LockBit ransomware-as-a-service (RaaS) -toiminto on käynnistänyt uudelleen vuotosivustonsa vain viikon kuluttua koordinoitu poistooperaatio globaalilta lainvalvonnalta.

19. helmikuuta "Operation Cronos Taskforce" - johon kuuluvat muun muassa FBI, Europol ja Yhdistyneen kuningaskunnan kansallinen rikosvirasto (NCA) - suoritti massiivisen toiminnan. Ison-Britannian kansallisen rikosviraston (NCA) mukaan, työryhmä otti kolmeen maahan jakautuneen infrastruktuurin, mukaan lukien kymmeniä palvelimia. Se takavarikoi koodia ja muuta arvokasta tiedustelutietoa, uhreilta varastettuja tietoja ja yli 1,000 liittyvää salauksenpurkuavainta. Se vandalisoi ryhmän vuotosivustoa ja sen tytäryhtiöportaalia, jäädytti yli 200 kryptovaluuttatiliä, pidätti Puolan ja Ukrainan kansalaisen ja nosti syytteen kahdelle Venäjän kansalaiselle.

NCA:n tiedottaja tiivisti sen 26. helmikuuta, kertoi Reutersille, että ryhmä "on edelleen täysin vaarantunut".

Henkilö lisäsi kuitenkin, että "työmme niiden kohdistamiseksi ja häiritsemiseksi jatkuu".

Operaatio Cronos ei todellakaan ehkä ollut niin kattava kuin se aluksi näytti. Vaikka lainvalvontaviranomaiset pystyivät vahingoittamaan LockBitin ensisijaista infrastruktuuria, sen johtaja myönsi kirjeessään, sen varmuuskopiointijärjestelmät säilyivät koskemattomina, mikä mahdollisti toiminnan palautumisen nopeasti.

"Loppujen lopuksi se on merkittävä isku lainvalvontaviranomaisilta heitä vastaan", sanoo entinen FBI:n erikoisagentti Michael McPherson, joka on nyt ReliaQuestin teknisten toimintojen johtaja. "En usko, että kukaan on tarpeeksi naiivi sanoakseen, että se on naula arkkuun tälle ryhmälle, mutta tämä on ruumiinisku."

LockBitin tarinan puoli

LockBitin johtajaa olisi hyvä tervehtiä skeptisesti. "Kuten monet näistä kavereista kiristyshaittaohjelmassa, hänellä on melkoinen ego, hän on hieman epävakaa. Ja hänen on tiedetty kertovan melko pitkiä tarinoita, kun se sopii hänen tavoitteeseensa”, sanoo Kurtis Minder, lunnasohjelmien neuvottelija ja GroupSensen perustaja ja toimitusjohtaja.

Kirjeessään henkilö tai henkilöt, joihin Minder viittaa "Alexiksi", osuu huomattavan vaatimattomaan sävyyn.

"Henkilökohtaisen välinpitämättömyyteni ja vastuuttomuuteni vuoksi rentouduin enkä päivittänyt PHP:tä ajoissa", kiristyshaittaohjelmien johtaja kirjoitti viitaten kriittiseen, 9.8/10 CVSS-arvioituun PHP-virheeseen. CVE-2023-3824 "jonka seurauksena saatiin pääsy kahdelle pääpalvelimelle, joihin tämä PHP-versio asennettiin. Ymmärrän, että se ei ehkä ollut tämä CVE, vaan jotain muuta, kuten 0 päivää PHP:lle, mutta en voi olla 100% varma."

Ratkaisevaa, hän lisäsi: "Kaikki muut palvelimet, joissa on varmuuskopioblogeja, joissa ei ollut PHP:tä asennettuna, eivät vaikuta ja jatkavat tietojen antamista hyökkäyksen kohteena olevilta yrityksiltä." Itse asiassa tämän irtisanomisen ansiosta LockBitin vuotosivusto oli taas toiminnassa viikon kuluttua, ja siinä oli tusina uhria: lainausalusta, kansallinen hammaslääketieteellisten laboratorioiden verkosto ja ennen kaikkea Fulton County, Georgia, jossa entinen presidentti Trump on. parhaillaan laillisessa taistelussa.

Onko lainvalvontatoimilla vaikutusta?

USA:n ja EU:n lainvalvontaviranomaiset ovat jo vuosia nousseet uutisotsikoihin suuria kiristyshaittaohjelmia koskevilla ryöstöillä: Hive, AlphV/BlackCat, Ragnar Locker, ja niin edelleen. Näin näistä yrityksistä huolimatta ransomware jatkaa kasvuaan saattaa herättää joissakin apatiaa.

Mutta tällaisten hyökkäysten jälkeen McPherson selittää: "Joko nämä ryhmät eivät ole muodostuneet uudelleen tai ne toipuivat pienemmällä tavalla. Esimerkiksi Hive ei ole vielä päässyt palaamaan – kiinnostusta sitä kohtaan oli, mutta se ei todellakaan toteutunut.

Vaikka lainvalvonta ei pyyhkinyt LockBitiä kokonaan pois, se todennäköisesti aiheutti hakkereille suurta vahinkoa. Esimerkiksi Minder huomauttaa, että "he ilmeisesti saivat pääsyn joihinkin tytäryhtiöiden tietoihin", mikä antaa viranomaisille merkittävää vaikutusvaltaa.

"Jos olen tytäryhtiö tai toinen kiristysohjelmien kehittäjä, saatan harkita kahdesti vuorovaikutusta näiden ihmisten kanssa siltä varalta, että he ovat hänestä tuli FBI:n tiedottaja. Joten se luo epäluottamusta. Ja sitten toisaalta, luulen, että he tekevät saman LockBitille sanomalla: "Hei, me todella tiedämme, keitä kaikki tytäryhtiöt ovat, saimme kaikki heidän yhteystietonsa." Joten nyt LockBit tulee epäilemään omia tytäryhtiöitään. Se on pieni kaaos. Se on kiinnostavaa."

Jotta lunnasohjelmat voitaisiin todella ratkaista pitkällä aikavälillä, hallitusten on ehkä täydennettävä näyttäviä poistoja tehokkailla politiikoilla ja ohjelmilla.

"On oltava tasapainoinen ohjelma, ehkä liittovaltion hallituksen tasolla, joka todella auttaa ennaltaehkäisyssä, vastauksena ja korjaamisessa. Luulen, että jos näkisimme, kuinka paljon pääomaa todella poistuu Yhdysvaltojen taloudesta tällaisten toimintojen seurauksena, näkisimme, että olisi järkevää tukea sellaista ohjelmaa, joka estäisi ihmisiä maksamasta lunnaita. hän sanoo.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-