علیرغم اینکه باند باجافزار بهعنوان سرویس (RaaS) LockBit ادعا میکند پس از یک سرنگونی پرطرفدار در اواسط فوریه بازگشته است، یک تجزیه و تحلیل نشان میدهد که اختلال قابل توجه و مداوم در فعالیتهای این گروه – همراه با اثرات موجی در سرتاسر جرایم سایبری زیرزمینی، وجود دارد. با پیامدهایی برای ریسک تجاری
به گفته Trend Micro، LockBit مسئول 25 تا 33 درصد از حملات باج افزار در سال 2023 بود که به راحتی آن را به بزرگترین گروه عامل تهدید مالی در سال گذشته تبدیل کرد. از زمان ظهور در سال 2020، هزاران قربانی و میلیونها باج گرفته است، از جمله حملات بدبینانه به بیمارستانها در طول همهگیری.
La تلاش عملیات کرونوسکه چندین آژانس مجری قانون در سراسر جهان را درگیر میکند، منجر به قطعی پلتفرمهای وابسته به LockBit و تصرف سایت افشا شده آن توسط آژانس ملی جرم و جنایت بریتانیا (NCA) شد. سپس مقامات از دومی برای دستگیری، تحمیل تحریم، توقیف ارزهای دیجیتال و فعالیتهای بیشتر مرتبط با فعالیتهای داخلی گروه استفاده کردند. آنها همچنین پنل مدیریت LockBit را به اطلاع عموم رساندند و نام شرکت های وابسته را که با این گروه کار می کردند را افشا کردند.
علاوه بر این، آنها اشاره کردند که کلیدهای رمزگشایی در دسترس خواهند بود و فاش کردند که LockBit، برخلاف وعدههایش به قربانیان، هرگز دادههای قربانی را پس از پرداختها حذف نکرد.
در مجموع، این نمایش زورآمیز و دسترسی جامعه پلیس بود که بلافاصله بعد از آن دیگران را در اکوسیستم ترسانده و در هنگام کار با هر نسخهای از LockBit که دوباره ظهور میکند و سرکردهاش که از آن عبور میکند، احتیاط میکرد. "LockBitSupp" را کنترل کنید.
محققان Trend Micro خاطرنشان کردند که، دو ماه و نیم پس از عملیات کرونوس، شواهد کمی وجود دارد که نشان میدهد اوضاع برای گروه در حال تغییر است – علیرغم ادعای LockBitSupp مبنی بر اینکه گروه در حال بازگشت به عملیات عادی است.
نوع متفاوتی از حذف جرایم سایبری
عملیات کرونوس در ابتدا با شک و تردید توسط محققان مواجه شد و اشاره کردند که دیگر سرنگونیهای اخیر گروههای RaaS مانند Black Basta، کنتی, کندو، و رویال (بدون ذکر زیرساخت برای تروجان های دسترسی اولیه مانند اموته, قاکباتو TrickBot)، تنها منجر به مشکلات موقتی برای اپراتورهای خود شده است.
با این حال، اعتصاب LockBit متفاوت است: حجم انبوه اطلاعاتی که مجریان قانون توانستند به آن دسترسی پیدا کنند و عمومی کنند، برای همیشه به جایگاه این گروه در محافل تاریک وب آسیب رسانده است.
محققان Trend Micro در توضیح دادند: "در حالی که آنها اغلب بر روی از بین بردن زیرساخت های فرماندهی و کنترل تمرکز می کنند، این تلاش فراتر رفت." تحلیلی که امروز منتشر شد. وی افزود: پلیس موفق به به خطر انداختن پنل مدیریت LockBit، افشای شرکتهای وابسته و دسترسی به اطلاعات و مکالمات بین افراد وابسته و قربانیان شد. این تلاش انباشته به خدشه دار کردن شهرت LockBit در میان شرکت های وابسته و به طور کلی جامعه جرایم سایبری کمک کرده است، که بازگشت از آن را دشوارتر می کند.
ترند میکرو مشاهده کرد، در واقع، پیامدهای جامعه جرایم سایبری سریع بود. برای یکی، LockBitSupp ممنوع شده است از دو فروم زیرزمینی محبوب، XSS و Exploit، که مانع از توانایی ادمین برای جلب پشتیبانی و بازسازی می شود.
مدت کوتاهی پس از آن، کاربری در X (توئیتر سابق) به نام «Loxbit» در همین حین در یک پست عمومی ادعا کرد که توسط LockBitSupp فریب خورده است، در حالی که یکی دیگر از شرکتهای وابسته احتمالی به نام «michon» یک موضوع داوری فروم را علیه LockBitSupp برای عدم پرداخت باز کرد. یکی از کارگزاران دسترسی اولیه با استفاده از دسته "dealfixer" محصولات خود را تبلیغ کرد اما به طور خاص اشاره کرد که آنها نمی خواهند با کسی از LockBit کار کنند. و یک IAB دیگر به نام "n30n" در انجمن ramp_v2 ادعایی مبنی بر از دست دادن پرداخت مربوط به اختلال ایجاد کرد.
شاید بدتر از آن، برخی از مفسران فروم به شدت نگران حجم انبوهی از اطلاعاتی بودند که پلیس قادر به جمع آوری آنها بود، و برخی حدس زدند که LockBitSupp حتی ممکن است با مجریان قانون در این عملیات همکاری کرده باشد. LockBitSupp به سرعت اعلام کرد که یک آسیب پذیری در PHP مقصر توانایی مجریان قانون برای نفوذ به اطلاعات باند است. ساکنان دارک وب به سادگی اشاره کردند که این باگ ماه ها پیش است و از اقدامات امنیتی LockBit و عدم محافظت از شرکت های وابسته انتقاد کردند.
بر اساس تحلیل Trend Micro که امروز منتشر شد، «احساسات جامعه جرایم سایبری نسبت به اختلال LockBit از رضایت تا حدس و گمان در مورد آینده این گروه متغیر بود، که به تأثیر قابل توجه این حادثه بر صنعت RaaS اشاره می کند».
اثر خنک کننده LockBit Disruption بر صنعت RaaS
در واقع، این اختلال باعث ایجاد افکار خود در میان سایر گروه های فعال RaaS شده است: یک اپراتور Snatch RaaS در کانال تلگرام خود اشاره کرد که همه آنها در معرض خطر هستند.
بر اساس گزارش Trend Micro، "به نظر می رسد که برهم زدن و تضعیف مدل کسب و کار تأثیر تجمعی بسیار بیشتری نسبت به اجرای یک حذف فنی داشته است." "شهرت و اعتماد کلید جذب افراد وابسته استو وقتی اینها گم می شوند، سخت تر می شود مردم را به بازگشت وادار کرد. «عملیات کرونوس» موفق شد به یکی از عناصر کسبوکارش که مهمترین آن بود حمله کند: برند آن».
جان کلای، معاون اطلاعات تهدیدات Trend Micro، به Dark Reading میگوید که حذف کردن LockBit و اثر سرد کننده این اختلال بر روی گروههای RaaS به طور کلی فرصتی برای مدیریت ریسک کسبوکار است.
او خاطرنشان میکند: «این میتواند زمانی باشد که کسبوکارها مدلهای دفاعی خود را مجدداً ارزیابی کنند، زیرا ممکن است شاهد کاهش سرعت حملات باشیم در حالی که سایر گروهها امنیت عملیاتی خود را ارزیابی میکنند». همچنین این زمان برای بررسی یک طرح پاسخگویی به رویدادهای تجاری است تا مطمئن شوید که تمام جنبههای نقض پوشش داده شده است، از جمله تداوم عملیات تجاری، بیمه سایبری، و پاسخ - پرداخت یا عدم پرداخت.
نشانه های زندگی LockBit بسیار اغراق آمیز هستند
Trend Micro دریافت که LockBitSupp با این وجود در تلاش برای بازگشت است - هرچند با نتایج مثبت کمی.
سایتهای جدید نشت Tor یک هفته پس از عملیات راهاندازی شدند و LockBitSupp در فروم ramp_v2 گفت که باند فعالانه به دنبال IABهایی با دسترسی به دامنههای .gov، .edu و .org هستند که نشاندهنده تشنگی برای انتقام است. طولی نکشید که تعداد زیادی از قربانیان احتمالی در سایت فاش شده ظاهر شدند، از FBI شروع شد.
با این حال، زمانی که ضربالاجل پرداخت باج فرا رسید، بهجای نمایش دادههای حساس FBI در سایت، LockBitSupp اعلامیهای طولانی مبنی بر ادامه فعالیت خود منتشر کرد. علاوه بر این، بیش از دو سوم قربانیان حملات بارگذاری مجددی بودند که قبل از عملیات کرونوس رخ داده بودند. از بقیه، قربانیان متعلق به گروه های دیگری مانند ALPHV بودند. در مجموع، تله متری Trend Micro تنها یک خوشه کوچک فعالیت LockBit واقعی را پس از Cronos نشان داد، از یک شرکت وابسته در جنوب شرقی آسیا که تقاضای باج 2,800 دلاری پایینی داشت.
شاید نگران کننده تر، این گروه همچنین در حال توسعه نسخه جدیدی از باج افزار - Lockbit-NG-Dev است. Trend Micro دریافت که دارای یک هسته دات نت جدید است که به آن اجازه می دهد تا پلتفرم آگنوستیک تر باشد. همچنین قابلیت های خود انتشار و توانایی چاپ یادداشت های باج از طریق چاپگرهای کاربر را حذف می کند.
«پایه کد در رابطه با انتقال به این زبان جدید کاملاً جدید است، به این معنی که احتمالاً الگوهای امنیتی جدیدی برای شناسایی آن مورد نیاز خواهد بود. محققان هشدار دادند که هنوز یک باج افزار کاربردی و قدرتمند است.
با این حال، اینها در بهترین حالت نشانه کم خونی زندگی برای LockBit هستند، و Clay خاطرنشان می کند که مشخص نیست این یا شرکت های وابسته به آن کجا ممکن است حرکت کنند. به طور کلی، او هشدار می دهد، مدافعان باید برای تغییر در تاکتیک های باج افزارهای باج افزار در آینده آماده باشند، زیرا کسانی که در اکوسیستم شرکت می کنند وضعیت بازی را ارزیابی می کنند.
او توضیح میدهد: «گروههای RaaS احتمالاً به دنبال نقاط ضعف خود هستند که توسط مجریان قانون دستگیر شدهاند. آنها ممکن است بررسی کنند که چه نوع کسبوکارها/سازمانهایی را هدف قرار میدهند تا توجه زیادی به حملات خود نکنند. شرکتهای وابسته ممکن است ببینند که چگونه میتوانند به سرعت از یک گروه به گروه دیگر در صورتی که گروه اصلی RaaS آنها حذف شود، تغییر مکان دهند.
او میافزاید، «تغییر به سمت استخراج دادهها فقط در مقابل استقرار باجافزارها ممکن است افزایش یابد، زیرا این کار باعث ایجاد اختلال در کسبوکار نمیشود، اما همچنان میتواند باعث سود شود. ما همچنین میتوانیم ببینیم که گروههای RaaS کاملاً به سمت حرکت میکنند انواع دیگر حملات، مانند به خطر افتادن ایمیل تجاری (BEC)، که به نظر نمی رسد آنقدرها اختلال ایجاد کنند، اما همچنان برای درآمدهای نهایی خود بسیار سودآور هستند."
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability