Nonostante tutto il suo decantato successo, l'operazione ransomware LockBit sembra essere già stata afflitta da problemi quando un'iniziativa delle forze dell'ordine internazionali guidata dalla National Crime Agency (NCA) del Regno Unito spegnerlo questa settimana.
I resoconti dei fornitori di sicurezza emersi in seguito alla rimozione dipingono il quadro di un gruppo RaaS (ransomware-as-a-service), un tempo innovativo e aggressivo, che recentemente ha lottato contro il dissenso tra membri e affiliati e con la percezione che si trattasse di una spia da parte di alcuni all'interno del mondo criminale. Comunità.
Danno irreparabile?
Molti ritengono che l'operazione delle forze dell'ordine abbia probabilmente causato un danno irreparabile alla capacità del gruppo criminale di continuare con le attività di ransomware, almeno nella sua forma attuale e con il marchio LockBit. Anche se è probabile che le dozzine di affiliati indipendenti che hanno distribuito e implementato LockBit sui sistemi delle vittime continueranno le operazioni utilizzando altri fornitori RaaS, la loro capacità di continuare con LockBit stesso sembra impraticabile per il momento.
"Probabilmente è troppo presto per dirlo", afferma Jon Clay, vicepresidente dell'intelligence sulle minacce presso Trend Micro, che ha collaborato con la NCA per analizzare una nuova versione di sviluppo di LockBit e rilasciare indicatori di compromissione per essa. "Ma a causa dell'esposizione e di tutte le informazioni condivise, come gli strumenti di decrittazione [di LockBit], gli account di criptovaluta sequestrati e la rimozione delle infrastrutture, al gruppo e ai suoi affiliati è probabilmente impedito di operare in modo efficace."
La divisione informatica della NCA in collaborazione con l'FBI, il Dipartimento di Giustizia degli Stati Uniti e le forze dell'ordine di altri paesi all'inizio di questa settimana hanno rivelato che avevano subito gravi interruzioni L'infrastruttura e le operazioni di LockBit sotto l'egida di uno sforzo durato mesi denominato "Operazione Cronos".
Lo sforzo internazionale ha portato le forze dell'ordine a prendere il controllo dei server amministrativi primari di LockBit che hanno consentito agli affiliati di effettuare attacchi; il sito principale della perdita del gruppo; Il codice sorgente di LockBit; e preziose informazioni sugli affiliati e sulle loro vittime. Nell'arco di 12 ore, i membri della task force dell'Operazione Cronos hanno sequestrato 28 server in tre paesi utilizzati dagli affiliati LockBit nei loro attacchi. Hanno anche bloccato tre server che ospitavano uno strumento personalizzato di esfiltrazione dei dati LockBit chiamato StealBit; recuperato oltre 1,000 chiavi di decrittazione che potrebbero potenzialmente aiutare le vittime a recuperare i dati crittografati con LockBit; e ha congelato circa 200 account di criptovaluta collegati a LockBit.
L'interruzione iniziale sembra essere il risultato di un errore op-sec da parte di LockBit: una vulnerabilità PHP senza patch (CVE-2023-3824) che ha consentito alle forze dell'ordine di prendere piede nell'ambiente di LockBit.
Ricompensa da 15 milione di dollari
Lo stesso giorno anche il DoJ statunitense ha aperto un atto d'accusa che ha accusato due cittadini russi - Ivan Kondratyev, alias Bassterlord, uno dei più importanti dei numerosi affiliati di LockBit, e Artur Sungatov - per attacchi ransomware contro vittime negli Stati Uniti. Il dipartimento ha inoltre rivelato di avere attualmente in custodia altre due persone, Mikhail Vasiliev e Ruslan Astamirov, con accuse legate alla loro partecipazione a LockBit. Con il nuovo atto d'accusa, il governo degli Stati Uniti afferma di aver finora accusato cinque importanti membri di LockBit per il loro ruolo nelle operazioni del sindacato criminale.
Il 21 febbraio, il Dipartimento di Stato americano ha intensificato la pressione contro i membri di LockBit annunciando premi per un totale di 15 milioni di dollari per informazioni che portino all'arresto e alla condanna di membri chiave e leader del gruppo. Il Dipartimento del Tesoro si è unito alla mischia imporre sanzioni su Kondratyev e Sungatov, il che significa che qualsiasi pagamento futuro che le vittime statunitensi di LockBit effettueranno a LockBit sarà strettamente illegale.
Nell'eseguire la rimozione, le forze dell'ordine hanno lasciato messaggi in qualche modo beffardi per gli affiliati e altri soggetti collegati a LockBit sui siti sequestrati durante l'operazione. Alcuni esperti di sicurezza hanno visto il trolling come un tentativo deliberato dell’operazione Cronos di scuotere la fiducia di altri autori di ransomware.
Uno dei motivi è quello di “inviare un messaggio di avvertimento ad altri operatori che LEA può e prenderà di mira il vostro gruppo per azioni simili”, afferma Yelisey Bohuslavskiy, responsabile della ricerca presso la società di intelligence sulle minacce RedSense. “È probabile che molti gruppi stiano attualmente valutando la propria sicurezza operativa per determinare se sono già stati violati e potrebbero dover capire come proteggere meglio le proprie operazioni e infrastrutture”.
Insieme, queste azioni hanno rappresentato un meritato successo per le forze dell’ordine contro un gruppo che negli ultimi quattro anni ha causato danni per miliardi di dollari e ha estratto l’incredibile cifra di 120 milioni di dollari dalle organizzazioni delle vittime in tutto il mondo. L'operazione fa seguito a una serie di successi simili avvenuti lo scorso anno, tra cui la rimozione di ALPHV/Cat.nero, Alveare, Armadietto Ragnare Qakbot, un dropper ransomware ampiamente utilizzato.
Una sfida da ricostruire
Mentre altri gruppi si sono ripresi dopo eliminazioni simili, LockBit stesso potrebbe avere una sfida più grande nel riavviarsi. In un blog successivo alla notizia della rimozione, Trend Micro ha descritto il gruppo come uno che ha avuto successo recentemente ha lottato rimanere a galla a causa di numerosi problemi. Questi includono il furto e la successiva fuga di dati del builder di LockBit da parte di un membro scontento nel settembre 2022 che ha consentito ad altri autori di minacce di distribuire ransomware basato sul codice LockBit. Una serie di affermazioni palesemente false su nuove vittime e dati inventati trapelati sul sito di LockBit a partire dallo scorso aprile hanno anche sollevato dubbi sul conteggio delle vittime del gruppo, e i suoi sforzi sempre più frenetici per attaccare nuovi affiliati hanno avuto un'"aria di disperazione" in giro. esso, ha detto Trend Micro. Anche la reputazione di LockBit come attore RaaS fidato tra i criminali informatici ha subito un duro colpo in seguito alle voci sul suo rifiuto di pagare gli affiliati come promesso, ha affermato il fornitore di sicurezza.
Recentemente, il team amministrativo di LockBit è stato sottoposto a notevoli pressioni dal punto di vista dell'affidabilità e della reputazione a seguito di un attacco ransomware contro la società russa AN Security a gennaio che coinvolgeva il ransomware LockBit, afferma Aamil Karimi, leader dell'intelligence sulle minacce presso Optiv.
“Gli attacchi contro i paesi della CSI sono severamente vietati nella maggior parte delle operazioni RaaS”, afferma Karimi. “A causa dell’attacco ad AN Security rischiavano multe e l’espulsione dai forum clandestini”. Ciò che ha aggiunto ulteriore drammaticità all'incidente sono le voci secondo cui un gruppo rivale avrebbe effettuato l'attacco deliberatamente per creare problemi a LockBit, osserva.
Una spia dell'FSB?
Per questo motivo, i gruppi rivali avevano molte opportunità di impossessarsi dello spazio occupato da LockBit. "Non c'è stato alcun rimorso da parte dei gruppi rivali" dopo la notizia della rimozione di LockBit, dice. "LockBit è stato il più prolifico dei gruppi, ma per quanto riguarda rispetto e reputazione, non credo che si sia perso alcun amore."
Bohuslavskiy di RedSense afferma che i sospetti su un amministratore di LockBit che potrebbe essere sostituito da agenti del servizio di intelligence straniero russo (FSB) non hanno aiutato l'immagine del gruppo. Dice che le origini di questi sospetti risalgono al 2021, quando il governo russo sembrava aver intrapreso una serie di azioni contro operatori di ransomware come REvil e Avaddon. Fu più o meno in quel periodo che l'amministratore di LockBit improvvisamente tacque, dice Bohuslavskiy.
"Questo è stato notato principalmente dai [broker di accesso iniziale] che hanno lavorato direttamente con [l'amministratore]", osserva. "Ad agosto l'amministratore è ricomparso, ed è allora che gli IAB hanno iniziato a dire che la persona era stata cambiata e sostituita da un agente dell'FSB."
RedSense questa settimana pubblicato un blog riassumendo i risultati di un'indagine triennale su LockBit, basata sulle conversazioni con i membri dell'operazione.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/hubris-may-have-caused-lockbit-s-downfall
