Несмотря на то, что банда LockBit, предлагающая программы-вымогатели как услугу (RaaS), утверждает, что вернулась после громкого нападения в середине февраля, анализ показывает значительные, продолжающиеся нарушения в деятельности группы, а также волновые эффекты по всему киберпреступному подполью. с последствиями для делового риска.
По данным Trend Micro, на долю LockBit пришлось от 25% до 33% всех атак программ-вымогателей в 2023 году, что легко сделало ее крупнейшей группой финансовых угроз прошлого года. С момента своего появления в 2020 году оно унесло тысячи жертв и миллионы выкупов, включая циничные нападения на больницы во время пандемии.
Ассоциация Усилия операции Кронос, с участием нескольких правоохранительных органов по всему миру, привел к сбоям в работе платформ, связанных с LockBit, и захвату сайта утечки Национальным агентством по борьбе с преступностью Великобритании (NCA). Затем власти использовали последнее для проведения арестов, введения санкций, конфискации криптовалюты и других действий, связанных с внутренней работой группы. Они также опубликовали административную панель LockBit и раскрыли имена партнеров, работающих с группой.
Кроме того, они отметили, что ключи дешифрования будут доступны, и сообщили, что LockBit, вопреки своим обещаниям жертвам, никогда не удалял данные жертв после осуществления платежей.
В целом это была хитрая демонстрация силы и доступа со стороны полицейского сообщества, которая сразу после этого напугала других участников экосистемы и привела к настороженности, когда дело дошло до работы с любой вновь появившейся версией LockBit и ее главарем, который известен как обрабатывать «LockBitSupp».
Исследователи из Trend Micro отметили, что спустя два с половиной месяца после операции Cronos существует очень мало свидетельств того, что дела группы улучшаются, несмотря на заявления LockBitSupp о том, что группа пытается вернуться к нормальной работе.
Другой вид борьбы с киберпреступностью
Операция «Кронос» поначалу была встречена исследователями со скептицизмом, которые отметили, что другие недавние громкие уничтожения групп RaaS, таких как Black Basta, Conti, Hiveи Royal (не говоря уже об инфраструктуре для первичного доступа троянов вроде Emotet, Какботи TrickBot), привели лишь к временным неудачам для их операторов.
Однако забастовка LockBit отличается: огромный объем информации, к которой правоохранительные органы смогли получить доступ и обнародовать, навсегда подорвал положение группы в кругах даркнета.
«Хотя они часто сосредотачиваются на разрушении инфраструктуры управления и контроля, эти усилия пошли еще дальше», — объяснили исследователи Trend Micro в анализ опубликован сегодня. «Он видел, как полиции удалось скомпрометировать административную панель LockBit, разоблачить филиалы и получить доступ к информации и разговорам между филиалами и жертвами. Эти совокупные усилия помогли запятнать репутацию LockBit среди филиалов и сообщества киберпреступников в целом, из-за чего от нее будет труднее вернуться».
Действительно, последствия со стороны сообщества киберпреступников были быстрыми, отмечает Trend Micro. Для одного, LockBitSupp забанен с двух популярных подпольных форумов, XSS и Exploit, что затрудняет возможность администратора получить поддержку и восстановить систему.
Вскоре после этого пользователь X (ранее Twitter) под ником «Loxbit» тем временем заявил в публичном сообщении, что его обманула LockBitSupp, в то время как другой предполагаемый партнер по имени «michon» открыл арбитражную тему на форуме против LockBitSupp за неуплату. Один брокер первичного доступа, использовавший ник «dealfixer», рекламировал свои товары, но особо отметил, что не хочет работать ни с кем из LockBit. А другой IAB, «n30n», подал на форуме Ramp_v2 претензию о потере платежа в связи с сбоем.
Хуже того, некоторые комментаторы форума были крайне обеспокоены огромным количеством информации, которую смогла собрать полиция, а некоторые предположили, что LockBitSupp, возможно, даже работал с правоохранительными органами над этой операцией. LockBitSupp быстро объявил, что уязвимость в PHP стала причиной того, что правоохранительные органы смогли проникнуть в информацию банды; Жители даркнета просто отметили, что этой ошибке уже несколько месяцев, и раскритиковали методы безопасности LockBit и отсутствие защиты для филиалов.
«Отношение сообщества киберпреступников к нарушению работы LockBit варьировалось от удовлетворения до спекуляций о будущем группы, намекая на значительное влияние инцидента на индустрию RaaS», — согласно анализу Trend Micro, опубликованному сегодня.
Сдерживающий эффект нарушения LockBit на индустрию RaaS
Действительно, этот сбой вызвал некоторую саморефлексию среди других активных групп RaaS: оператор Snatch RaaS отметил на своем канале Telegram, что все они находятся в опасности.
«Похоже, что нарушение и подрыв бизнес-модели имело гораздо более кумулятивный эффект, чем техническое отстранение», — считают Trend Micro. «Репутация и доверие являются ключом к привлечению партнеров., а когда они потеряны, труднее заставить людей вернуться. Операции «Кронос» удалось нанести удар по самому важному элементу ее бизнеса: ее бренду».
Джон Клэй, вице-президент Trend Micro по анализу угроз, рассказал Dark Reading, что ликвидация LockBit и сдерживающее воздействие сбоев на группы RaaS в целом открывают возможности для управления бизнес-рисками.
«Это может быть время для бизнеса пересмотреть свои модели защиты, поскольку мы можем увидеть замедление атак, в то время как другие группы оценивают свою собственную операционную безопасность», — отмечает он. «Сейчас также самое время пересмотреть план реагирования на бизнес-инциденты, чтобы убедиться, что у вас охвачены все аспекты нарушения, включая непрерывность бизнес-операций, киберстрахование и реагирование — платить или не платить».
Признаки жизни LockBit сильно преувеличены
Trend Micro обнаружила, что LockBitSupp, тем не менее, пытается восстановиться, хотя и с небольшими положительными результатами.
Новые сайты утечки Tor были запущены через неделю после операции, и LockBitSupp заявил на форуме Ramp_v2, что банда активно ищет IAB с доступом к доменам .gov, .edu и .org, что указывает на жажду мести. Вскоре на месте утечки стали появляться десятки предполагаемых жертв, начиная с ФБР.
Однако, когда срок выплаты выкупа подошел и прошел, вместо появления на сайте конфиденциальных данных ФБР LockBitSupp опубликовал пространное заявление о том, что он продолжит работать. Кроме того, более двух третей жертв составили повторные атаки, произошедшие до операции «Кронос». Остальные жертвы принадлежали к другим группировкам, таким как ALPHV. В целом, телеметрия Trend Micro выявила лишь один небольшой настоящий кластер активности LockBit после Cronos от филиала в Юго-Восточной Азии, который предъявил небольшой требование выкупа — 2,800 долларов.
Еще большее беспокойство вызывает то, что группа также разрабатывает новую версию программы-вымогателя — Lockbit-NG-Dev. Trend Micro обнаружила, что у него новое ядро .NET, что позволяет ему быть более независимым от платформы; он также удаляет возможности самораспространения и возможность распечатывать заметки о выкупе через принтеры пользователя.
«Кодовая база совершенно новая по сравнению с переходом на этот новый язык, а это означает, что для его обнаружения, вероятно, потребуются новые шаблоны безопасности. Это по-прежнему функциональная и мощная программа-вымогатель», — предупреждают исследователи.
Тем не менее, для LockBit это в лучшем случае анемичный признак жизни, и Клей отмечает, что неясно, куда она или ее филиалы могут пойти дальше. В целом, предупреждает он, защитникам придется быть готовыми к изменениям в тактике банд, занимающихся вымогательством, по мере того, как участники экосистемы будут оценивать состояние игры.
«Группы RaaS, вероятно, смотрят на то, что правоохранительные органы выявляют их собственные слабости», — объясняет он. «Они могут пересмотреть, на какие типы предприятий/организаций они нацелены, чтобы не уделять много внимания их атакам. Филиалы могут подумать о том, как они могут быстро перейти из одной группы в другую в случае, если их основная группа RaaS будет закрыта».
Он добавляет: «Сдвиг в сторону только кражи данных вместо использования программ-вымогателей может увеличиться, поскольку это не мешает бизнесу, но все же может обеспечить прибыль. Мы также можем увидеть, как группы RaaS полностью переходят в сторону другие типы атак, такие как компрометация корпоративной электронной почты (BEC), которые, кажется, не вызывают таких больших потрясений, но по-прежнему очень прибыльны с точки зрения прибыли».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability
