Lecții de la eliminarea LockBit

La fel ca majoritatea operatorilor de acolo, noi într-adevăr sa bucurat de știrile de luna trecută despre aplicarea legii internaționale care perturbă LockBit, una dintre cele mai importante cele mai profitabile bande de ransomware.

Ransomware-ul a devenit o problemă globală în ultimii 10 ani, grupele moderne de ransomware funcționând efectiv ca afaceri complexe. În ultimul an, mai multe guverne și companii private au colaborat pentru a dezorganiza aceste bande. Organizațiile coordonatoare implicate în Operațiunea Cronos a folosit infrastructura proprie a LockBit pentru a publica detalii despre operațiunile bandei. De exemplu, Site-ul de scurgeri al LockBit a fost folosit pentru a face publicitate retragerii: arestări în mai multe țări, chei de decriptare disponibile, informații despre actori și așa mai departe. Această tactică nu servește doar la jena LockBit – este, de asemenea, un avertisment eficient pentru afiliații bandei și pentru alte bande de ransomware.

Captură de ecran a site-ului de scurgeri LockBit după post-eliminare, care rezumă activitățile desfășurate de forțele de ordine. (Sursa: Aaron Walton.)

Această activitate împotriva LockBit reprezintă un mare câștig, dar ransomware-ul continuă să fie o problemă semnificativă, chiar și de la LockBit. Pentru a lupta mai bine împotriva ransomware-ului, comunitatea de securitate cibernetică trebuie să ia în considerare câteva lecții învățate.

Să nu ai încredere niciodată în criminali

Potrivit Agenției Naționale pentru Crimă din Marea Britanie (NCA), au existat cazuri în care o victimă a plătit LockBit, dar banda nu a șters datele de pe serverele sale așa cum a promis.

Acest lucru nu este neobișnuit, desigur. Multe bande de ransomware nu reușesc să facă ceea ce spun că vor, fie că nu oferă o metodă de decriptare a fișierelor sau continuă să stocheze datele furate (mai degrabă decât ștergerea lor).

Acest lucru evidențiază unul dintre cele mai importante riscuri ale plății răscumpărării: victima are încredere într-un criminal care își va ține partea de târg. Dezvăluirea faptului că LockBit nu ștergea datele așa cum s-a promis dăunează grav reputației grupului. Grupurile de ransomware trebuie să mențină o aparență de încredere – în caz contrar, victimele lor nu au niciun motiv să le plătească.

Este important ca organizațiile să se pregătească pentru aceste eventualități și să aibă planuri în vigoare. Organizațiile nu ar trebui să presupună că decriptarea va fi posibilă. În schimb, ar trebui să acorde prioritate creării de planuri și proceduri amănunțite de recuperare în caz de dezastru în cazul în care datele lor sunt compromise.

Partajați informații pentru a desena conexiuni

Organizațiile de aplicare a legii, cum ar fi FBI din Statele Unite, Agenția de securitate cibernetică și a infrastructurii (CISA) și Serviciul Secret, sunt întotdeauna interesate de tacticile, instrumentele, plățile și metodele de comunicare ale atacatorilor. Aceste detalii îi pot ajuta să identifice alte victime vizate de același atacator sau de un atacator folosind aceleași tactici sau instrumente. Perspectivele colectate includ informații despre victime, pierderi financiare, tactici de atac, instrumente, metode de comunicare și cereri de plată, care, la rândul lor, ajută agențiile de aplicare a legii să înțeleagă mai bine grupurile de ransomware. Informația este folosită și atunci când depun acuzații împotriva infractorilor când sunt prinși. Dacă forțele de ordine pot vedea modele în tehnicile utilizate, aceasta dezvăluie o imagine mai completă a organizației criminale.

În cazul ransomware-as-a-service (RaaS), agențiile folosesc un atac în două direcții: perturbă atât personalul administrativ al bandei, cât și afiliații acesteia. Personalul administrativ este în general responsabil pentru gestionarea site-ului de scurgere de date, în timp ce afiliații sunt responsabili pentru implementarea ransomware-ului și criptarea rețelelor. Personalul administrativ dă posibilitatea infractorilor și, fără înlăturarea acestora, va continua să permită alți infractori. Afiliații vor lucra pentru alte bande de ransomware dacă personalul administrativ este întrerupt.

Afiliații folosesc infrastructura pe care au achiziționat-o sau pe care au accesat-o ilegal. Informațiile despre această infrastructură sunt expuse de instrumentele, conexiunile de rețea și comportamentele lor. Detaliile despre administratori sunt expuse prin procesul de răscumpărare: pentru ca procesul de răscumpărare să aibă loc, administratorul oferă o metodă de comunicare și o metodă de plată.

În timp ce semnificația poate să nu pară imediat valoroasă pentru o organizație, forțele de ordine și cercetătorii pot folosi aceste detalii pentru a expune mai multe despre criminalii din spatele lor. În cazul LockBit, forțele de ordine au putut folosi detaliile din incidentele trecute pentru a planifica perturbarea infrastructurii grupului și a unor afiliați. Fără aceste informații, strânse cu ajutorul victimelor atacurilor și al agențiilor aliate, operațiunea Cronos probabil nu ar fi fost posibilă.

Este important să rețineți că organizațiile nu trebuie să fie victime pentru a ajuta. Guvernele sunt dornice să colaboreze cu organizații private. În SUA, organizațiile se pot alătura luptei împotriva ransomware-ului colaborând cu CISA, care a format Joint Cyber ​​Defense Collaborative (JCDC) pentru a construi parteneriate la nivel global pentru a partaja informații critice și în timp util. JCDC facilitează schimbul bidirecțional de informații între agențiile guvernamentale și organizațiile publice.

Această colaborare ajută atât CISA, cât și organizațiile să rămână la curent cu tendințele și să identifice infrastructura atacatorilor. După cum demonstrează eliminarea LockBit, acest tip de colaborare și partajare a informațiilor poate oferi forțelor de ordine un pas critic chiar și împotriva celor mai puternice grupuri de atacatori.

Prezentați un front unit împotriva ransomware-ului

Putem spera ca alte bande de ransomware să ia măsuri împotriva LockBit ca un avertisment. Dar, între timp, să continuăm să fim sârguincioși în securizarea și monitorizarea propriilor noastre rețele, partajarea informațiilor și colaborarea, pentru că amenințarea cu ransomware nu a luat sfârșit. Bandele de ransomware beneficiază atunci când victimele lor cred că sunt izolate – dar atunci când organizațiile și agențiile de aplicare a legii lucrează mână în mână pentru a împărtăși informații, împreună pot rămâne cu un pas înaintea adversarilor lor.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/lessons-from-the-lockbit-takedown