Günler sonra Yıllar süren kapsamlı bir yasa uygulama operasyonu nedeniyle çevrimdışı duruma getirilen Rusya merkezli kötü şöhretli LockBit fidye yazılımı grubu, bir dizi yeni kurbanla tamamlanan yeni bir sızıntı sitesiyle karanlık ağa geri döndü.
Geriye kalan LockBit yöneticisi, Cumartesi günü yayınlanan ayrıntılı ve sınır ötesi bir açıklamada, geçen haftaki kesintiden kendi ihmalini sorumlu tuttu. Küresel kolluk kuvvetleri, çetenin kurbanlardan çalınan verileri yayınlamak için kullandığı karanlık web sızıntı sitesi de dahil olmak üzere LockBit’in halka açık web sitelerindeki bir güvenlik açığından yararlanarak fidye yazılımı çetesinin altyapısını ele geçiren bir operasyon başlattı.
Federallerin adlandırdığı şekliyle “Cronos Operasyonu” aynı zamanda Avrupa, Birleşik Krallık ve ABD’de 34 sunucunun kapatılmasına, 200’den fazla kripto para birimi cüzdanına el konulmasına ve Polonya ve Ukrayna’da LockBit üyesi olduğu iddia edilen iki kişinin tutuklanmasına da sahne oldu.
Sadece beş gün sonra LockBit, hükümetin yayından kaldırılmasından etkilenmeyen yedeklerden geri yüklendiğini iddia ederek operasyonlarının yeniden başladığını duyurdu. LockBit’in yöneticisi yaptığı açıklamada, bunun hükümet sektörünü hedef alacağını söyleyerek misilleme yapmakla tehdit etti.
Cronos Operasyonunu yöneten Ulusal Suç Teşkilatı’nın bir sözcüsü, LockBit’in geri dönüşünün ardından Pazartesi günü TechCrunch’a yaptığı açıklamada, kaldırma operasyonunun “LockBit sistemlerine başarılı bir şekilde sızdığını ve kontrolünü ele geçirdiğini ve tüm suç operasyonlarını tehlikeye atabildiğini” söyledi.
NCA, “Sistemleri artık NCA tarafından yok edildi ve bizim değerlendirmemiz LockBit’in tamamen tehlikeye girmiş durumda kaldığı yönünde” dedi.
LockBit’in elebaşının kaçak olduğu, misilleme tehdidinde bulunduğu ve yeni kurbanları hedef aldığı halde emniyet teşkilatının ezici bir zafer kazandığını iddia etmesi ikiliyi şimdilik anlaşmazlığa düşürüyor. Küstahça yeniden başlatılmasından bu yana iddia edilen bir düzineden fazla yeni kurbanla LockBit’in ölümü abartılmış olabilir.
Federaller ve suçlular arasındaki kedi-fare oyunu devam ederken, kavga konuşmaları ve her iki tarafın cesur iddiaları da sürüyor.
NCA, çetenin “LockBitSupp” adıyla anılan uzun süredir devam eden lideri hakkında büyük bir açıklama sözü verirken, ajans, Cuma günü LockBit’in kendi güvenliği ihlal edilmiş karanlık web sızıntı sitesine gönderdiği bir gönderide yönetici hakkında çok az şey açıkladı.
“Kim olduğunu biliyoruz. Nerede yaşadığını biliyoruz. Onun değerinin ne kadar olduğunu biliyoruz. LockBitSupp, Kanun Yaptırımları ile temasa geçti :), belirsiz bir şekilde ifade edilen NCA mesajında okunuyordu.
ABD kolluk kuvvetleri ayrıca LockBit çetesinde “önemli bir liderlik pozisyonuna sahip olan herhangi bir kişinin kimliğinin veya yerinin belirlenmesine yol açacak” ayrıntılar için multimilyon dolarlık bir ödül teklif etti; bu da yetkililerin ya bu bilgiye sahip olmadığını ya da bunu henüz kanıtlayamıyoruz.
Görünüşte yönetici olan LockBitSupp hala faaliyetteyken (LockBit yapbozunun kalan son parçası) LockBit’in ortadan kaybolması pek olası değil. Fidye yazılımı çetelerinin, kolluk kuvvetlerinin onları tamamen çökerttiği yönündeki iddialardan sonra bile hızla yeniden bir araya gelip yeniden markalaştığı biliniyor.
Rusya merkezli başka bir fidye yazılımı çetesini ele alalım: BlackCat olarak da bilinen ALPHV, geçen yıl kolluk kuvvetlerinin karanlık web sızıntı sitesini ele geçirmesi ve mağdurların çalınan dosyalara yeniden erişebilmesi için şifre çözme anahtarlarını yayınlamasıyla benzer bir darbe aldı. Sadece birkaç gün sonra ALPHV, sızıntı sitesini “ele geçirdiğini” duyurdu ve FBI’ın yalnızca 400 kadar şirket için şifre çözme anahtarlarına sahip olduğunu iddia etti; geriye verileri şifreli kalan 3.000’den fazla kurban kaldı.
Bu yazının yazıldığı sırada ALPHV’nin sızıntı sitesi hâlâ çalışır durumda ve neredeyse her gün yeni kurbanlar eklemeye devam ediyor.
Hive ve Conti gibi diğer fidye yazılımı çeteleri de son yıllarda benzer kolluk kuvvetleri eylemleriyle karşı karşıya kaldı ancak sadece yeniden markalaşıp farklı isimler altında yeniden oluştukları söyleniyor. Conti üyelerinin yeni Black Basta, BlackByte ve Karakurt grupları altında faaliyet gösterdiği söylenirken, eski Hive üyelerinin Hunters International adlı yeni bir fidye yazılımı operasyonu olarak yeniden markalaştığı söyleniyor.
LockBit’in kaldırılması, pek çok kişi tarafından son yılların en önemlilerinden biri olarak kabul edilse de, çok farklı olması pek olası değil ve işaretler zaten mevcut.
Uzun soluklu gönderisinde LockBit, kolluk kuvvetlerinin yalnızca bir avuç şifre çözücüyü ele geçirdiğini, yanlış kişileri tutukladığını ve kontrolü altındaki tüm web sitelerini kapatmayı başaramadığını iddia etti. LockBit ayrıca operasyonun ışığında altyapısının güvenliğini yükselteceğini, şifre çözücüleri manuel olarak yayınlayacağını ve ortaklık programını sürdüreceğinin sözünü verdi.
LockBit’in rant’ı şöyle devam etti: “Asistanlarıyla birlikte hiçbir FBI beni korkutamaz ve durduramaz; hizmetin istikrarı, yıllarca süren sürekli çalışmayla garanti altına alınmıştır.” “Beni bulup ortadan kaldıramadıkları için beni korkutmak istiyorlar, durdurulamıyorum.”
NCA, TechCrunch’a ajansın “LockBit’in muhtemelen sistemlerini yeniden gruplandırmaya ve yeniden inşa etmeye çalışacağını kabul ettiğini” ancak ajansın çalışmalarının grubu aksatmaya devam ettiğini kabul ettiğini söyledi.
NCA sözcüsü Richard Crowe, “Onlar ve onlarla bağlantılı olanlar hakkında büyük miktarda istihbarat topladık ve onları hedef alma ve bozma çalışmalarımız devam ediyor” dedi.
Emniyet teşkilatının hâlâ çeteyi çökertmeye çalıştığını kabul etmesi bize bilmemiz gereken her şeyi anlatıyor: LockBit henüz ölmedi ve muhtemelen hiçbir zaman da ölmedi.