Уроки взлома LockBit

Как и большинство операторов, мы на самом деле наслаждался новостями прошлого месяца о том, что международные правоохранительные органы разрушают LockBit, один из самые прибыльные банды вымогателей.

За последние 10 лет программы-вымогатели стали глобальной проблемой, поскольку современные банды программ-вымогателей фактически действуют как сложные предприятия. За последний год или около того многочисленные правительства и частные компании сотрудничали, чтобы разрушить эти банды. Координирующие организации, участвующие в Операция Кронос использовал собственную инфраструктуру LockBit для публикации подробностей о деятельности банды. Например, Сайт утечки LockBit использовался для предания гласности: аресты в нескольких странах, доступные ключи расшифровки, информация об участниках и так далее. Эта тактика не только ставит LockBit в неловкое положение — она также является эффективным предупреждением для филиалов банды и других банд, занимающихся вымогательством.

Снимок экрана сайта утечки LockBit после удаления, на котором подведены итоги действий правоохранительных органов. (Источник: Аарон Уолтон.)

Эта деятельность против LockBit представляет собой большую победу, но программы-вымогатели продолжают оставаться серьезной проблемой. даже из LockBit. Чтобы лучше бороться с программами-вымогателями, сообществу кибербезопасности необходимо учесть некоторые извлеченные уроки.

Никогда не доверяйте преступникам

По данным Национального агентства по борьбе с преступностью Великобритании (NCA), были случаи, когда жертва платила LockBit, но банда не удаляла данные со своих серверов, как обещала.

Конечно, в этом нет ничего необычного. Многие банды программ-вымогателей не делают того, что обещают, будь то предоставление метода расшифровки файлов или продолжение хранения украденных данных (вместо их удаления).

Это подчеркивает один из главных рисков выплаты выкупа: жертва доверяет преступнику, что он выполнит свою часть сделки. Сообщение о том, что LockBit не удалил данные, как было обещано, нанесло серьезный ущерб репутации группы. Группам программ-вымогателей приходится поддерживать видимость надежности — в противном случае у их жертв не будет причин им платить.

Для организаций важно подготовиться к этим событиям и иметь планы. Организации никогда не должны предполагать, что расшифровка возможна. Вместо этого им следует уделить приоритетное внимание созданию тщательных планов и процедур аварийного восстановления на случай, если их данные будут скомпрометированы.

Делитесь информацией, чтобы установить связи

Правоохранительные организации, такие как ФБР США, Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Секретная служба, всегда интересуются тактикой, инструментами, платежами и методами связи злоумышленников. Эти данные могут помочь им идентифицировать других жертв, на которых нацелен тот же злоумышленник или злоумышленник, использующий ту же тактику или инструменты. Собранная информация включает информацию о жертвах, финансовых потерях, тактиках атак, инструментах, методах связи и требованиях к оплате, что, в свою очередь, помогает правоохранительным органам лучше понимать группы программ-вымогателей. Эта информация также используется при выдвижении обвинений против преступников, когда их поймают. Если правоохранительные органы смогут увидеть закономерности в используемых методах, это позволит получить более полную картину преступной организации.

В случае с программой-вымогателем как услуга (RaaS) агентства используют двойную атаку: нарушают работу как административного персонала банды, так и ее филиалов. Административный персонал обычно отвечает за управление местом утечки данных, а филиалы отвечают за развертывание программ-вымогателей и сетей шифрования. Административный персонал помогает преступникам и, без их устранения, будет продолжать помогать другим преступникам. Филиалы будут работать на другие банды, занимающиеся вымогательством, если административный персонал будет нарушен.

Филиалы используют инфраструктуру, которую они приобрели или к которой получили незаконный доступ. Информация об этой инфраструктуре раскрывается через их инструменты, сетевые подключения и поведение. Подробная информация об администраторах раскрывается в процессе выкупа: для того, чтобы процесс выкупа состоялся, администратор предоставляет способ связи и способ оплаты.

Хотя эта значимость может не показаться сразу ценной для организации, правоохранительные органы и исследователи могут использовать эти детали, чтобы больше узнать о стоящих за ними преступниках. В случае с LockBit правоохранительные органы смогли использовать детали прошлых инцидентов, чтобы спланировать нарушение работы инфраструктуры группы и некоторых ее филиалов. Без этой информации, собранной с помощью жертв атак и связанных с ними агентств, операция «Кронос», вероятно, была бы невозможна.

Важно отметить, что организациям не обязательно быть жертвами, чтобы помочь. Правительства стремятся работать с частными организациями. В США организации могут присоединиться к борьбе с программами-вымогателями, сотрудничая с CISA, которая сформировала Объединенную группу по киберзащите (JCDC) для построения партнерских отношений по всему миру для обмена важной и своевременной информацией. JCDC способствует двустороннему обмену информацией между правительственными учреждениями и общественными организациями.

Такое сотрудничество помогает CISA и организациям оставаться в курсе тенденций и выявлять инфраструктуру злоумышленников. Как показывает устранение LockBit, этот тип сотрудничества и обмена информацией может дать правоохранительным органам решающую поддержку даже против самых мощных групп злоумышленников.

Выступите единым фронтом против программ-вымогателей

Мы можем надеяться, что другие банды, занимающиеся вымогательством, воспримут действия против LockBit как предупреждение. Но тем временем давайте продолжим усердно обеспечивать безопасность и мониторинг наших собственных сетей, делиться информацией и сотрудничать, потому что угроза программ-вымогателей еще не миновала. Банды программ-вымогателей выигрывают, когда их жертвы считают, что они изолированы, но когда организации и правоохранительные органы работают рука об руку, обмениваясь информацией, вместе они могут оставаться на шаг впереди своих противников.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/lessons-from-the-lockbit-takedown