LockBit Ransomware Takedown posega globoko v sposobnost preživetja blagovne znamke

Kljub temu, da skupina LockBit za izsiljevalsko programsko opremo kot storitev (RaaS) trdi, da se je vrnila po odmevnem uničenju sredi februarja, analiza razkriva pomembne, stalne motnje v dejavnostih skupine – skupaj z učinki valovanja v podzemlju kibernetske kriminalitete, s posledicami za poslovno tveganje.

LockBit je bil odgovoren za 25 % do 33 % vseh napadov z izsiljevalsko programsko opremo v letu 2023, glede na Trend Micro, zaradi česar je postal največja finančna grožnja v zadnjem letu. Odkar se je pojavil leta 2020, je zahteval na tisoče žrtev in milijone odkupnin, vključno s ciničnimi napadi na bolnišnice med pandemijo.

O Operacija Cronos, ki je vključevalo več organov kazenskega pregona po vsem svetu, je privedlo do izpadov na platformah, povezanih z LockBitom, in prevzela mesto uhajanja informacij s strani Nacionalne kriminalistične agencije Združenega kraljestva (NCA). Slednje so oblasti nato uporabile za aretacije, uvedbo sankcij, zaseg kriptovalute in več dejavnosti, povezanih z notranjim delovanjem skupine. Objavili so tudi skrbniško ploščo LockBit in razkrili imena podružnic, ki sodelujejo s skupino.

Nadalje so ugotovili, da bodo ključi za dešifriranje na voljo, in razkrili, da LockBit v nasprotju s svojimi obljubami žrtvam ni nikoli izbrisal podatkov o žrtvah po opravljenih plačilih.

Skratka, šlo je za domiselno razkazovanje sile in dostopa policijske skupnosti, ki je takoj po tem prestrašila druge v ekosistemu in povzročila previdnost, ko gre za delo s katero koli ponovno vzpostavljeno različico LockBita in njegovim kolovodjem, ki se imenuje upravljajte »LockBitSupp«.

Raziskovalci iz Trend Micro so ugotovili, da je dva meseca in pol po operaciji Cronos zelo malo dokazov, da se stvari za skupino obračajo – kljub trditvam LockBitSuppa, da si skupina lomi pot nazaj v normalno delovanje.

Drugačna vrsta odstranjevanja kibernetske kriminalitete

Operacija Cronos je bila sprva sprejeta s skepso raziskovalcev, ki so poudarili, da so druge nedavne, odmevne odstranitve skupin RaaS, kot je Black Basta, Conti, Panj, in Royal (da ne omenjam infrastrukture za trojance za začetni dostop, kot je Emotet, Qakbotin TrickBot), so za njihove operaterje povzročili le začasne težave.

Vendar pa je napad LockBita drugačen: sama količina informacij, do katerih so lahko organi pregona dostopali in jih objavili, je trajno škodila ugledu skupine v krogih temnega spleta.

"Medtem ko se pogosto osredotočajo na odvzem infrastrukture za poveljevanje in nadzor, so ta prizadevanja šla dlje," so pojasnili raziskovalci Trend Micro v danes objavljena analiza. »Videl je, da je policiji uspelo ogroziti skrbniško ploščo LockBita, razkriti podružnice ter dostopati do informacij in pogovorov med podružnicami in žrtvami. Ta kumulativna prizadevanja so pripomogla k okrnjenju ugleda LockBita med podružnicami in skupnostjo kibernetskega kriminala na splošno, zaradi česar se bo težje vrniti.«

Trend Micro je ugotovil, da je bil učinek skupnosti kibernetskega kriminala hiter. Za enega, LockBitSupp je bil prepovedan iz dveh priljubljenih podtalnih forumov, XSS in Exploit, kar ovira skrbnikovo zmožnost pridobitve podpore in obnove.

Kmalu zatem je uporabnik na X (prej Twitter) z imenom "Loxbit" medtem v javni objavi trdil, da ga je LockBitSupp ogoljufal, medtem ko je druga domnevna podružnica z imenom "michon" odprla nit arbitraže na forumu proti LockBitSuppu zaradi neplačila. En posrednik za začetni dostop, ki je uporabljal ročaj »dealfixer«, je oglaševal svoje izdelke, vendar je posebej omenil, da ne želijo sodelovati z nikomer iz LockBita. Drugi IAB, »n30n«, je na forumu ramp_v2 odprl zahtevek glede izgube plačila v zvezi z motnjo.

Morda še huje, nekateri komentatorji foruma so bili izjemno zaskrbljeni zaradi ogromne količine informacij, ki jih je policija lahko zbrala, nekateri pa so ugibali, da je LockBitSupp pri operaciji morda celo sodeloval z organi pregona. LockBitSupp je hitro objavil, da je bila ranljivost v PHP kriva za sposobnost organov pregona, da se infiltrirajo v podatke tolpe; Prebivalci temnega spleta so preprosto poudarili, da je hrošč star več mesecev, in kritizirali varnostne prakse LockBita in pomanjkanje zaščite za podružnice.

»Občutki skupnosti kibernetskega kriminala do motenj LockBita so segali od zadovoljstva do špekulacij o prihodnosti skupine, kar je namigovalo na pomemben vpliv incidenta na industrijo RaaS,« glede na analizo Trend Micro, objavljeno danes.

Srhljiv učinek motenj LockBit na industrijo RaaS

Motnja je dejansko sprožila nekaj samorefleksije med drugimi aktivnimi skupinami RaaS: operater Snatch RaaS je na svojem kanalu Telegram poudaril, da so vsi ogroženi.

»Zdi se, da je imelo motenje in spodkopavanje poslovnega modela veliko večji kumulativni učinek kot izvedba tehnične odstranitve,« pravi Trend Micro. “Ugled in zaupanje sta ključnega pomena za privabljanje podružnic, in ko se ti izgubijo, je težje pridobiti ljudi, da se vrnejo. Operaciji Cronos je uspelo udariti proti enemu najpomembnejšemu elementu svojega poslovanja: njegovi blagovni znamki.«

Jon Clay, podpredsednik oddelka za obveščanje o grožnjah družbe Trend Micro, je za Dark Reading povedal, da defangiranje LockBita in zastrašujoč učinek motnje na skupine RaaS na splošno predstavljata priložnost za obvladovanje poslovnih tveganj.

»To je lahko čas, da podjetja ponovno ocenijo svoje obrambne modele, saj bomo morda opazili upočasnitev napadov, medtem ko te druge skupine ocenjujejo svojo operativno varnost,« ugotavlja. "To je tudi čas za pregled načrta za odzivanje na poslovne incidente, da se prepričate, da so zajeti vsi vidiki kršitve, vključno s kontinuiteto poslovanja, kibernetskim zavarovanjem in odzivom - plačati ali ne plačati."

LockBit znaki življenja so močno pretirani

Trend Micro je ugotovil, da se LockBitSupp kljub temu poskuša opomoči – čeprav z nekaj pozitivnimi rezultati.

Teden dni po operaciji so se pojavila nova spletna mesta za uhajanje podatkov v Tor, LockBitSupp pa je na forumu ramp_v2 povedal, da skupina aktivno išče IAB-je z dostopom do domen .gov, .edu in .org, kar kaže na žejo po maščevanju. Kmalu se je na mestu razkritja začelo pojavljati na desetine domnevnih žrtev, začenši s FBI.

Ko pa je prišel in minil rok za plačilo odkupnine, je LockBitSupp namesto občutljivih podatkov FBI objavil dolgo izjavo, da bo še naprej deloval. Poleg tega sta bili več kot dve tretjini žrtev sestavljeni iz ponovno naloženih napadov, ki so se zgodili pred operacijo Cronos. Med ostalimi so žrtve pripadale drugim skupinam, kot je ALPHV. V celoti je telemetrija podjetja Trend Micro razkrila samo en majhen pravi grozd dejavnosti LockBit po Cronosu, od podružnice v jugovzhodni Aziji, ki je nosila nizko zahtevo po odkupnini v višini 2,800 USD.

Morda bolj zaskrbljujoče je, da skupina razvija tudi novo različico izsiljevalske programske opreme – Lockbit-NG-Dev. Trend Micro je ugotovil, da ima novo jedro .NET, ki mu omogoča, da je bolj neodvisen od platforme; prav tako odstrani zmožnosti samorazmnoževanja in zmožnost tiskanja obvestil o odkupnini prek uporabnikovih tiskalnikov.

»Osnova kode je popolnoma nova glede na prehod na ta novi jezik, kar pomeni, da bodo verjetno potrebni novi varnostni vzorci za njeno odkrivanje. Še vedno je funkcionalen in močan del izsiljevalske programske opreme,« so opozorili raziskovalci.

Kljub temu so to za LockBit v najboljšem primeru slabokrvni znaki življenja in Clay ugotavlja, da ni jasno, kam bodo LockBit ali njegove podružnice lahko šli naprej. Na splošno opozarja, da bodo morali biti zagovorniki pripravljeni na spremembe v taktiki tolp izsiljevalske programske opreme v prihodnje, ko tisti, ki sodelujejo v ekosistemu, ocenjujejo trenutno stanje.

"Skupine RaaS verjetno gledajo na lastne slabosti, ki jih ujamejo organi pregona," pojasnjuje. »Lahko pregledajo, na katere vrste podjetij/organizacij ciljajo, da ne bi posvečali veliko pozornosti svojim napadom. Podružnice lahko preučijo, kako se lahko hitro preusmerijo iz ene skupine v drugo, če se njihova glavna skupina RaaS umakne.«

Dodal je, da »se lahko preusmeritev samo na izločanje podatkov v primerjavi z uvajanjem izsiljevalske programske opreme poveča, saj to ne moti poslovanja, lahko pa še vedno omogoča dobiček. Videli smo lahko tudi, da se skupine RaaS popolnoma preusmerijo proti druge vrste napadov, kot je ogrožanje poslovne e-pošte (BEC), za katere se zdi, da ne povzročajo toliko motenj, vendar so še vedno zelo dobičkonosni glede na rezultat.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability