هوش داده افلاطون
جستجوی عمودی و هوش مصنوعی

امنیت سایبری

حذف باج‌افزار LockBit به ماندگاری برند ضربه می‌زند

بازنشر افلاطون
بازنشر افلاطون

تاریخ:

نمایش ها: 0

علی‌رغم اینکه باند باج‌افزار به‌عنوان سرویس (RaaS) LockBit ادعا می‌کند پس از یک سرنگونی پرطرفدار در اواسط فوریه بازگشته است، یک تجزیه و تحلیل نشان می‌دهد که اختلال قابل توجه و مداوم در فعالیت‌های این گروه – همراه با اثرات موجی در سرتاسر جرایم سایبری زیرزمینی، وجود دارد. با پیامدهایی برای ریسک تجاری

به گفته Trend Micro، LockBit مسئول 25 تا 33 درصد از حملات باج افزار در سال 2023 بود که به راحتی آن را به بزرگترین گروه عامل تهدید مالی در سال گذشته تبدیل کرد. از زمان ظهور در سال 2020، هزاران قربانی و میلیون‌ها باج گرفته است، از جمله حملات بدبینانه به بیمارستان‌ها در طول همه‌گیری.

La تلاش عملیات کرونوسکه چندین آژانس مجری قانون در سراسر جهان را درگیر می‌کند، منجر به قطعی پلتفرم‌های وابسته به LockBit و تصرف سایت افشا شده آن توسط آژانس ملی جرم و جنایت بریتانیا (NCA) شد. سپس مقامات از دومی برای دستگیری، تحمیل تحریم، توقیف ارزهای دیجیتال و فعالیت‌های بیشتر مرتبط با فعالیت‌های داخلی گروه استفاده کردند. آنها همچنین پنل مدیریت LockBit را به اطلاع عموم رساندند و نام شرکت های وابسته را که با این گروه کار می کردند را افشا کردند.

علاوه بر این، آنها اشاره کردند که کلیدهای رمزگشایی در دسترس خواهند بود و فاش کردند که LockBit، برخلاف وعده‌هایش به قربانیان، هرگز داده‌های قربانی را پس از پرداخت‌ها حذف نکرد.

در مجموع، این نمایش زورآمیز و دسترسی جامعه پلیس بود که بلافاصله بعد از آن دیگران را در اکوسیستم ترسانده و در هنگام کار با هر نسخه‌ای از LockBit که دوباره ظهور می‌کند و سرکرده‌اش که از آن عبور می‌کند، احتیاط می‌کرد. "LockBitSupp" را کنترل کنید.

محققان Trend Micro خاطرنشان کردند که، دو ماه و نیم پس از عملیات کرونوس، شواهد کمی وجود دارد که نشان می‌دهد اوضاع برای گروه در حال تغییر است – علی‌رغم ادعای LockBitSupp مبنی بر اینکه گروه در حال بازگشت به عملیات عادی است.

نوع متفاوتی از حذف جرایم سایبری

عملیات کرونوس در ابتدا با شک و تردید توسط محققان مواجه شد و اشاره کردند که دیگر سرنگونی‌های اخیر گروه‌های RaaS مانند Black Basta، کنتی, کندو، و رویال (بدون ذکر زیرساخت برای تروجان های دسترسی اولیه مانند اموته, قاکباتو TrickBot)، تنها منجر به مشکلات موقتی برای اپراتورهای خود شده است.

با این حال، اعتصاب LockBit متفاوت است: حجم انبوه اطلاعاتی که مجریان قانون توانستند به آن دسترسی پیدا کنند و عمومی کنند، برای همیشه به جایگاه این گروه در محافل تاریک وب آسیب رسانده است.

محققان Trend Micro در توضیح دادند: "در حالی که آنها اغلب بر روی از بین بردن زیرساخت های فرماندهی و کنترل تمرکز می کنند، این تلاش فراتر رفت." تحلیلی که امروز منتشر شد. وی افزود: پلیس موفق به به خطر انداختن پنل مدیریت LockBit، افشای شرکت‌های وابسته و دسترسی به اطلاعات و مکالمات بین افراد وابسته و قربانیان شد. این تلاش انباشته به خدشه دار کردن شهرت LockBit در میان شرکت های وابسته و به طور کلی جامعه جرایم سایبری کمک کرده است، که بازگشت از آن را دشوارتر می کند.

ترند میکرو مشاهده کرد، در واقع، پیامدهای جامعه جرایم سایبری سریع بود. برای یکی، LockBitSupp ممنوع شده است از دو فروم زیرزمینی محبوب، XSS و Exploit، که مانع از توانایی ادمین برای جلب پشتیبانی و بازسازی می شود.

مدت کوتاهی پس از آن، کاربری در X (توئیتر سابق) به نام «Loxbit» در همین حین در یک پست عمومی ادعا کرد که توسط LockBitSupp فریب خورده است، در حالی که یکی دیگر از شرکت‌های وابسته احتمالی به نام «michon» یک موضوع داوری فروم را علیه LockBitSupp برای عدم پرداخت باز کرد. یکی از کارگزاران دسترسی اولیه با استفاده از دسته "dealfixer" محصولات خود را تبلیغ کرد اما به طور خاص اشاره کرد که آنها نمی خواهند با کسی از LockBit کار کنند. و یک IAB دیگر به نام "n30n" در انجمن ramp_v2 ادعایی مبنی بر از دست دادن پرداخت مربوط به اختلال ایجاد کرد.

شاید بدتر از آن، برخی از مفسران فروم به شدت نگران حجم انبوهی از اطلاعاتی بودند که پلیس قادر به جمع آوری آنها بود، و برخی حدس زدند که LockBitSupp حتی ممکن است با مجریان قانون در این عملیات همکاری کرده باشد. LockBitSupp به سرعت اعلام کرد که یک آسیب پذیری در PHP مقصر توانایی مجریان قانون برای نفوذ به اطلاعات باند است. ساکنان دارک وب به سادگی اشاره کردند که این باگ ماه ها پیش است و از اقدامات امنیتی LockBit و عدم محافظت از شرکت های وابسته انتقاد کردند.

بر اساس تحلیل Trend Micro که امروز منتشر شد، «احساسات جامعه جرایم سایبری نسبت به اختلال LockBit از رضایت تا حدس و گمان در مورد آینده این گروه متغیر بود، که به تأثیر قابل توجه این حادثه بر صنعت RaaS اشاره می کند».

اثر خنک کننده LockBit Disruption بر صنعت RaaS

در واقع، این اختلال باعث ایجاد افکار خود در میان سایر گروه های فعال RaaS شده است: یک اپراتور Snatch RaaS در کانال تلگرام خود اشاره کرد که همه آنها در معرض خطر هستند.

بر اساس گزارش Trend Micro، "به نظر می رسد که برهم زدن و تضعیف مدل کسب و کار تأثیر تجمعی بسیار بیشتری نسبت به اجرای یک حذف فنی داشته است." "شهرت و اعتماد کلید جذب افراد وابسته استو وقتی اینها گم می شوند، سخت تر می شود مردم را به بازگشت وادار کرد. «عملیات کرونوس» موفق شد به یکی از عناصر کسب‌وکارش که مهم‌ترین آن بود حمله کند: برند آن».

جان کلای، معاون اطلاعات تهدیدات Trend Micro، به Dark Reading می‌گوید که حذف کردن LockBit و اثر سرد کننده این اختلال بر روی گروه‌های RaaS به طور کلی فرصتی برای مدیریت ریسک کسب‌وکار است.

او خاطرنشان می‌کند: «این می‌تواند زمانی باشد که کسب‌وکارها مدل‌های دفاعی خود را مجدداً ارزیابی کنند، زیرا ممکن است شاهد کاهش سرعت حملات باشیم در حالی که سایر گروه‌ها امنیت عملیاتی خود را ارزیابی می‌کنند». همچنین این زمان برای بررسی یک طرح پاسخگویی به رویدادهای تجاری است تا مطمئن شوید که تمام جنبه‌های نقض پوشش داده شده است، از جمله تداوم عملیات تجاری، بیمه سایبری، و پاسخ - پرداخت یا عدم پرداخت.

نشانه های زندگی LockBit بسیار اغراق آمیز هستند

Trend Micro دریافت که LockBitSupp با این وجود در تلاش برای بازگشت است - هرچند با نتایج مثبت کمی.

سایت‌های جدید نشت Tor یک هفته پس از عملیات راه‌اندازی شدند و LockBitSupp در فروم ramp_v2 گفت که باند فعالانه به دنبال IAB‌هایی با دسترسی به دامنه‌های .gov، .edu و .org هستند که نشان‌دهنده تشنگی برای انتقام است. طولی نکشید که تعداد زیادی از قربانیان احتمالی در سایت فاش شده ظاهر شدند، از FBI شروع شد.

با این حال، زمانی که ضرب‌الاجل پرداخت باج فرا رسید، به‌جای نمایش داده‌های حساس FBI در سایت، LockBitSupp اعلامیه‌ای طولانی مبنی بر ادامه فعالیت خود منتشر کرد. علاوه بر این، بیش از دو سوم قربانیان حملات بارگذاری مجددی بودند که قبل از عملیات کرونوس رخ داده بودند. از بقیه، قربانیان متعلق به گروه های دیگری مانند ALPHV بودند. در مجموع، تله متری Trend Micro تنها یک خوشه کوچک فعالیت LockBit واقعی را پس از Cronos نشان داد، از یک شرکت وابسته در جنوب شرقی آسیا که تقاضای باج 2,800 دلاری پایینی داشت.

شاید نگران کننده تر، این گروه همچنین در حال توسعه نسخه جدیدی از باج افزار - Lockbit-NG-Dev است. Trend Micro دریافت که دارای یک هسته دات نت جدید است که به آن اجازه می دهد تا پلتفرم آگنوستیک تر باشد. همچنین قابلیت های خود انتشار و توانایی چاپ یادداشت های باج از طریق چاپگرهای کاربر را حذف می کند.

«پایه کد در رابطه با انتقال به این زبان جدید کاملاً جدید است، به این معنی که احتمالاً الگوهای امنیتی جدیدی برای شناسایی آن مورد نیاز خواهد بود. محققان هشدار دادند که هنوز یک باج افزار کاربردی و قدرتمند است.

با این حال، اینها در بهترین حالت نشانه کم خونی زندگی برای LockBit هستند، و Clay خاطرنشان می کند که مشخص نیست این یا شرکت های وابسته به آن کجا ممکن است حرکت کنند. به طور کلی، او هشدار می دهد، مدافعان باید برای تغییر در تاکتیک های باج افزارهای باج افزار در آینده آماده باشند، زیرا کسانی که در اکوسیستم شرکت می کنند وضعیت بازی را ارزیابی می کنند.

او توضیح می‌دهد: «گروه‌های RaaS احتمالاً به دنبال نقاط ضعف خود هستند که توسط مجریان قانون دستگیر شده‌اند. آنها ممکن است بررسی کنند که چه نوع کسب‌وکارها/سازمان‌هایی را هدف قرار می‌دهند تا توجه زیادی به حملات خود نکنند. شرکت‌های وابسته ممکن است ببینند که چگونه می‌توانند به سرعت از یک گروه به گروه دیگر در صورتی که گروه اصلی RaaS آنها حذف شود، تغییر مکان دهند.

او می‌افزاید، «تغییر به سمت استخراج داده‌ها فقط در مقابل استقرار باج‌افزارها ممکن است افزایش یابد، زیرا این کار باعث ایجاد اختلال در کسب‌وکار نمی‌شود، اما همچنان می‌تواند باعث سود شود. ما همچنین می‌توانیم ببینیم که گروه‌های RaaS کاملاً به سمت حرکت می‌کنند انواع دیگر حملات، مانند به خطر افتادن ایمیل تجاری (BEC)، که به نظر نمی رسد آنقدرها اختلال ایجاد کنند، اما همچنان برای درآمدهای نهایی خود بسیار سودآور هستند."

نقطه_img

جدیدترین اطلاعات

نقطه_img

حق چاپ @ 2024 Plato Technologies Inc.

چت با ما

سلام! چگونه می توانم به شما کمک کنم؟