Trots att LockBit ransomware-as-a-service (RaaS)-gänget påstår sig vara tillbaka efter en uppmärksammad nedläggning i mitten av februari, avslöjar en analys betydande, pågående störningar i gruppens aktiviteter – tillsammans med ringeffekter genom hela cyberbrottslighetens underjordiska, med konsekvenser för affärsrisk.
LockBit var ansvarig för 25 % till 33 % av alla ransomware-attacker under 2023, enligt Trend Micro, vilket lätt gjorde det till den största finansiella hotaktörsgruppen det senaste året. Sedan den dök upp 2020 har den krävt tusentals offer och miljoner i lösen, inklusive cyniska träffar på sjukhus under pandemin.
Smakämnen Operation Cronos ansträngning, som involverade flera brottsbekämpande myndigheter runt om i världen, ledde till avbrott på LockBit-anslutna plattformar och ett övertagande av dess läckageplats av Storbritanniens National Crime Agency (NCA). Myndigheterna använde sedan det senare för att göra arresteringar, införa sanktioner, beslagta kryptovaluta och fler aktiviteter relaterade till gruppens inre arbete. De publicerade också LockBit adminpanel och avslöjade namnen på affiliates som arbetar med gruppen.
Vidare noterade de att dekrypteringsnycklar skulle göras tillgängliga och avslöjade att LockBit, i motsats till sina löften till offren, aldrig raderade offerdata efter att betalningar gjorts.
Sammantaget var det en smart uppvisning av kraft och tillgång från poliskåren, som skrämde andra i ekosystemet omedelbart efter och ledde till försiktighet när det gäller att arbeta med vilken som helst återuppstått version av LockBit och dess huvudledare, som går förbi hantera "LockBitSupp."
Forskare från Trend Micro noterade att det, två och en halv månad efter Operation Cronos, finns mycket få bevis för att saker och ting håller på att vända för gruppen – trots LockBitSupps påståenden om att gruppen är på väg tillbaka till normal verksamhet.
En annan typ av borttagning av cyberbrott
Operation Cronos möttes initialt av skepsis av forskare, som påpekade att andra nyligen uppmärksammade nedtagningar av RaaS-grupper som Black Basta, Conti, Bikupa, och Royal (för att inte tala om infrastrukturen för trojaner som t.ex Emotet, Qakbot, och TrickBot), har endast resulterat i tillfälliga bakslag för deras operatörer.
LockBit-strejken är dock annorlunda: den stora mängden information som brottsbekämpande myndigheter kunde komma åt och offentliggöra har permanent skadat gruppens ställning i Dark Web-kretsar.
"Medan de ofta fokuserar på att ta ut kommando- och kontrollinfrastruktur, gick denna ansträngning längre," förklarade Trend Micro-forskare i en analys som släpptes idag. "Det såg att polisen lyckades äventyra LockBits adminpanel, avslöja affiliates och få tillgång till information och konversationer mellan affiliates och offer. Denna kumulativa ansträngning har bidragit till att smutskasta LockBits rykte bland affiliates och cyberbrottsgemenskapen i allmänhet, vilket kommer att göra det svårare att komma tillbaka från.”
Faktum är att nedfallet från cyberbrottsgemenskapen var snabbt, observerade Trend Micro. För en, LockBitSupp har förbjudits från två populära underjordiska forum, XSS och Exploit, vilket hindrar administratörens förmåga att få stöd och återuppbygga.
Strax efter hävdade en användare på X (tidigare Twitter) som heter "Loxbit" under tiden i ett offentligt inlägg att ha blivit lurad av LockBitSupp, medan en annan förmodad affiliate kallad "michon" öppnade en forumtråd mot LockBitSupp för utebliven betalning. En mäklare med initial tillgång som använde handtaget "dealfixer" annonserade sina varor men nämnde specifikt att de inte ville arbeta med någon från LockBit. Och en annan IAB, "n30n", öppnade ett krav på ramp_v2-forumet om betalningsbortfall kring störningen.
Kanske värre, vissa forumkommentatorer var extremt oroade över den stora mängd information som polisen kunde sammanställa, och vissa spekulerade i att LockBitSupp till och med kan ha arbetat med brottsbekämpande myndigheter på operationen. LockBitSupp meddelade snabbt att en sårbarhet i PHP var skyldig till brottsbekämpningens förmåga att infiltrera gängets information; Dark Web-invånare påpekade helt enkelt att buggen är månader gammal och kritiserade LockBits säkerhetspraxis och bristande skydd för affiliates.
"Känslorna från cyberbrottsgemenskapen till LockBits störning varierade från tillfredsställelse till spekulationer om gruppens framtid, vilket antyder den betydande inverkan av incidenten på RaaS-branschen", enligt Trend Micros analys, som släpptes idag.
LockBit Disruptions kylande effekt på RaaS-industrin
I själva verket har störningen väckt viss självreflektion bland andra aktiva RaaS-grupper: En RaaS-operatör påpekade på sin Telegram-kanal att de alla var i riskzonen.
"Att störa och undergräva affärsmodellen verkar ha haft en mycket mer kumulativ effekt än att utföra en teknisk nedtagning", enligt Trend Micro. "Rykte och förtroende är nyckeln till att attrahera affiliates, och när dessa går förlorade är det svårare att få folk att återvända. Operation Cronos lyckades slå emot en del av sin verksamhet som var viktigast: dess varumärke.”
Jon Clay, Trend Micros vice vd för hotintelligens, säger till Dark Reading att LockBits defanging och störningens kylande effekt på RaaS-grupper i allmänhet utgör en möjlighet för affärsriskhantering.
"Detta kan vara en tid för företag att omvärdera sina försvarsmodeller eftersom vi kan se en avmattning av attacker medan dessa andra grupper bedömer sin egen operativa säkerhet", noterar han. "Detta är också en tid att se över en responsplan för affärsincidenter för att se till att du har alla aspekter av ett intrång täckta, inklusive kontinuitet i verksamheten, cyberförsäkring och svaret - att betala eller inte betala."
LockBit Livstecken är kraftigt överdrivna
LockBitSupp försöker ändå studsa tillbaka, fann Trend Micro - men med få positiva resultat.
Nya Tor-läckagesajter lanserades en vecka efter operationen, och LockBitSupp sa på ramp_v2-forumet att gänget aktivt letar efter IAB:s med tillgång till .gov-, .edu- och .org-domäner, vilket tyder på en hämndtörst. Det dröjde inte länge innan mängder av förmodade offer började dyka upp på läckageplatsen, till att börja med FBI.
Men när tidsfristen för lösenbetalning kom och gick, istället för att känslig FBI-data dyker upp på sajten, publicerade LockBitSupp en lång förklaring om att den skulle fortsätta att fungera. Dessutom bestod mer än två tredjedelar av offren av återuppladdade attacker som inträffade före Operation Cronos. Av de övriga tillhörde offren andra grupper, till exempel ALPHV. Sammantaget avslöjade Trend Micros telemetri bara ett litet verkligt LockBit-aktivitetskluster efter Cronos, från ett dotterbolag i Sydostasien som hade ett lågt krav på lösen på $2,800 XNUMX.
Kanske mer oroande, gruppen har också utvecklat en ny version av ransomware - Lockbit-NG-Dev. Trend Micro fann att den har en ny .NET-kärna, vilket gör att den kan vara mer plattformsoberoende; det tar också bort självförökande möjligheter och möjligheten att skriva ut lösesedlar via användarens skrivare.
”Kodbasen är helt ny i förhållande till övergången till detta nya språk, vilket innebär att nya säkerhetsmönster troligen kommer att behövas för att upptäcka den. Det är fortfarande en funktionell och kraftfull del av ransomware”, varnade forskare.
Ändå är dessa anemiska livstecken i bästa fall för LockBit, och Clay noterar att det är oklart vart det eller dess affiliates kan gå härnäst. I allmänhet, varnar han, kommer försvarare att behöva vara förberedda på förändringar i gängets taktik för ransomware framöver när de som deltar i ekosystemet bedömer tillståndet.
"RaaS-grupper tittar sannolikt på sina egna svagheter som fångas upp av brottsbekämpande," förklarar han. "De kan granska vilka typer av företag/organisationer de riktar sig till för att inte ge mycket uppmärksamhet åt deras attacker. Affiliates kan titta på hur de snabbt kan skifta från en grupp till en annan om deras huvudsakliga RaaS-grupp skulle tas ner.”
Han tillägger, "att skifta mot enbart dataexfiltrering jämfört med utplaceringar av ransomware kan öka eftersom dessa inte stör en verksamhet, men ändå kan ge vinster. Vi kunde också se RaaS-grupper skifta helt mot andra attacktyper, som affärse-postkompromettering (BEC), som inte verkar orsaka så mycket störningar, men som ändå är mycket lukrativa för sina resultat."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability
- : har
- :är
- :inte
- :var
- $UPP
- 2020
- 2023
- 7
- 800
- a
- förmåga
- Able
- Om oss
- tillgång
- Enligt
- aktiv
- aktivt
- aktiviteter
- aktivitet
- Dessutom
- Lägger
- administration
- Dotterbolag
- affiliates
- Efter
- Efter
- mot
- byråer
- byrå
- Alla
- tillåter
- tillåter
- längs
- också
- bland
- mängd
- an
- analys
- och
- meddelade
- Annan
- vilken som helst
- uppträder
- skiljedom
- ÄR
- runt
- anhållanden
- AS
- asien
- aspekter
- bedöma
- At
- attackera
- Attacker
- försök
- uppmärksamhet
- locka
- Myndigheter
- tillgänglig
- tillbaka
- bas
- BE
- BEC
- varit
- innan
- Där vi får lov att vara utan att konstant prestera,
- BÄST
- mellan
- störst
- Svart
- Botten
- Studsa
- varumärke
- brott
- mäklare
- Bug
- företag
- företags e-postkompromiss
- affärsmodell
- företag
- men
- by
- kallas
- kom
- KAN
- kapacitet
- genom
- Vid
- fångas
- Orsak
- Kanal
- cirklar
- patentkrav
- hävdade
- hävdar
- hävdar
- kluster
- koda
- kodbas
- komma
- kommer
- kommentatorer
- samfundet
- fullständigt
- kompromiss
- aktuella
- fortsätta
- kontinuitet
- motsats
- kontroll
- konversationer
- Kärna
- kunde
- omfattas
- Brott
- Cronos
- kryptovaluta
- cyber
- cyberbrottslighet
- mörkt
- Mörk läsning
- mörk Web
- datum
- tidsfrist
- djup
- Försvararna
- Försvar
- Efterfrågan
- distributioner
- Trots
- upptäcka
- utveckla
- DID
- olika
- Störa
- Störningar
- domäner
- donation
- ner
- under
- lätt
- ekosystemet
- effekt
- effekter
- ansträngning
- elementet
- dykt
- tillämpning
- helt
- Även
- bevis
- exekvera
- exfiltrering
- förklarade
- Förklarar
- Exploit
- utsatta
- extremt
- Fallout
- långt
- FBI
- få
- finansiella
- Fokus
- För
- kraft
- förr
- Forum
- forum
- Framåt
- hittade
- från
- funktionella
- ytterligare
- framtida
- Gäng
- garner
- Allmänt
- skaffa sig
- blir
- Ge
- Go
- Går
- kommer
- kraftigt
- Grupp
- Gruppens
- hade
- Hälften
- hantera
- hårdare
- Har
- he
- hjälpte
- hög profil
- träffar
- sjukhus
- Hur ser din drömresa ut
- html
- HTTPS
- omedelbar
- Inverkan
- implikationer
- med Esport
- ålagts
- in
- incident
- incidentrespons
- Inklusive
- Öka
- indikerar
- industrin
- informationen
- Infrastruktur
- inledande
- initialt
- inre
- istället
- försäkring
- Intelligens
- in
- involverar
- IT
- DESS
- jpg
- bara
- bara en
- Nyckel
- nycklar
- Snäll
- Brist
- språk
- Efternamn
- Förra året
- lanserades
- Lag
- brottsbekämpning
- ledande
- läckage
- Led
- livet
- tycka om
- sannolikt
- rader
- liten
- Lång
- se
- du letar
- förlust
- förlorat
- Låg
- lukrativ
- gjord
- Huvudsida
- göra
- Framställning
- hantera
- ledning
- Maj..
- betyder
- Samtidigt
- nämna
- nämnts
- träffade
- mikro
- miljoner
- modell
- modeller
- månader
- mer
- mest
- flytta
- mycket
- multipel
- namn
- nationell
- NCA
- Behöver
- behövs
- netto
- aldrig
- Nya
- Nästa
- normala
- noterade
- Anmärkningar
- inträffade
- of
- Ofta
- Gamla
- on
- ONE
- pågående
- endast
- öppnade
- driva
- drift
- operativa
- Verksamhet
- Operatören
- operatörer
- Möjlighet
- or
- Övriga
- Övrigt
- ut
- avbrott
- egen
- pandemi
- panel
- deltagande
- mönster
- Betala
- betalning
- betalningar
- Personer
- permanent
- PHP
- bit
- Planen
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- Polisen
- polisarbete
- Populära
- positiv
- Inlägg
- posted
- den mäktigaste
- praxis
- Dyrbar
- beredd
- presentera
- VD
- Skriva ut
- Innan
- vinster
- lovar
- skydd
- allmän
- snabbt
- Ransom
- Ransomware
- Ransomware-attacker
- snabbt
- Läsning
- senaste
- relaterad
- förhållande
- frigörs
- avlägsnar
- rykte
- forskare
- respons
- ansvarig
- Resultat
- avkastning
- avslöjade
- avslöjar
- översyn
- Ripple
- Risk
- riskhanterings
- kungliga
- s
- Nämnda
- sanktioner
- tillfredsställande
- kunniga
- såg
- poäng
- säkerhet
- se
- söker
- verka
- Gripa
- gripa cryptocurrency
- känslig
- känslor
- motgångar
- skifta
- SKIFTANDE
- Skift
- show
- signera
- signifikant
- Tecken
- helt enkelt
- eftersom
- webbplats
- Områden
- Skepsis
- Sakta ner
- Small
- So
- några
- sydöst
- Sydostasien
- utlöste
- specifikt
- spekulation
- stående
- igång
- Starta
- Ange
- Fortfarande
- strejka
- Strejker
- sådana
- stödja
- förment
- säker
- kring
- SWIFT
- taktik
- tagen
- övertagande
- tar
- Målet
- Teknisk
- Telegram
- berättar
- temporär
- än
- den där
- Smakämnen
- Staten
- Storbritannien
- världen
- deras
- sedan
- Där.
- Dessa
- de
- saker
- detta
- de
- fastän?
- tusentals
- hot
- hela
- tid
- till
- i dag
- Tor
- mot
- Trend
- sann
- Litar
- Vrida
- två
- två tredjedelar
- typer
- Uk
- underjordiska
- Begagnade
- Användare
- med hjälp av
- version
- Kontra
- mycket
- via
- livskraft
- vice
- Vice President
- Victim
- offer
- sårbarhet
- vill
- varnade
- varnar
- var
- var inte
- Sätt..
- we
- svagheter
- webb
- vecka
- begav sig
- były
- Vad
- när
- som
- medan
- VEM
- kommer
- med
- Arbete
- arbetade
- arbetssätt
- fungerar
- världen
- sämre
- skulle
- X
- XSS
- år
- Om er
- zephyrnet
