Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Hybris hat möglicherweise zum Untergang der Ransomware Kingpin LockBit beigetragen

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 168

Bei allem gepriesenen Erfolg scheint die LockBit-Ransomware-Operation bereits von Problemen geplagt worden zu sein, als eine internationale Strafverfolgungsmaßnahme unter der Leitung der britischen National Crime Agency (NCA) begann. schalten Sie ihn aus diese Woche.

Berichte von Sicherheitsanbietern, die nach der Abschaltung aufgetaucht sind, zeichnen das Bild einer einst innovativen und aggressiven Ransomware-as-a-Service (RaaS)-Gruppe, die kürzlich mit Meinungsverschiedenheiten unter Mitgliedern und Partnern zu kämpfen hatte und bei einigen innerhalb des Kriminellen den Eindruck erweckte, es handele sich um einen Spitzel Gemeinschaft.

Irreparablen Schäden?

Viele halten es für wahrscheinlich, dass die Strafverfolgungsmaßnahmen die Fähigkeit der kriminellen Gruppe, ihre Ransomware-Aktivitäten fortzusetzen, zumindest in ihrer aktuellen Form und unter der Marke LockBit, irreparabel geschädigt haben. Obwohl es wahrscheinlich ist, dass die Dutzenden unabhängigen Partner, die LockBit auf den Systemen der Opfer verteilt und bereitgestellt haben, ihre Arbeit über andere RaaS-Anbieter fortsetzen werden, scheint ihre Fähigkeit, LockBit selbst weiterzuführen, im Moment unrentabel zu sein.

„Es ist wahrscheinlich noch zu früh, das zu sagen“, sagt Jon Clay, Vizepräsident für Bedrohungsintelligenz bei Trend Micro, der mit der NCA zusammengearbeitet hat, um eine neue Entwicklungsversion von LockBit zu analysieren und Kompromittierungsindikatoren dafür zu veröffentlichen. „Aber aufgrund der Offenlegung und all der weitergegebenen Informationen, wie z. B. den Entschlüsselungstools von [LockBit], beschlagnahmten Kryptowährungskonten und der Zerstörung der Infrastruktur, werden die Gruppe und ihre verbundenen Unternehmen wahrscheinlich daran gehindert, effektiv zu arbeiten.“

Die Cyber-Abteilung der NCA in Zusammenarbeit mit dem FBI, dem US-Justizministerium und Strafverfolgungsbehörden aus anderen Ländern Anfang dieser Woche offengelegt, dass sie schwere Störungen verursacht hatten Die Infrastruktur und der Betrieb von LockBit stehen unter der Schirmherrschaft einer monatelangen Anstrengung namens „Operation Cronos“.

Die internationalen Bemühungen führten dazu, dass die Strafverfolgungsbehörden die Kontrolle über die primären Verwaltungsserver von LockBit übernahmen, was es den Partnern ermöglichte, Angriffe durchzuführen; die primäre Leckstelle der Gruppe; Quellcode von LockBit; und wertvolle Informationen über Partner und ihre Opfer. Innerhalb von 12 Stunden beschlagnahmten Mitglieder der Taskforce „Operation Cronos“ 28 Server in drei Ländern, die LockBit-Tochtergesellschaften für ihre Angriffe nutzten. Sie haben außerdem drei Server lahmgelegt, auf denen ein benutzerdefiniertes LockBit-Datenexfiltrationstool namens StealBit gehostet wurde. über 1,000 Entschlüsselungsschlüssel wiederhergestellt, die den Opfern möglicherweise dabei helfen könnten, mit LockBit verschlüsselte Daten wiederherzustellen; und hat etwa 200 mit LockBit verbundene Kryptowährungskonten eingefroren.

Die anfängliche Unterbrechung scheint auf einen Op-Sec-Fehler seitens LockBit zurückzuführen zu sein – eine ungepatchte PHP-Schwachstelle (CVE-2023-3824), die es den Strafverfolgungsbehörden ermöglichte, in der Umgebung von LockBit Fuß zu fassen.

15 Million Dollar Belohnung

Das US-Justizministerium am selben Tag auch entsiegelte eine Anklage Darin wurden zwei russische Staatsbürger – Ivan Kondratyev, alias Bassterlord, einer der prominentesten der vielen LockBit-Partner, und Artur Sungatov – wegen Ransomware-Angriffen auf Opfer in den gesamten USA angeklagt. Die Abteilung gab außerdem bekannt, dass sie derzeit zwei weitere Personen, Michail Wassiljew und Ruslan Astamirow, wegen Vorwürfen im Zusammenhang mit ihrer Beteiligung an LockBit in Gewahrsam hat. Mit der neuen Anklageschrift gibt die US-Regierung an, dass sie bisher fünf prominente LockBit-Mitglieder wegen ihrer Rolle bei der Operation des Verbrechersyndikats angeklagt hat.

Am 21. Februar verstärkte das US-Außenministerium den Druck gegen LockBit-Mitglieder Ankündigung von Belohnungen in Höhe von insgesamt 15 Millionen US-Dollar für Informationen, die zur Verhaftung und Verurteilung wichtiger Mitglieder und Anführer der Gruppe führen. Das Finanzministerium schloss sich dem Kampf an Sanktionen verhängen auf Kondratyev und Sungatov, was bedeutet, dass alle zukünftigen Zahlungen, die US-Opfer von LockBit an LockBit leisten, streng illegal wären.

Bei der Löschung hinterließen die Strafverfolgungsbehörden auf Websites, die sie während der Aktion beschlagnahmt hatten, leicht spöttische Nachrichten für Partner und andere mit LockBit in Verbindung stehende Personen. Einige Sicherheitsexperten betrachteten das Trolling als einen bewussten Versuch der Operation Cronos, das Vertrauen anderer Ransomware-Akteure zu erschüttern.

Einer der Gründe besteht darin, „anderen Betreibern eine Warnmeldung zu senden, dass LEA Ihre Gruppe für ähnliche Aktionen ins Visier nehmen kann und wird“, sagt Yelisey Bohuslavskiy, Chief Research Officer beim Threat-Intelligence-Unternehmen RedSense. „Es ist wahrscheinlich, dass viele Gruppen derzeit ihre Betriebssicherheit bewerten, um festzustellen, ob sie bereits verletzt wurden, und müssen möglicherweise herausfinden, wie sie ihren Betrieb und ihre Infrastruktur besser sichern können.“

Zusammengenommen stellten die Maßnahmen einen wohlverdienten Erfolg für die Strafverfolgung gegen eine Gruppe dar, die in den letzten vier Jahren Schäden in Milliardenhöhe verursacht und unglaubliche 120 Millionen US-Dollar von Opferorganisationen auf der ganzen Welt erbeutet hat. Die Operation folgt auf eine Reihe ähnlicher Erfolge im vergangenen Jahr, darunter auch Abschüsse von ALPHV / BlackCat, Bienenstock, Ragnar-Schließfach und Qakbot, ein weit verbreiteter Ransomware-Dropper.

Eine Herausforderung für den Wiederaufbau

Während sich andere Gruppen nach ähnlichen Abschaltungen wieder erholt haben, könnte LockBit selbst eine größere Herausforderung beim Neustart haben. In einem Blog nach der Nachricht von der Abschaltung beschrieb Trend Micro die Gruppe als eine, die dies getan hat hatte vor Kurzem Probleme wegen zahlreicher Probleme über Wasser bleiben. Dazu gehört der Diebstahl und das anschließende Leak des Builders für LockBit durch ein verärgertes Mitglied im September 2022, der es anderen Bedrohungsakteuren ermöglichte, Ransomware auf Basis des LockBit-Codes einzusetzen. Eine Reihe offensichtlich falscher Behauptungen über neue Opfer und erfundene durchgesickerte Daten auf der Leak-Seite von LockBit, die im vergangenen April begannen, haben auch Fragen über die Opferzahl der Gruppe aufgeworfen, und ihre zunehmend hektischen Versuche, neue Partner anzugreifen, haben einen „Aura der Verzweiflung“ vermittelt es, sagte Trend Micro. Der Ruf von LockBit als vertrauenswürdiger RaaS-Anbieter unter Cyberkriminellen habe ebenfalls gelitten, nachdem Gerüchte über die Weigerung des Unternehmens, Partner wie versprochen zu bezahlen, gelitten hätten, so der Sicherheitsanbieter.

Nach einem Ransomware-Angriff auf das russische Unternehmen AN Security im Januar mit LockBit-Ransomware ist das Verwaltungsteam von LockBit in letzter Zeit in Bezug auf Zuverlässigkeit und Reputation erheblich unter Druck geraten, sagt Aamil Karimi, Threat Intelligence Leader bei Optiv.

„Angriffe gegen GUS-Staaten sind in den meisten RaaS-Betrieben strengstens verboten“, sagt Karimi. „Aufgrund des Angriffs auf AN Security drohten ihnen Geldstrafen und die Verbannung aus Untergrundforen.“ Was das Drama rund um den Vorfall noch verstärkt habe, seien Gerüchte über eine rivalisierende Gruppe, die den Angriff absichtlich ausführte, um LockBit Probleme zu bereiten, stellt er fest.

Ein FSB-Schnatz?

Aus diesem Grund gab es für rivalisierende Gruppen zahlreiche Möglichkeiten, den von LockBit eingenommenen Platz zu übernehmen. „Konkurrierende Gruppen zeigten keinerlei Reue“, sagt er, nachdem bekannt wurde, dass LockBit abgeschaltet wurde. „LockBit war die produktivste der Gruppen, aber was Respekt und Ansehen angeht, glaube ich nicht, dass die Liebe verloren gegangen ist.“

Bohuslavskiy von RedSense sagt, der Verdacht, dass ein LockBit-Administrator wahrscheinlich durch Agenten des russischen Auslandsgeheimdienstes (FSB) ersetzt werde, habe dem Image der Gruppe ebenfalls nicht geholfen. Er sagt, die Ursprünge dieser Verdächtigungen gehen auf das Jahr 2021 zurück, als die russische Regierung offenbar eine Reihe von Maßnahmen gegen Ransomware-Betreiber wie REvil und Avaddon ergriff. Ungefähr zu dieser Zeit sei es im LockBit-Administrator plötzlich still geworden, sagt Bohuslavskiy.

„Dies wurde hauptsächlich von den [Initial Access Brokern] bemerkt, die direkt mit [dem Administrator] zusammenarbeiteten“, stellt er fest. „Im August tauchte der Administrator wieder auf, und zu diesem Zeitpunkt begannen die IABs zu sagen, dass die Person ausgewechselt und durch einen FSB-Agenten ersetzt worden sei.“

RedSense diese Woche hat einen Blog veröffentlicht Zusammenfassung der Ergebnisse einer dreijährigen Untersuchung von LockBit, basierend auf Gesprächen mit Mitgliedern der Operation.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.