Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Overmoed heeft mogelijk bijgedragen aan de ondergang van Ransomware Kingpin LockBit

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 168

Ondanks al het geroemde succes lijkt de LockBit-ransomware-operatie al met problemen te kampen te hebben gehad toen een internationale wetshandhavingsinspanning onder leiding van de Britse National Crime Agency (NCA) zet het uit deze week.

Rapporten van beveiligingsleveranciers die zijn opgedoken na de verwijdering schetsen een beeld van een ooit innovatieve en agressieve ransomware-as-a-service (RaaS)-groep die onlangs worstelde met onenigheid onder leden en aangesloten bedrijven, en de perceptie dat het een verrader was door sommigen binnen de crimineel. gemeenschap.

Onherstelbare schade?

Velen zijn van mening dat de wetshandhavingsoperatie waarschijnlijk onherstelbare schade heeft toegebracht aan het vermogen van de criminele organisatie om door te gaan met ransomware-activiteiten, althans in de huidige vorm en onder de merknaam LockBit. Hoewel het waarschijnlijk is dat de tientallen onafhankelijke filialen die LockBit op slachtoffersystemen hebben gedistribueerd en geïmplementeerd, hun activiteiten zullen voortzetten met behulp van andere RaaS-providers, lijkt hun vermogen om door te gaan met LockBit zelf op dit moment niet levensvatbaar.

“Het is waarschijnlijk nog te vroeg om daar iets over te zeggen”, zegt Jon Clay, vice-president Threat Intelligence bij Trend Micro, dat samenwerkte met de NCA om een ​​nieuwe ontwikkelingsversie van LockBit te analyseren en indicatoren voor compromissen vrij te geven. “Maar vanwege de blootstelling en alle gedeelde informatie, zoals de decoderingstools van [LockBit], in beslag genomen cryptocurrency-accounts en het verwijderen van de infrastructuur, worden de groep en hun dochterondernemingen waarschijnlijk belemmerd om effectief te opereren.”

De cyberdivisie van de NCA heeft eerder deze week samengewerkt met de FBI, het Amerikaanse ministerie van Justitie en wetshandhavingsinstanties uit andere landen onthulden dat ze ernstig verstoord waren De infrastructuur en activiteiten van LockBit onder auspiciën van een maandenlange inspanning genaamd ‘Operatie Cronos’.

De internationale inspanningen resulteerden erin dat wetshandhavers de controle over de primaire administratieve servers van LockBit overnamen, waardoor aangeslotenen aanvallen konden uitvoeren; de belangrijkste leklocatie van de groep; De broncode van LockBit; en waardevolle informatie over aangesloten bedrijven en hun slachtoffers. Gedurende een periode van twaalf uur hebben leden van de Operation Cronos-taskforce 12 servers in drie landen in beslag genomen die LockBit-filialen bij hun aanvallen gebruikten. Ze hebben ook drie servers uitgeschakeld die een aangepaste LockBit-data-exfiltratietool hosten, genaamd StealBit; meer dan 28 decoderingssleutels hersteld die slachtoffers mogelijk zouden kunnen helpen LockBit-gecodeerde gegevens te herstellen; en bevroor ongeveer 1,000 met LockBit verbonden cryptocurrency-accounts.

De aanvankelijke breuk lijkt het gevolg te zijn van een operationele fout van LockBit: een niet-gepatchte PHP-kwetsbaarheid (CVE-2023-3824) waardoor wetshandhavingsinstanties voet aan de grond kregen in de omgeving van LockBit.

Beloning van $ 15 miljoen

Het Amerikaanse DoJ ook op dezelfde dag een aanklacht ontsloten die twee Russische staatsburgers – Ivan Kondratyev, ook bekend als Bassterlord, een van de meest prominente van LockBit’s vele dochterondernemingen, en Artur Sungatov – heeft aangeklaagd voor ransomware-aanvallen op slachtoffers in de VS. De afdeling maakte ook bekend dat het momenteel twee andere personen, Michail Vasiliev en Ruslan Astamirov, in hechtenis heeft genomen op beschuldiging van hun deelname aan LockBit. Met de nieuwe aanklacht zegt de Amerikaanse regering dat ze tot nu toe vijf prominente LockBit-leden heeft aangeklaagd voor hun rol in de operatie van het misdaadsyndicaat.

Op 21 februari voerde het Amerikaanse ministerie van Buitenlandse Zaken de druk op tegen LockBit-leden op beloningen aankondigen van in totaal $ 15 miljoen voor informatie die leidt tot de arrestatie en veroordeling van belangrijke leden en leiders van de groep. Het ministerie van Financiën mengde zich in de strijd sancties opleggen over Kondratyev en Sungatov, wat betekent dat alle toekomstige betalingen die Amerikaanse slachtoffers van LockBit aan LockBit doen, strikt illegaal zouden zijn.

Bij het uitvoeren van de verwijdering lieten wetshandhavers enigszins spottende berichten achter voor aangesloten bedrijven en anderen die verband hielden met LockBit op sites die ze tijdens de operatie in beslag hadden genomen. Sommige beveiligingsexperts beschouwden het trollen als een doelbewuste poging van Operatie Cronos om het vertrouwen van andere ransomware-actoren te schaden.

Een van de redenen is om “een waarschuwingsbericht naar andere operators te sturen dat LEA jouw groep kan en zal targeten voor soortgelijke acties”, zegt Yelisey Bohuslavskiy, hoofdonderzoek bij het dreigingsinformatiebureau RedSense. “Het is waarschijnlijk dat veel groepen momenteel hun operationele veiligheid beoordelen om te bepalen of er al een inbreuk is gepleegd en wellicht moeten uitzoeken hoe ze hun activiteiten en infrastructuur beter kunnen beveiligen.”

Samen vertegenwoordigden de acties een welverdiend succes voor de wetshandhaving tegen een groep die de afgelopen vier jaar miljarden dollars aan schade heeft veroorzaakt en maar liefst 120 miljoen dollar heeft onttrokken aan slachtofferorganisaties over de hele wereld. De operatie volgt op een reeks soortgelijke successen van het afgelopen jaar, waaronder de verwijdering van ALPHV/BlackCat, Bijenkorf, Ragnar-kast en Qakbot, een veelgebruikte ransomware-dropper.

Een uitdaging om opnieuw op te bouwen

Terwijl andere groepen zich hebben hersteld na soortgelijke verwijderingen, kan LockBit zelf een grotere uitdaging hebben om opnieuw te worden opgestart. In een blog naar aanleiding van het nieuws over de verwijdering beschreef Trend Micro de groep als een groep die dat wel heeft gedaan onlangs moeite mee gehad om het hoofd boven water te houden vanwege tal van problemen. Deze omvatten de diefstal en het daaropvolgende lek van de bouwer voor LockBit door een ontevreden lid in september 2022, waardoor andere bedreigingsactoren ransomware konden inzetten op basis van LockBit-code. Een reeks duidelijk valse beweringen over nieuwe slachtoffers en verzonnen gelekte gegevens op de leksite van LockBit die afgelopen april zijn gestart, hebben ook vragen opgeroepen over het aantal slachtoffers van de groep, en de steeds verwoedere pogingen om nieuwe aangesloten bedrijven aan te vallen hebben een “sfeer van wanhoop” rond zich verspreid. het, zegt Trend Micro. De reputatie van LockBit als vertrouwde RaaS-speler onder cybercriminelen heeft ook een klap gekregen na geruchten over de weigering om aangesloten bedrijven te betalen zoals beloofd, aldus de beveiligingsleverancier.

Onlangs is het administratieve team van LockBit onder grote druk komen te staan ​​vanuit het oogpunt van betrouwbaarheid en reputatie na een ransomware-aanval op het Russische bedrijf AN Security in januari waarbij LockBit-ransomware betrokken was, zegt Aamil Karimi, leider op het gebied van bedreigingsinformatie bij Optiv.

“Aanvallen tegen GOS-landen zijn ten strengste verboden bij de meeste RaaS-operaties”, zegt Karimi. “Ze werden geconfronteerd met boetes en verbanning uit ondergrondse fora als gevolg van de aanval op AN Security.” Wat heeft toegevoegd aan het drama rond het incident zijn de geruchten over een rivaliserende groep die de aanval opzettelijk uitvoert om problemen voor LockBit te creëren, merkt hij op.

Een FSB-snaai?

Hierdoor waren er volop mogelijkheden voor rivaliserende groepen om de ruimte die LockBit innam over te nemen. “Er was geen berouw getoond door rivaliserende groepen” na het nieuws over de verwijdering van LockBit, zegt hij. "LockBit was de meest productieve van de groepen, maar wat betreft respect en reputatie denk ik niet dat er enige liefde verloren is gegaan."

Bohuslavskiy van RedSense zegt dat vermoedens dat een LockBit-beheerder waarschijnlijk zal worden vervangen door agenten van de Russische buitenlandse inlichtingendienst (FSB), het imago van de groep ook niet hebben geholpen. Hij zegt dat de oorsprong van deze vermoedens teruggaat tot 2021, toen de Russische regering een reeks acties leek te ondernemen tegen ransomware-exploitanten zoals REvil en Avaddon. Het was rond die tijd dat de beheerder van LockBit plotseling stil werd, zegt Bohuslavskiy.

“Dit werd vooral opgemerkt door de [initiële toegangsmakelaars] die rechtstreeks met [de beheerder] samenwerkten”, merkt hij op. “In augustus verscheen de beheerder weer, en toen begonnen de IAB’s te zeggen dat de persoon was veranderd en vervangen door een FSB-agent.”

RedSense deze week een blog gepubliceerd een samenvatting van de bevindingen van een drie jaar durend onderzoek naar LockBit, gebaseerd op gesprekken met leden van de operatie.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.