LockBit 랜섬웨어 작전은 엄청난 성공에도 불구하고 영국 NCA(National Crime Agency)가 주도하는 국제 법 집행 노력으로 인해 이미 문제에 봉착한 것으로 보입니다. 닥쳐 이번 주.
게시 중단 이후 공개된 보안 공급업체 보고서에는 한때 혁신적이고 공격적이었던 RaaS(Ransomware-as-a-Service) 그룹이 최근 회원 및 계열사 간의 반대 의견과 범죄자 내부의 밀고자라는 인식으로 어려움을 겪고 있는 모습이 담겨 있습니다. 지역 사회.
회복 불가능한 손상?
많은 사람들은 법 집행 활동이 적어도 현재 형태와 LockBit 브랜드 하에서 랜섬웨어 활동을 계속할 수 있는 범죄 조직의 능력에 돌이킬 수 없는 피해를 입혔을 가능성이 있다고 인식하고 있습니다. 피해자 시스템에 LockBit을 배포하고 배포한 수십 개의 독립 계열사가 다른 RaaS 공급자를 사용하여 운영을 계속할 가능성이 높지만 LockBit 자체를 계속 사용할 수 있는 능력은 현재로서는 불가능해 보입니다.
NCA와 협력하여 LockBit의 새로운 개발 버전을 분석하고 이에 대한 손상 지표를 공개한 Trend Micro의 위협 인텔리전스 담당 부사장인 Jon Clay는 "아직 말하기에는 너무 이르다"고 말했습니다. "그러나 노출과 [LockBit의] 암호 해독 도구, 압수된 암호화폐 계정, 인프라 폐쇄와 같은 모든 정보 공유로 인해 그룹과 그 계열사는 아마도 효과적인 운영에 방해를 받을 것입니다."
NCA의 사이버 부서는 이번 주 초 FBI, 미국 법무부 및 기타 국가의 법 집행 기관과 협력하고 있습니다. 심각한 방해를 했다고 공개했습니다. LockBit의 인프라 및 운영은 "Operation Cronos"라고 불리는 수개월 간의 노력의 지원을 받습니다.
국제적인 노력으로 인해 법 집행 기관은 계열사가 공격을 수행할 수 있도록 허용하는 LockBit의 기본 관리 서버를 통제하게 되었습니다. 그룹의 주요 유출 사이트; LockBit의 소스 코드; 계열사와 그 피해자에 대한 귀중한 정보. 12시간 동안 Operation Cronos 태스크 포스의 구성원은 LockBit 계열사가 공격에 사용한 28개국의 1,000개 서버를 압수했습니다. 그들은 또한 StealBit이라는 맞춤형 LockBit 데이터 유출 도구를 호스팅하는 서버 200대를 폐쇄했습니다. 피해자가 LockBit으로 암호화된 데이터를 복구하는 데 잠재적으로 도움이 될 수 있는 XNUMX개 이상의 암호 해독 키를 복구했습니다. LockBit에 연결된 암호화폐 계정 약 XNUMX개를 동결했습니다.
초기 중단은 패치되지 않은 PHP 취약점인 LockBit 측의 op-sec 오류로 인해 발생한 것으로 보입니다(CVE-2023-3824) 법 집행 기관이 LockBit 환경에 대한 발판을 마련할 수 있게 되었습니다.
15만 달러 보상
같은 날 미국 DoJ도 봉인되지 않은 기소 이 사건에서는 LockBit의 많은 계열사 중 가장 유명한 Bassterlord라고도 알려진 Ivan Kondratyev와 Artur Sungatov라는 두 명의 러시아인이 미국 전역의 피해자에 대한 랜섬웨어 공격 혐의로 기소되었습니다. 또한 부서는 현재 다른 두 사람인 Mikhail Vasiliev와 Ruslan Astamirov를 LockBit 참여와 관련된 혐의로 구금했다고 밝혔습니다. 새로운 기소를 통해 미국 정부는 지금까지 범죄 조직의 활동에 관여한 혐의로 LockBit의 저명한 회원 5명을 기소했다고 밝혔습니다.
21월 XNUMX일, 미 국무부는 LockBit 회원들에 대한 압력을 강화했습니다. 총 15만 달러 보상 발표 그룹의 주요 구성원과 지도자의 체포 및 유죄 판결로 이어지는 정보를 위해. 재무부도 이 싸움에 동참했다. 제재 부과 Kondratyev 및 Sungatov에 대해 이는 LockBit의 미국 피해자가 LockBit에 향후 지불하는 모든 금액이 엄격히 불법임을 의미합니다.
게시 중단을 실행하면서 법 집행 기관은 작업 중에 압수한 사이트에 계열사 및 LockBit 관련 다른 사람들을 조롱하는 메시지를 남겼습니다. 일부 보안 전문가들은 이 트롤링을 다른 랜섬웨어 공격자들의 신뢰를 흔들기 위한 Cronos 작전의 고의적인 시도로 간주했습니다.
위협 정보 회사인 RedSense의 최고 연구 책임자인 Yelisey Bohuslavskiy는 "LEA가 유사한 행동을 위해 귀하의 그룹을 표적으로 삼을 수 있고 또 그렇게 할 것이라는 경고 메시지를 다른 운영자에게 보내는 것"이 그 이유 중 하나라고 말했습니다. "현재 많은 그룹이 이미 침해를 당했는지 확인하기 위해 운영 보안을 평가하고 있으며 운영 및 인프라를 더 잘 보호하는 방법을 찾아야 할 수도 있습니다."
이러한 조치는 지난 120년 동안 수십억 달러의 피해를 입히고 전 세계 피해자 조직으로부터 무려 XNUMX억 XNUMX천만 달러를 빼낸 집단에 대한 법 집행 기관의 상당한 성공을 의미합니다. 이번 작전은 지난 XNUMX년간 일련의 유사한 성공을 거둔 데 이어 ALPHV/블랙캣, 하이브, 라그나 락커및 칵봇, 널리 사용되는 랜섬웨어 드로퍼입니다.
재건을 위한 도전
비슷한 게시 중단 이후 다른 그룹이 반등했지만 LockBit 자체는 다시 시작하는 데 더 큰 어려움을 겪을 수 있습니다. 게시 중단 소식을 접한 블로그에서 Trend Micro는 해당 그룹을 다음과 같은 그룹으로 설명했습니다. 최근 어려움을 겪었다 수많은 문제 때문에 떠내려가는 것. 여기에는 2022년 XNUMX월 불만을 품은 회원이 LockBit용 빌더를 도난당하고 유출되어 다른 위협 행위자가 LockBit 코드를 기반으로 랜섬웨어를 배포할 수 있게 한 사건이 포함됩니다. 지난 XNUMX월부터 시작된 LockBit의 유출 사이트에서 새로운 피해자에 대한 일련의 명백한 허위 주장과 LockBit의 유출 사이트에 대한 조작된 유출 데이터도 그룹의 피해자 수에 대한 의문을 제기했으며, 새로운 계열사를 공격하려는 LockBit의 점점 더 광적인 노력은 주변에서 "절망의 분위기"를 불러일으켰습니다. 트렌드마이크로는 말했다. 사이버 범죄자들 사이에서 신뢰할 수 있는 RaaS 플레이어라는 LockBit의 평판도 계열사에 약속한 대로 지불을 거부했다는 소문으로 인해 큰 타격을 입었다고 보안 공급업체가 말했습니다.
최근 Optiv의 위협 인텔리전스 리더인 Aamil Karimi는 지난 1월 LockBit 랜섬웨어와 관련하여 러시아 기업 AN Security에 대한 랜섬웨어 공격이 발생한 이후 LockBit 관리팀이 신뢰성과 평판 측면에서 상당한 압박을 받았다고 말했습니다.
Karimi는 "CIS 국가에 대한 공격은 대부분의 RaaS 운영에서 엄격히 금지됩니다."라고 말합니다. “그들은 AN 보안에 대한 공격으로 인해 벌금을 물고 지하 포럼에서 추방당했습니다.” 이 사건을 둘러싼 드라마에 추가된 것은 라이벌 그룹이 LockBit에 문제를 일으키기 위해 고의적으로 공격을 수행했다는 소문입니다.
FSB 스니치?
이 때문에 경쟁그룹이 락비트가 점유하고 있는 공간을 점유할 기회가 많았다. 그는 LockBit의 게시 중단 소식 이후 “라이벌 그룹에서는 어떠한 반성도 보이지 않았습니다”라고 말했습니다. "LockBit은 그룹 중 가장 많은 활동을 한 그룹이지만 존경과 명성에 관한 한 사랑을 잃은 것은 없다고 생각합니다."
RedSense의 Bohuslavskiy는 LockBit 관리자가 러시아 해외 정보국(FSB) 요원으로 교체될 가능성이 있다는 의혹도 그룹의 이미지에 도움이 되지 않았다고 말했습니다. 그는 이러한 의혹의 기원은 러시아 정부가 REvil 및 Avaddon과 같은 랜섬웨어 운영자에 대해 일련의 조치를 취한 것처럼 보였던 2021년으로 거슬러 올라간다고 말했습니다. Bohuslavskiy는 LockBit의 관리자가 갑자기 조용해진 것은 그 무렵이었다고 말했습니다.
“이는 [관리자]와 직접 협력한 [초기 액세스 브로커]에 의해 대부분 발견되었습니다.”라고 그는 말합니다. "8월이 되자 관리자가 다시 나타났고, 이때부터 IAB는 그 사람이 FSB 요원으로 바뀌고 대체되었다고 말하기 시작했습니다."
이번주 레드센스 블로그 게시 운영 구성원과의 대화를 바탕으로 LockBit에 대한 3년간의 조사 결과를 요약합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/hubris-may-have-caused-lockbit-s-downfall
