remarcat că cheile de decriptare vor fi puse la dispoziție și au dezvăluit că LockBit, contrar promisiunilor făcute victimelor, nu a șters niciodată datele despre victimă după efectuarea plăților.

În total, a fost o demonstrație inteligentă de forță și de acces din partea comunității polițienești, care i-a speriat pe alții din ecosistem imediat după aceea și a dus la prudență atunci când vine vorba de a lucra cu orice versiune re-emergentă a LockBit și liderul său, care trece prin tratează „LockBitSupp”.

Cercetătorii de la Trend Micro au remarcat că, la două luni și jumătate de la Operațiunea Cronos, există puține dovezi prețioase că lucrurile se schimbă pentru grup – în ciuda afirmațiilor LockBitSupp că grupul își întoarce drumul în operațiuni normale.

Un alt fel de eliminare a criminalității cibernetice

Operațiunea Cronos a fost inițial întâmpinată cu scepticism de către cercetători, care au subliniat că alte distrugeri recente, importante ale unor grupuri RaaS precum Black Basta, Conti, Stup, și Royal (ca să nu mai vorbim de infrastructura pentru troienii de acces inițial, cum ar fi Emotet, Qakbot, și TrickBot), au avut ca rezultat doar eșecuri temporare pentru operatorii lor.

Cu toate acestea, greva LockBit este diferită: cantitatea mare de informații pe care forțele de ordine au putut să le acceseze și să le facă publice a afectat permanent poziția grupului în cercurile Dark Web.

„Deși se concentrează adesea pe eliminarea infrastructurii de comandă și control, acest efort a mers mai departe”, au explicat cercetătorii Trend Micro în o analiză publicată astăzi. „A văzut poliția reușind să compromită panoul de administrare al LockBit, să expună afiliații și să acceseze informații și conversații dintre afiliați și victime. Acest efort cumulativ a contribuit la deteriorarea reputației LockBit în rândul afiliaților și al comunității criminalității cibernetice în general, ceea ce va face mai greu să vă întoarceți.”

Într-adevăr, consecințele din partea comunității criminalității cibernetice au fost rapide, a observat Trend Micro. Pentru un, LockBitSupp a fost interzis de la două forumuri underground populare, XSS și Exploit, împiedicând capacitatea administratorului de a obține sprijin și de a reconstrui.

La scurt timp după, un utilizator de pe X (fostul Twitter) numit „Loxbit” a susținut între timp într-o postare publică că a fost înșelat de LockBitSupp, în timp ce un alt presupus afiliat numit „michon” a deschis un forum de arbitraj împotriva LockBitSupp pentru neplată. Un broker de acces inițial care folosea mânerul „dealfixer” și-a făcut reclame pentru produsele sale, dar a menționat în mod special că nu doresc să lucreze cu nimeni de la LockBit. Și un alt IAB, „n30n”, a deschis o reclamație pe forumul ramp_v2 cu privire la pierderea plății în legătură cu perturbarea.

Poate și mai rău, unii comentatori pe forum au fost extrem de îngrijorați de cantitatea imensă de informații pe care poliția a fost capabilă să o compila, iar unii au speculat că LockBitSupp ar fi putut chiar să fi lucrat cu forțele de ordine la operațiune. LockBitSupp a anunțat rapid că o vulnerabilitate în PHP a fost de vină pentru capacitatea forțelor de ordine de a se infiltra în informațiile bandei; Locuitorii Dark Web au subliniat pur și simplu că bug-ul este vechi de luni și au criticat practicile de securitate ale LockBit și lipsa de protecție a afiliaților.

„Sentimentele comunității criminalității cibernetice față de perturbarea LockBit au variat de la satisfacție la speculații cu privire la viitorul grupului, sugerând impactul semnificativ al incidentului asupra industriei RaaS”, potrivit analizei Trend Micro, publicată astăzi.

Efectul de răcire al perturbării LockBit asupra industriei RaaS

Într-adevăr, întreruperea a stârnit o oarecare reflecție în rândul altor grupuri active RaaS: un operator Snatch RaaS a subliniat pe canalul său Telegram că toți erau în pericol.

„Perturbarea și subminarea modelului de afaceri pare să fi avut un efect mult mai cumulativ decât executarea unei retrageri tehnice”, potrivit Trend Micro. „Reputația și încrederea sunt cheia pentru atragerea afiliaților, iar când acestea sunt pierdute, este mai greu să-i faci pe oameni să se întoarcă. Operațiunea Cronos a reușit să lovească un element al afacerii sale care era cel mai important: marca sa.”

Jon Clay, vicepreședintele Trend Micro pentru informații despre amenințări, a declarat pentru Dark Reading că dezmințirea LockBit și efectul de înfrigurare al întreruperii asupra grupurilor RaaS în general reprezintă o oportunitate pentru managementul riscului de afaceri.

„Acesta poate fi un moment pentru companii să-și reevalueze modelele de apărare, deoarece putem observa o încetinire a atacurilor, în timp ce aceste alte grupuri își evaluează propria securitate operațională”, notează el. „Acesta este, de asemenea, un moment pentru a revizui un plan de răspuns la incidente de afaceri pentru a vă asigura că aveți toate aspectele unei încălcări acoperite, inclusiv continuitatea operațiunii de afaceri, asigurarea cibernetică și răspunsul - să plătiți sau să nu plătiți.”

Semnele de viață LockBit sunt foarte exagerate

Cu toate acestea, LockBitSupp încearcă să revină, a constatat Trend Micro, deși cu puține rezultate pozitive.

Noile site-uri de scurgeri Tor au fost lansate la o săptămână după operațiune, iar LockBitSupp a declarat pe forumul ramp_v2 că gașca caută activ IAB-uri cu acces la domeniile .gov, .edu și .org, indicând o sete de răzbunare. Nu a trecut mult până când zeci de presupuse victime au început să apară pe site-ul scurgerii, începând cu FBI.

Cu toate acestea, când termenul limită de plată a răscumpărării a venit și a trecut, în loc să apară pe site date sensibile ale FBI, LockBitSupp a postat o declarație lungă că va continua să funcționeze. În plus, mai mult de două treimi dintre victime au constat în atacuri reîncărcate care au avut loc înainte de Operațiunea Cronos. Dintre celelalte, victimele aparțineau altor grupuri, precum ALPHV. În total, telemetria Trend Micro a dezvăluit doar un mic grup de activitate LockBit adevărat după Cronos, de la o filială din Asia de Sud-Est, care a avut o cerere scăzută de răscumpărare de 2,800 USD.

Poate mai îngrijorător, grupul a dezvoltat și o nouă versiune de ransomware – Lockbit-NG-Dev. Trend Micro a descoperit că are un nou nucleu .NET, care îi permite să fie mai independent de platformă; de asemenea, elimină capabilitățile de autopropagare și capacitatea de a tipări note de răscumpărare prin imprimantele utilizatorului.

„Baza de cod este complet nouă în legătură cu trecerea la acest nou limbaj, ceea ce înseamnă că probabil că vor fi necesare noi modele de securitate pentru a o detecta. Este încă o piesă funcțională și puternică de ransomware”, au avertizat cercetătorii.

Totuși, acestea sunt semne anemice de viață în cel mai bun caz pentru LockBit, iar Clay observă că nu este clar unde ar putea merge el sau afiliații săi. În general, avertizează el, apărătorii vor trebui să fie pregătiți pentru schimbări în tacticile bandelor de ransomware, pe măsură ce cei care participă la ecosistem evaluează starea jocului.

„Grupurile RaaS se uită probabil la propriile lor slăbiciuni prinse de forțele de ordine”, explică el. „Ei pot revizui ce tipuri de afaceri/organizații vizează pentru a nu acorda prea multă atenție atacurilor lor. Afiliații pot analiza modul în care pot trece rapid de la un grup la altul în cazul în care grupul lor principal RaaS este eliminat.”

El adaugă, „trecerea către exfiltrarea datelor numai în comparație cu implementările de ransomware poate crește, deoarece acestea nu perturbă o afacere, dar pot totuși să permită profituri. De asemenea, am putea vedea că grupurile RaaS se îndreaptă complet spre alte tipuri de atac, cum ar fi compromiterea e-mailurilor de afaceri (BEC), care nu par să provoace atât de multe perturbări, dar sunt încă foarte profitabile pentru rezultatele lor.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability