LockBit 勒索软件被击垮,严重影响了品牌的生存能力

LockBit 勒索软件被击垮,严重影响了品牌的生存能力

时间戳记:3年2024月6日下午11:XNUMX
LockBit 勒索软件的打击深入打击了品牌的生存能力 PlatoBlockchain 数据智能。垂直搜索。人工智能。

尽管 LockBit 勒索软件即服务 (RaaS) 团伙声称在 2 月中旬高调取缔后卷土重来,但一项分析显示,该团伙的活动正在遭受重大且持续的破坏,同时整个地下网络犯罪也产生了连锁反应,对商业风险的影响。

据趋势科技称,25 年,LockBit 造成了 33% 至 2023% 的勒索软件攻击,这使其成为去年最大的金融威胁组织。自 2020 年出现以来,它已造成数千名受害者和数百万美元的赎金,其中包括在大流行期间对医院进行的愤世嫉俗的袭击。

克洛诺斯行动的努力涉及世界各地多个执法机构,导致 LockBit 附属平台中断,英国国家犯罪局 (NCA) 接管了其泄密网站。当局随后利用后者进行逮捕、实施制裁、扣押加密货币以及与该组织内部运作相关的更多活动。他们还公开了 LockBit 管理面板,并曝光了与该组织合作的附属机构的名称。

此外,他们指出将提供解密密钥,并透露 LockBit 与向受害者做出的承诺相反,在付款后从未删除受害者数据。

总而言之,这是一次精明的武力展示和来自警察界的访问,在事件发生后立即吓坏了生态系统中的其他人,并导致人们在与任何重新出现的 LockBit 版本及其头目合作时保持警惕。处理“LockBitSupp”。

趋势科技的研究人员指出,克罗诺斯行动过去两个半月后,几乎没有证据表明该组织的情况正在好转,尽管 LockBitSupp 声称该组织正在努力恢复正常运营。

另一种打击网络犯罪的方式

克罗诺斯行动最初遭到了研究人员的怀疑,他们指出最近对 RaaS 组织(如 Black Basta)的其他高调镇压行动, 孔蒂, 蜂房和 Royal(更不用说初始访问木马的基础设施了,比如 Emotet, 卡博,和 TrickBot),只给他们的操作者带来了暂时的挫折。

然而,LockBit 攻击有所不同:执法部门能够访问并公开的大量信息已经永久损害了该组织在暗网圈子中的地位。

“虽然他们经常专注于摧毁命令和控制基础设施,但这种努力走得更远,”趋势科技研究人员在《趋势科技》中解释道。 今天发布的分析。 “警方成功侵入 LockBit 的管理面板,暴露附属机构,并获取附属机构和受害者之间的信息和对话。这种累积的努力已经损害了 LockBit 在附属机构和整个网络犯罪社区中的声誉,这将使其更难恢复。”

事实上,趋势科技观察到,网络犯罪社区的影响是迅速的。其一, LockBitSupp已被禁止 来自两个流行的地下论坛(XSS 和 Exploit)的攻击,阻碍了管理员获得支持和重建的能力。

不久之后,X(前 Twitter)上一位名为“Loxbit”的用户同时在一篇公开帖子中声称自己被 LockBitSupp 欺骗,而另一位名为“michon”的疑似附属机构则针对 LockBitSupp 未付款问题开设了一个论坛仲裁线程。一位使用“dealfixer”句柄的初始访问经纪人为其产品做广告,但特别提到他们不想与 LockBit 的任何人合作。另一个 IAB“n30n”在 Ramp_v2 论坛上针对此次中断提出了付款损失索赔。

也许更糟糕的是,一些论坛评论员对警方能够收集的大量信息极为担忧,一些人猜测 LockBitSupp 甚至可能与执法部门合作开展此次行动。 LockBitSupp 很快宣布,执法部门能够渗透该团伙信息的罪魁祸首是 PHP 中的一个漏洞;暗网用户只是指出该漏洞已有数月之久,并批评 LockBit 的安全实践和缺乏对附属机构的保护。

根据趋势科技今天发布的分析,“网络犯罪社区对 LockBit 的破坏的情绪从满意到对该组织未来的猜测,暗示了该事件对 RaaS 行业的重大影响。”

LockBit 颠覆对 RaaS 行业的寒蝉效应

事实上,这次中断引发了其他活跃 RaaS 团体的一些自我反思:一位 Snatch RaaS 运营商在其 Telegram 频道上指出,他们都面临着风险。

趋势科技表示:“扰乱和破坏商业模式似乎比执行技术攻击具有更大的累积效应。” “声誉和信任是吸引附属公司的关键,而当这些失去时,就很难让人们回来。克罗诺斯行动成功地打击了其业务中最重要的一个要素:品牌。”

趋势科技威胁情报副总裁乔恩·克莱 (Jon Clay) 告诉 Dark Reading,LockBit 的削弱以及这种颠覆对 RaaS 群体的寒蝉效应总体上为业务风险管理提供了机会。

他指出:“这可能是企业重新评估其防御模型的时候,因为我们可能会看到攻击放缓,而其他组织则评估自己的运营安全。” “这也是审查业务事件响应计划的时候,以确保涵盖违规的所有方面,包括业务运营连续性、网络保险以及响应(支付或不支付)。”

LockBit 的生命迹象被严重夸大

趋势科技发现,LockBitSupp 仍在尝试反弹,但几乎没有取得积极成果。

行动一周后,新的 Tor 泄露网站上线,LockBitSupp 在 Ramp_v2 论坛上表示,该团伙正在积极寻找能够访问 .gov、.edu 和 .org 域名的 IAB,这表明他们渴望报复。不久之后,数十名所谓的受害者开始出现在泄密网站上,首先是联邦调查局。

然而,当赎金支付截止日期到来又过去时,LockBitSupp 并未在网站上显示敏感的 FBI 数据,而是发布了一份冗长的声明,表示将继续运营。此外,超过三分之二的受害者是克罗诺斯行动之前发生的重新上传的攻击。在其他人中,受害者属于其他团体,例如 ALPHV。总而言之,趋势科技的遥测技术仅揭示了克罗诺斯之后的一个小型真正的 LockBit 活动集群,该集群来自东南亚的一家附属公司,赎金要求较低,仅为 2,800 美元。

也许更令人担忧的是,该组织还一直在开发新版本的勒索软件——Lockbit-NG-Dev。趋势科技发现它有一个新的 .NET 核心,这使得它更加与平台无关;它还消除了自我传播功能以及通过用户打印机打印勒索字条的能力。

“相对于转向这种新语言,代码库是全新的,这意味着可能需要新的安全模式来检测它。它仍然是一款实用且强大的勒索软件,”研究人员警告说。

尽管如此,对于 LockBit 来说,这些充其量只是生命力不足的迹象,克莱指出,目前还不清楚它或其附属公司下一步可能会走向何方。他警告说,总体而言,随着生态系统参与者对形势的评估,防御者需要为勒索软件团伙策略的转变做好准备。

“RaaS 组织可能会发现自己的弱点被执法部门发现,”他解释道。 “他们可能会审查他们的目标是什么类型的企业/组织,以免对他们的攻击给予太多关注。附属机构可能会考虑如何快速从一个组转移到另一个组,以防他们的主要 RaaS 组被取消。”

他补充道,“转向仅数据泄露而不是勒索软件部署可能会增加,因为这些不会扰乱业务,但仍然可以带来利润。我们还可以看到 RaaS 群体完全转向 其他攻击类型,例如商业电子邮件泄露 (BEC),这似乎不会造成太大的破坏,但其利润仍然非常有利可图。”

时间戳记:

更多来自 暗读