Несмотря на то, что банда LockBit, предлагающая программы-вымогатели как услугу (RaaS), утверждает, что вернулась после громкого нападения в середине февраля, анализ показывает значительные, продолжающиеся нарушения в деятельности группы, а также волновые эффекты по всему киберпреступному подполью. с последствиями для делового риска.
По данным Trend Micro, на долю LockBit пришлось от 25% до 33% всех атак программ-вымогателей в 2023 году, что легко сделало ее крупнейшей группой финансовых угроз прошлого года. С момента своего появления в 2020 году оно унесло тысячи жертв и миллионы выкупов, включая циничные нападения на больницы во время пандемии.
Ассоциация Усилия операции Кронос, с участием нескольких правоохранительных органов по всему миру, привел к сбоям в работе платформ, связанных с LockBit, и захвату сайта утечки Национальным агентством по борьбе с преступностью Великобритании (NCA). Затем власти использовали последнее для проведения арестов, введения санкций, конфискации криптовалюты и других действий, связанных с внутренней работой группы. Они также опубликовали административную панель LockBit и раскрыли имена партнеров, работающих с группой.
Кроме того, они отметили, что ключи дешифрования будут доступны, и сообщили, что LockBit, вопреки своим обещаниям жертвам, никогда не удалял данные жертв после осуществления платежей.
В целом это была хитрая демонстрация силы и доступа со стороны полицейского сообщества, которая сразу после этого напугала других участников экосистемы и привела к настороженности, когда дело дошло до работы с любой вновь появившейся версией LockBit и ее главарем, который известен как обрабатывать «LockBitSupp».
Исследователи из Trend Micro отметили, что спустя два с половиной месяца после операции Cronos существует очень мало свидетельств того, что дела группы улучшаются, несмотря на заявления LockBitSupp о том, что группа пытается вернуться к нормальной работе.
Другой вид борьбы с киберпреступностью
Операция «Кронос» поначалу была встречена исследователями со скептицизмом, которые отметили, что другие недавние громкие уничтожения групп RaaS, таких как Black Basta, Conti, Hiveи Royal (не говоря уже об инфраструктуре для первичного доступа троянов вроде Emotet, Какботи TrickBot), привели лишь к временным неудачам для их операторов.
Однако забастовка LockBit отличается: огромный объем информации, к которой правоохранительные органы смогли получить доступ и обнародовать, навсегда подорвал положение группы в кругах даркнета.
«Хотя они часто сосредотачиваются на разрушении инфраструктуры управления и контроля, эти усилия пошли еще дальше», — объяснили исследователи Trend Micro в анализ опубликован сегодня. «Он видел, как полиции удалось скомпрометировать административную панель LockBit, разоблачить филиалы и получить доступ к информации и разговорам между филиалами и жертвами. Эти совокупные усилия помогли запятнать репутацию LockBit среди филиалов и сообщества киберпреступников в целом, из-за чего от нее будет труднее вернуться».
Действительно, последствия со стороны сообщества киберпреступников были быстрыми, отмечает Trend Micro. Для одного, LockBitSupp забанен с двух популярных подпольных форумов, XSS и Exploit, что затрудняет возможность администратора получить поддержку и восстановить систему.
Вскоре после этого пользователь X (ранее Twitter) под ником «Loxbit» тем временем заявил в публичном сообщении, что его обманула LockBitSupp, в то время как другой предполагаемый партнер по имени «michon» открыл арбитражную тему на форуме против LockBitSupp за неуплату. Один брокер первичного доступа, использовавший ник «dealfixer», рекламировал свои товары, но особо отметил, что не хочет работать ни с кем из LockBit. А другой IAB, «n30n», подал на форуме Ramp_v2 претензию о потере платежа в связи с сбоем.
Хуже того, некоторые комментаторы форума были крайне обеспокоены огромным количеством информации, которую смогла собрать полиция, а некоторые предположили, что LockBitSupp, возможно, даже работал с правоохранительными органами над этой операцией. LockBitSupp быстро объявил, что уязвимость в PHP стала причиной того, что правоохранительные органы смогли проникнуть в информацию банды; Жители даркнета просто отметили, что этой ошибке уже несколько месяцев, и раскритиковали методы безопасности LockBit и отсутствие защиты для филиалов.
«Отношение сообщества киберпреступников к нарушению работы LockBit варьировалось от удовлетворения до спекуляций о будущем группы, намекая на значительное влияние инцидента на индустрию RaaS», — согласно анализу Trend Micro, опубликованному сегодня.
Сдерживающий эффект нарушения LockBit на индустрию RaaS
Действительно, этот сбой вызвал некоторую саморефлексию среди других активных групп RaaS: оператор Snatch RaaS отметил на своем канале Telegram, что все они находятся в опасности.
«Похоже, что нарушение и подрыв бизнес-модели имело гораздо более кумулятивный эффект, чем техническое отстранение», — считают Trend Micro. «Репутация и доверие являются ключом к привлечению партнеров., а когда они потеряны, труднее заставить людей вернуться. Операции «Кронос» удалось нанести удар по самому важному элементу ее бизнеса: ее бренду».
Джон Клэй, вице-президент Trend Micro по анализу угроз, рассказал Dark Reading, что ликвидация LockBit и сдерживающее воздействие сбоев на группы RaaS в целом открывают возможности для управления бизнес-рисками.
«Это может быть время для бизнеса пересмотреть свои модели защиты, поскольку мы можем увидеть замедление атак, в то время как другие группы оценивают свою собственную операционную безопасность», — отмечает он. «Сейчас также самое время пересмотреть план реагирования на бизнес-инциденты, чтобы убедиться, что у вас охвачены все аспекты нарушения, включая непрерывность бизнес-операций, киберстрахование и реагирование — платить или не платить».
Признаки жизни LockBit сильно преувеличены
Trend Micro обнаружила, что LockBitSupp, тем не менее, пытается восстановиться, хотя и с небольшими положительными результатами.
Новые сайты утечки Tor были запущены через неделю после операции, и LockBitSupp заявил на форуме Ramp_v2, что банда активно ищет IAB с доступом к доменам .gov, .edu и .org, что указывает на жажду мести. Вскоре на месте утечки стали появляться десятки предполагаемых жертв, начиная с ФБР.
Однако, когда срок выплаты выкупа подошел и прошел, вместо появления на сайте конфиденциальных данных ФБР LockBitSupp опубликовал пространное заявление о том, что он продолжит работать. Кроме того, более двух третей жертв составили повторные атаки, произошедшие до операции «Кронос». Остальные жертвы принадлежали к другим группировкам, таким как ALPHV. В целом, телеметрия Trend Micro выявила лишь один небольшой настоящий кластер активности LockBit после Cronos от филиала в Юго-Восточной Азии, который предъявил небольшой требование выкупа — 2,800 долларов.
Еще большее беспокойство вызывает то, что группа также разрабатывает новую версию программы-вымогателя — Lockbit-NG-Dev. Trend Micro обнаружила, что у него новое ядро .NET, что позволяет ему быть более независимым от платформы; он также удаляет возможности самораспространения и возможность распечатывать заметки о выкупе через принтеры пользователя.
«Кодовая база совершенно новая по сравнению с переходом на этот новый язык, а это означает, что для его обнаружения, вероятно, потребуются новые шаблоны безопасности. Это по-прежнему функциональная и мощная программа-вымогатель», — предупреждают исследователи.
Тем не менее, для LockBit это в лучшем случае анемичный признак жизни, и Клей отмечает, что неясно, куда она или ее филиалы могут пойти дальше. В целом, предупреждает он, защитникам придется быть готовыми к изменениям в тактике банд, занимающихся вымогательством, по мере того, как участники экосистемы будут оценивать состояние игры.
«Группы RaaS, вероятно, смотрят на то, что правоохранительные органы выявляют их собственные слабости», — объясняет он. «Они могут пересмотреть, на какие типы предприятий/организаций они нацелены, чтобы не уделять много внимания их атакам. Филиалы могут подумать о том, как они могут быстро перейти из одной группы в другую в случае, если их основная группа RaaS будет закрыта».
Он добавляет: «Сдвиг в сторону только кражи данных вместо использования программ-вымогателей может увеличиться, поскольку это не мешает бизнесу, но все же может обеспечить прибыль. Мы также можем увидеть, как группы RaaS полностью переходят в сторону другие типы атак, такие как компрометация корпоративной электронной почты (BEC), которые, кажется, не вызывают таких больших потрясений, но по-прежнему очень прибыльны с точки зрения прибыли».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability
- :имеет
- :является
- :нет
- :куда
- $UP
- 2020
- 2023
- 7
- 800
- a
- способность
- в состоянии
- О нас
- доступ
- По
- активный
- активно
- активно
- деятельность
- дополнение
- Добавляет
- Администратор
- Affiliate
- филиалы
- После
- последствия
- против
- агентствах
- агентство
- Все
- позволять
- позволяет
- вдоль
- причислены
- среди
- количество
- an
- анализ
- и
- объявило
- Другой
- любой
- появляться
- арбитраж
- МЫ
- около
- аресты
- AS
- Азия
- аспекты
- оценить
- At
- атаковать
- нападки
- попытки
- внимание
- привлечения
- Власти
- доступен
- назад
- Использование темпера с изогнутым основанием
- BE
- БЭК
- было
- до
- не являетесь
- ЛУЧШЕЕ
- между
- Крупнейшая
- Черный
- Дно
- подпрыгивать
- марка
- нарушение
- брокер
- Ошибка
- бизнес
- компромисс деловой почты
- Бизнес-модель
- бизнес
- но
- by
- под названием
- пришел
- CAN
- возможности
- проводятся
- случаев
- пойманный
- Вызывать
- Канал
- круги
- утверждать
- заявил
- заявив,
- требования
- Кластер
- код
- кодовая база
- как
- выходит
- комментаторы
- сообщество
- полностью
- скомпрометированы
- обеспокоенный
- продолжать
- непрерывность
- вопреки
- контроль
- Беседы
- Основные
- может
- покрытый
- Преступление
- Кронос
- криптовалюта
- кибер-
- киберпреступности
- темно
- Темное чтение
- Dark Web
- данным
- крайний срок
- глубоко
- Защитники
- Защита
- Спрос
- развертывания
- Несмотря на
- обнаруживать
- развивающийся
- DID
- различный
- срывать
- Нарушение
- доменов
- Дон
- вниз
- в течение
- легко
- экосистема
- эффект
- эффекты
- усилие
- элемент
- появившийся
- принуждение
- полностью
- Даже
- , поскольку большинство сенаторов
- проведение
- эксфильтрации
- объяснены
- Объясняет
- Эксплуатировать
- подвергаться
- чрезвычайно
- осадки
- далеко
- ФБР
- несколько
- финансовый
- Фокус
- Что касается
- Форс-мажор
- раньше
- Форум
- форумы
- вперед
- найденный
- от
- функциональная
- далее
- будущее
- шайка
- запасать
- Общие
- получить
- получает
- Дайте
- Go
- идет
- будет
- значительно
- группы
- Группы
- было
- Половина
- обрабатывать
- Сильнее
- Есть
- he
- помог
- Высокий профиль
- Хиты
- больницы
- Как
- HTML
- HTTPS
- немедленная
- Влияние
- последствия
- важную
- наложенный
- in
- инцидент
- реакция на инцидент
- В том числе
- Увеличение
- с указанием
- промышленность
- информация
- Инфраструктура
- начальный
- первоначально
- внутренний
- вместо
- страхование
- Интеллекта
- в
- с участием
- IT
- ЕГО
- JPG
- всего
- только один
- Основные
- ключи
- Вид
- Отсутствие
- язык
- Фамилия
- В прошлом году
- запустили
- закон
- правоохранительной
- ведущий
- утечка
- привело
- ЖИЗНЬЮ
- такое как
- Вероятно
- линий
- мало
- Длинное
- посмотреть
- искать
- от
- потерянный
- Низкий
- прибыльный
- сделанный
- Главная
- сделать
- Создание
- управлять
- управление
- Май..
- означает
- Между тем
- упомянуть
- упомянутый
- встретивший
- Майк
- миллионы
- модель
- Модели
- месяцев
- БОЛЕЕ
- самых
- двигаться
- много
- с разными
- имена
- национальный
- NCA
- Необходимость
- необходимый
- сеть
- никогда
- Новые
- следующий
- "обычные"
- отметил,
- Заметки
- произошло
- of
- .
- Старый
- on
- ONE
- постоянный
- только
- открытый
- работать
- операция
- оперативный
- Операционный отдел
- оператор
- Операторы
- Возможность
- or
- Другое
- Другое
- внешний
- Отключения
- собственный
- пандемия
- панель
- участвующий
- паттеранами
- ОПЛАТИТЬ
- оплата
- платежи
- Люди
- постоянно
- PHP
- кусок
- план
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- Полиция
- полицейская
- Популярное
- положительный
- После
- размещены
- мощный
- практиками
- Precious
- подготовленный
- представить
- президент
- Печать / PDF
- Предварительный
- доходы
- Обещает
- защиту
- что такое варган?
- быстро
- Выкуп
- вымогателей
- Атаки вымогателей
- быстро
- Reading
- последний
- Связанный
- связь
- выпустил
- удаляет
- репутация
- исследователи
- ответ
- ответственный
- Итоги
- возвращают
- Показали
- Показывает
- обзоре
- Ripple
- Снижение
- управление рисками
- королевский
- s
- Сказал
- санкции
- удовлетворение
- здравый смысл
- видел
- множество
- безопасность
- посмотреть
- поиск
- казаться
- Воспользоваться
- захватить криптовалюту
- чувствительный
- чувства
- Неудачи
- сдвиг
- СДВИГАЯ
- Смены
- показывать
- подпись
- значительный
- Признаки
- просто
- с
- сайте
- Сайтов
- Скептицизм
- Помедленнее
- небольшой
- So
- некоторые
- юго-восток
- Юго-Восточная Азия
- вызвало
- конкретно
- спекуляция
- положение
- и политические лидеры
- Начало
- Область
- По-прежнему
- удар
- Забастовки
- такие
- поддержка
- предполагаемый
- Убедитесь
- окружающих
- SWIFT
- тактика
- приняты
- поглощение
- с
- цель
- Технический
- Telegram
- говорит
- временный
- чем
- который
- Ассоциация
- Государство
- Великобритании
- мир
- их
- тогда
- Там.
- Эти
- они
- вещи
- этой
- те
- хоть?
- тысячи
- угроза
- по всему
- время
- в
- сегодня
- Tor
- к
- тенденция
- правда
- Доверие
- Поворот
- два
- две трети
- Типы
- Uk
- метро
- используемый
- Информация о пользователе
- через
- версия
- Против
- очень
- с помощью
- жизнеспособность
- вице
- вице-президент
- Жертва
- жертвы
- уязвимость
- хотеть
- предупреждал
- предупреждает
- законопроект
- был
- Путь..
- we
- слабые
- Web
- неделя
- пошел
- были
- Что
- когда
- который
- в то время как
- КТО
- будете
- Работа
- работавший
- работает
- разработки
- Мир
- хуже
- бы
- X
- XSS
- год
- Ты
- зефирнет