ABD Dışişleri Bakanlığı, LockBit fidye yazılımı grubu içindeki önemli liderlerin belirlenmesine ve operasyona katılan herhangi bir kişinin tutuklanmasına yol açabilecek bilgiler için 15 milyon dolara kadar para ödülü vereceğini duyurdu.
Dışişleri Bakanlığı, “Ocak 2020’den bu yana, LockBit aktörleri Amerika Birleşik Devletleri’nde ve dünya çapında kurbanlara karşı 2.000’den fazla saldırı gerçekleştirdi; bu da operasyonlarda maliyetli kesintilere ve hassas bilgilerin yok edilmesine veya sızmasına neden oldu.” söz konusu.
“LockBit fidye yazılımı olaylarından kurtulmak için 144 milyon dolardan fazla fidye ödemesi yapıldı.”
Bu gelişme, Birleşik Krallık Ulusal Suç Ajansı (NCA) liderliğindeki kapsamlı bir emniyet operasyonunun, dört yılı aşkın süredir faaliyet gösteren ve dünya çapındaki iş ve kritik altyapı kuruluşlarına zarar veren Rusya bağlantılı bir fidye yazılımı çetesi olan LockBit’i sekteye uğratmasının ardından geldi.
LockBit ve diğerleri gibi hizmet olarak fidye yazılımı (RaaS) operasyonları, hassas verilerini çalarak ve şifreleyerek şirketlere şantaj yaparak çalışır; bu da bunu, bu gerçeğin avantajını kullanarak cezasızlıkla hareket eden Rus e-suç grupları için kazançlı bir iş modeli haline getirir. Batı yasa uygulayıcılarının yetki alanının dışında olduklarını.
Çekirdek geliştiriciler, LockBit’in kötü amaçlı yazılımını ve altyapısını kullanarak saldırıları gerçekleştirmek üzere görevlendirilen bağlı kuruluşlar ağından yararlanma eğilimindedir. Bağlı kuruluşların ise ilk erişim aracılarını (IAB’ler) kullanarak ilgilenilen hedeflere erişim satın aldıkları biliniyor.
Sophos’un küresel saha CTO’su Chester Wisniewski, “LockBit, Conti’nin 2022 ortasında sahneden ayrılmasından bu yana en üretken fidye yazılımı grubu haline geldi” dedi. söz konusu.
“Saldırılarının sıklığı ve ne tür bir altyapıyı felce uğrattıklarına dair herhangi bir sınıra sahip olmamaları da onları son yılların en yıkıcıları haline getirdi. Operasyonlarını kesintiye uğratan ve iştirakleri ve tedarikçileri arasında güvensizlik yaratan herhangi bir şey, kolluk kuvvetleri için büyük bir kazançtır. “
LockBit’in aynı zamanda 2022’de bir hata ödül programı duyuran ilk fidye yazılımı grubu olduğu da biliniyor; bu program, web sitesi ve soyunma yazılımındaki güvenlik sorunlarını bulanlara 1 milyon dolara kadar ödüller sunuyor.
Intel 471, “LockBit’in operasyonu, sürekli olarak yeni ürün özellikleri sunarak, iyi müşteri desteği sağlayarak ve zaman zaman insanlara kendilerine grubun logosunu dövme yapmaları için ödeme yapmayı da içeren pazarlama eylemleriyle ölçek olarak büyüdü.” söz konusu.
“LockBit senaryoyu tersine çevirdi, bağlı kuruluşlarının fidyeyi toplamasına izin verdi ve onlara bunun bir kısmını ödeyeceğine güvendi. Bu, bağlı kuruluşların ödemeyi kaybedmeyeceklerine dair güven duymasını sağladı ve böylece daha fazla bağlı kuruluşun ilgisini çekti.”
Grubu Gold Mystic adı altında takip eden SecureWorks Karşı Tehdit Birimi (CTU), söz konusu Temmuz 2020’den Ocak 2024’e kadar LockBit fidye yazılımını içeren 22 ele geçirmeyi araştırdı; bunlardan bazıları mağdurlara şantaj yapmak için yalnızca veri hırsızlığına dayanıyordu.
Siber güvenlik şirketi ayrıca, LockBit’in fidye pazarlığı ve ödemeler konusunda kontrolü bağlı kuruluşlarına devretme uygulamasının, sendikanın yıllar içinde ölçeklenmesine ve birkaç bağlı kuruluş çekmesine olanak tanıdığına dikkat çekti.
LockBit’in yayından kaldırılması, Nisan 2022’de başlayan ve Polonya ve Ukrayna’daki üç bağlı kuruluşun tutuklanmasına, ABD’de diğer iki üye olduğu iddia edilen kişiye yönelik iddianamenin yanı sıra 34 sunucuya ve 1.000 şifre çözme anahtarına el konulmasıyla sonuçlanan aylar süren bir soruşturmanın ardından geldi. Mağdurların herhangi bir ödeme yapmadan verilerini kurtarmalarına yardımcı olabilir.
Bu tutuklamalar arasında 38 yaşında bir adam Varşova’da ve bir “Baba ve oğul” ikilisi Ukraynalı. LockBit’in sahip olduğu tahmin ediliyor yaklaşık 194 bağlı kuruluşta istihdam ediliyor 31 Ocak 2022 ile 5 Şubat 2024 arasında oyuncular StealBit olarak bilinen özel bir veri filtreleme aracı kullanıyor.
NCA, “StealBit, LockBit’in bağlı kuruluşlarına tam bir ‘tek durak noktası’ hizmeti sunma girişiminin bir örneğidir” dedi ve yürütülebilir dosyanın, StealBit’in muhtemel bir kaçış çabasına girmeden önce verileri bağlı kuruluşun kendi altyapısı üzerinden dışa aktarmak için kullanıldığını da sözlerine ekledi. tespit etme.
Bununla birlikte, bu RaaS markalarının değişken yapısı, onları kapatmanın suç örgütünü kesin olarak etkilemeyebileceği ve onların yeniden gruplanıp farklı bir ad altında yeniden ortaya çıkmasına olanak tanıyabileceği anlamına geliyor. Benzer yayından kaldırmaların yakın geçmişi bir gösterge ise, yeniden markalaşmaları ve kaldıkları yerden devam etmeleri çok uzun sürmeyecek.
ZeroFox, “LockBit’in altyapısının kapsamlı bir şekilde bozulması, LockBit operatörlerinin operasyonlara devam etmeden önce – ya LockBit adı altında ya da alternatif bir başlık altında – faaliyetlerinin kısa süreliğine durmasıyla sonuçlanacaktır.” söz konusu.
Wisniewski, “QakBot’ta olduğu gibi her zaman tam bir zafer elde edemesek bile, karmaşayı empoze etmek, yakalanma korkusunu körüklemek ve suç örgütünü işletme konusundaki sürtüşmeyi arttırmak yine de bir kazançtır” diye ekledi Wisniewski. “Hepsini ait oldukları yere, yani hapse koyana kadar maliyetlerini daha da artırmak için birlik olmaya devam etmeliyiz.”