على الرغم من كل نجاحها المتبجح، يبدو أن عملية LockBit Ransomware قد واجهت بالفعل مشاكل عندما بذلت جهود إنفاذ القانون الدولية بقيادة الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA) اطفئه هذا الاسبوع.
ترسم تقارير بائعي الأمن التي ظهرت بعد عملية الإزالة صورة لمجموعة برامج الفدية كخدمة (RaaS) المبتكرة والعدوانية التي كانت تعاني مؤخرًا من المعارضة بين الأعضاء والشركات التابعة، والتصور أنها كانت وشاية من قبل البعض داخل المجموعة الإجرامية. مجتمع.
ضرر لا يمكن إصلاحه؟
يرى الكثيرون أن عملية إنفاذ القانون قد تسببت على الأرجح في ضرر لا يمكن إصلاحه لقدرة الجماعة الإجرامية على الاستمرار في أنشطة برامج الفدية، على الأقل في شكلها الحالي وتحت العلامة التجارية LockBit. على الرغم من أنه من المحتمل أن تستمر العشرات من الشركات التابعة المستقلة التي وزعت ونشرت LockBit على أنظمة الضحايا في العمليات باستخدام موفري RaaS الآخرين، إلا أن قدرتهم على الاستمرار في استخدام LockBit نفسه تبدو غير قابلة للتطبيق في الوقت الحالي.
يقول جون كلاي، نائب رئيس قسم استخبارات التهديدات في شركة Trend Micro، التي تعاونت مع NCA لتحليل نسخة تطويرية جديدة من LockBit وإصدار مؤشرات التسوية الخاصة به: "من المحتمل أن يكون من السابق لأوانه القول". "ولكن نظرًا للتعرض وجميع المعلومات التي تمت مشاركتها، مثل أدوات فك التشفير [LockBit]، وحسابات العملات المشفرة التي تم الاستيلاء عليها، وإزالة البنية التحتية، فمن المحتمل أن يتم إعاقة المجموعة والشركات التابعة لها عن العمل بفعالية."
القسم السيبراني في NCA بالتعاون مع مكتب التحقيقات الفيدرالي ووزارة العدل الأمريكية ووكالات إنفاذ القانون من دول أخرى في وقت سابق من هذا الأسبوع كشفوا أنهم تعطلوا بشدة البنية التحتية والعمليات الخاصة بـ LockBit تحت رعاية جهد استمر لعدة أشهر أطلق عليه اسم "عملية كرونوس".
أدت الجهود الدولية إلى سيطرة سلطات إنفاذ القانون على الخوادم الإدارية الأساسية لشركة LockBit والتي سمحت للشركات التابعة بتنفيذ الهجمات؛ موقع التسرب الأساسي للمجموعة؛ كود مصدر LockBit؛ ومعلومات قيمة عن المنتسبين وضحاياهم. وعلى مدار 12 ساعة، استولى أعضاء فريق عمل Operation Cronos على 28 خادمًا في ثلاث دول استخدمتها الشركات التابعة لشركة LockBit في هجماتها. كما قاموا أيضًا بإسقاط ثلاثة خوادم استضافت أداة مخصصة لاستخراج بيانات LockBit تسمى StealBit؛ واستعاد أكثر من 1,000 مفتاح فك تشفير يمكن أن يساعد الضحايا على استعادة البيانات المشفرة بواسطة LockBit؛ وجمدت حوالي 200 حساب عملة مشفرة متصل بـ LockBit.
يبدو أن الكسر الأولي قد نتج عن فشل العمليات التشغيلية من جانب LockBit - وهي ثغرة أمنية غير مصححة في PHP (CVE-2023-3824) التي سمحت لإنفاذ القانون بموطئ قدم في بيئة LockBit.
15 مليون دولار مكافأة
وزارة العدل الأمريكية في نفس اليوم أيضًا فتح لائحة اتهام مختومة التي اتهمت اثنين من المواطنين الروس - إيفان كوندراتييف، المعروف أيضًا باسم Bassterlord، وهو أحد أبرز الشركات التابعة العديدة لشركة LockBit، وأرتور سونجاتوف - بهجمات برامج الفدية على الضحايا في جميع أنحاء الولايات المتحدة. وكشفت الوزارة أيضًا أنها تحتجز حاليًا شخصين آخرين، هما ميخائيل فاسيليف ورسلان أستاميروف، بتهم تتعلق بمشاركتهما في LockBit. ومن خلال لائحة الاتهام الجديدة، تقول الحكومة الأمريكية إنها اتهمت حتى الآن خمسة أعضاء بارزين في LockBit لدورهم في عملية النقابة الإجرامية.
وفي 21 فبراير، كثفت وزارة الخارجية الأمريكية ضغوطها على أعضاء LockBit الإعلان عن مكافآت يبلغ مجموعها 15 مليون دولار للحصول على معلومات تؤدي إلى اعتقال وإدانة الأعضاء الرئيسيين وقادة المجموعة. وانضمت وزارة الخزانة إلى المعركة فرض عقوبات على كوندراتييف وسونغاتوف، مما يعني أن أي مدفوعات مستقبلية يدفعها ضحايا LockBit في الولايات المتحدة إلى LockBit ستكون غير قانونية تمامًا.
أثناء تنفيذ عملية الإزالة، تركت سلطات إنفاذ القانون رسائل ساخرة إلى حد ما للشركات التابعة وغيرها من الشركات المرتبطة بـ LockBit على المواقع التي استولت عليها أثناء العملية. رأى بعض خبراء الأمن أن التصيد هو محاولة متعمدة من قبل عملية كرونوس لزعزعة ثقة الجهات الفاعلة الأخرى في برامج الفدية.
يقول يليسي بوهوسلافسكي، كبير مسؤولي الأبحاث في شركة RedSense لاستخبارات التهديدات، إن أحد الأسباب هو "إرسال رسالة تحذير إلى المشغلين الآخرين مفادها أن LEA يمكنها استهداف مجموعتك للقيام بأعمال مماثلة وستفعل ذلك". "من المحتمل أن تقوم العديد من المجموعات حاليًا بتقييم أمنها التشغيلي لتحديد ما إذا كان قد تم اختراقها بالفعل وربما يتعين عليها معرفة كيفية تأمين عملياتها وبنيتها التحتية بشكل أفضل."
تمثل هذه الإجراءات معًا نجاحًا مستحقًا لإنفاذ القانون ضد مجموعة تسببت على مدى السنوات الأربع الماضية في تعويضات بمليارات الدولارات وانتزعت مبلغًا مذهلاً قدره 120 مليون دولار من المنظمات الضحايا في جميع أنحاء العالم. وتأتي العملية في أعقاب سلسلة من النجاحات المماثلة خلال العام الماضي، بما في ذلك عمليات إزالة ALPHV / BlackCat, خلية النحل, راجنار لوكرو ققبوت، قطارة برامج الفدية المستخدمة على نطاق واسع.
تحدي إعادة البناء
وفي حين انتعشت مجموعات أخرى بعد عمليات إزالة مماثلة، فقد تواجه LockBit نفسها تحديًا أكبر في إعادة التشغيل. في إحدى المدونات التي تتابع أخبار الإزالة، وصفت Trend Micro المجموعة بأنها تلك التي قامت بذلك كافحت مؤخرا البقاء واقفا على قدميه بسبب العديد من المشاكل. وتشمل هذه السرقة والتسريب اللاحق لمنشئ LockBit من قبل عضو ساخط في سبتمبر 2022، مما سمح للجهات الفاعلة الأخرى في مجال التهديد بنشر برامج فدية بناءً على كود LockBit. كما أثارت سلسلة من الادعاءات الكاذبة بشكل واضح حول ضحايا جدد والبيانات المسربة المختلقة على موقع تسريب LockBit بدءًا من أبريل الماضي تساؤلات حول عدد ضحايا المجموعة، كما أن جهودها المحمومة بشكل متزايد لمهاجمة الشركات التابعة الجديدة كان لها "جو من اليأس" حولها. هذا ما قالته تريند مايكرو. وقال بائع الأمن إن سمعة LockBit باعتبارها مشغل RaaS الموثوق به بين مجرمي الإنترنت قد تضررت أيضًا بعد شائعات عن رفضها الدفع للشركات التابعة كما وعدت.
في الآونة الأخيرة، تعرض الفريق الإداري لشركة LockBit لضغوط كبيرة من وجهة نظر الموثوقية والسمعة بعد هجوم برنامج الفدية على شركة AN Security الروسية في يناير والذي شمل برنامج طلب الفدية LockBit، كما يقول عامل كريمي، رئيس استخبارات التهديدات في Optiv.
يقول كريمي: "الهجمات ضد بلدان رابطة الدول المستقلة محظورة تمامًا في معظم عمليات RaaS". "لقد كانوا يواجهون الغرامات والإبعاد من المنتديات السرية نتيجة للهجوم على AN Security." ويشير إلى أن ما أضاف إلى الدراما المحيطة بالحادث هو شائعات حول قيام مجموعة منافسة بتنفيذ الهجوم عمدًا لخلق مشاكل لشركة LockBit.
واش FSB؟
ولهذا السبب، كان هناك الكثير من الفرص للمجموعات المتنافسة للسيطرة على المساحة التي تشغلها LockBit. ويقول: "لم تظهر المجموعات المتنافسة أي ندم" بعد أنباء إزالة LockBit. "كانت LockBit هي الأكثر إنتاجًا بين المجموعات، ولكن فيما يتعلق بالاحترام والسمعة، لا أعتقد أنه كان هناك أي حب مفقود."
يقول Bohuslavskiy من RedSense إن الشكوك حول احتمال استبدال مسؤول LockBit بعملاء لجهاز المخابرات الخارجية الروسي (FSB) لم تساعد صورة المجموعة أيضًا. ويقول إن أصول هذه الشكوك تعود إلى عام 2021، عندما بدا أن الحكومة الروسية تتخذ سلسلة من الإجراءات ضد مشغلي برامج الفدية مثل REvil و Avaddon. يقول بوهوسلافسكي إنه في ذلك الوقت تقريبًا صمت مشرف LockBit فجأة.
ويشير إلى أن "هذا تم رصده في الغالب من قبل [وسطاء الوصول الأولي] الذين عملوا مباشرة مع [المسؤول]". "بحلول شهر أغسطس، ظهر المسؤول مرة أخرى، وذلك عندما بدأ IABs في القول إنه تم تغيير الشخص واستبداله بعميل من جهاز FSB".
ريد سينس هذا الأسبوع نشر مدونة تلخيص النتائج التي توصل إليها التحقيق الذي أجري على LockBit لمدة ثلاث سنوات، بناءً على المحادثات مع أعضاء العملية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/hubris-may-have-caused-lockbit-s-downfall
