Til tross for all den beryktede suksessen, ser det ut til at LockBit løsepengevareoperasjonen allerede har vært plaget av problemer da en internasjonal rettshåndhevelsesinnsats ledet av Storbritannias National Crime Agency (NCA) slå det av denne uken.

Sikkerhetsleverandørrapporter som har dukket opp etter fjerningen tegner et bilde av en en gang så innovativ og aggressiv ransomware-as-a-service (RaaS)-gruppe som nylig sliter med uenighet blant medlemmer og tilknyttede selskaper, og oppfatningen at det var en snert av noen innen den kriminelle. samfunnet.

Uopprettelig skade?

Mange oppfatter politioperasjonen som sannsynlig å ha forårsaket uopprettelig skade på det kriminelle utstyrets evne til å fortsette med løsepengevareaktiviteter, i det minste i sin nåværende form og under LockBit-merket. Selv om det er sannsynlig at dusinvis av uavhengige tilknyttede selskaper som distribuerte og distribuerte LockBit på offersystemer vil fortsette driften ved å bruke andre RaaS-leverandører, virker deres evne til å fortsette med selve LockBit for øyeblikket lite levedyktig.

"Det er sannsynligvis for tidlig å si," sier Jon Clay, visepresident for trusseletterretning i Trend Micro, som samarbeidet med NCA for å analysere en ny utviklingsversjon av LockBit og gi ut kompromissindikatorer for den. "Men på grunn av eksponeringen og all informasjonen som deles, som [LockBits] dekrypteringsverktøy, beslaglagte kryptovalutakontoer og fjerning av infrastruktur, er gruppen og deres tilknyttede selskaper sannsynligvis hindret i å fungere effektivt."

NCAs cyberavdeling i samarbeid med FBI, det amerikanske justisdepartementet og rettshåndhevelsesbyråer fra andre land tidligere denne uken avslørte at de hadde forstyrret alvorlig LockBits infrastruktur og operasjoner i regi av en måneder lang innsats kalt "Operation Cronos."

Den internasjonale innsatsen resulterte i at rettshåndhevelse tok kontroll over LockBits primære administrative servere som tillot tilknyttede selskaper å utføre angrep; gruppens primære lekkasjested; LockBits kildekode; og verdifull informasjon om tilknyttede selskaper og deres ofre. I løpet av en 12-timers periode beslagla medlemmer av Operation Cronos arbeidsstyrke 28 servere i tre land som LockBit-tilknyttede selskaper brukte i sine angrep. De tok også ned tre servere som var vert for et tilpasset LockBit-dataeksfiltreringsverktøy kalt StealBit; gjenopprettet over 1,000 dekrypteringsnøkler som potensielt kan hjelpe ofre med å gjenopprette LockBit-krypterte data; og frøs rundt 200 LockBit-tilknyttede kryptovalutakontoer.

Den første pausen ser ut til å være et resultat av en op-sec-feil fra LockBits side - en uopprettet PHP-sårbarhet (CVE-2023-3824) som tillot rettshåndhevelse fotfeste på LockBits miljø.

15 million dollar i belønning

US DoJ samme dag også åpnet en tiltale som siktet to russiske statsborgere – Ivan Kondratyev, alias Bassterlord, en av de mest fremtredende av LockBits mange tilknyttede selskaper, og Artur Sungatov – for løsepenge-angrep på ofre over hele USA. Avdelingen avslørte også at den for tiden har to andre personer i varetekt, Mikhail Vasiliev og Ruslan Astamirov, på siktelser knyttet til deres deltakelse i LockBit. Med den nye tiltalen sier den amerikanske regjeringen at de så langt har siktet fem fremtredende LockBit-medlemmer for deres rolle i kriminalitetssyndikatets operasjon.

21. februar forsterket det amerikanske utenriksdepartementet presset mot LockBit-medlemmer ved kunngjøring av belønninger på til sammen 15 millioner dollar for informasjon som fører til arrestasjon og domfellelse av sentrale medlemmer og ledere av gruppen. Finansdepartementet ble med i kampen innføre sanksjoner på Kondratyev og Sungatov, noe som betyr at eventuelle fremtidige betalinger som amerikanske ofre for LockBit gjør til LockBit ville være strengt ulovlig.

I gjennomføringen av fjerningen, la rettshåndhevelse igjen noe hånende meldinger til tilknyttede selskaper og andre relatert til LockBit på nettsteder de hadde beslaglagt under operasjonen. Noen sikkerhetseksperter så på trollingen som et bevisst forsøk fra Operation Cronos for å rokke ved tilliten til andre løsepengevareaktører.

En av grunnene er å "sende en advarselsmelding til andre operatører om at LEA kan og vil målrette gruppen din for lignende handlinger," sier Yelisey Bohuslavskiy, forskningssjef i trusseletterretningsfirmaet RedSense. "Det er sannsynlig at mange grupper for tiden vurderer sin operasjonelle sikkerhet for å finne ut om de allerede har blitt brutt og kanskje må finne ut hvordan de bedre kan sikre driften og infrastrukturen."

Til sammen representerte handlingene en velfortjent suksess for rettshåndhevelse mot en gruppe som i løpet av de siste fire årene har forårsaket milliarder av dollar i skader og hentet ut svimlende 120 millioner dollar fra offerorganisasjoner over hele verden. Operasjonen følger en rekke lignende suksesser det siste året, inkludert fjerninger av ALPHV/BlackCat, Hive, Ragnar Lockerog Qakbot, en mye brukt ransomware dropper.

En utfordring å gjenoppbygge

Mens andre grupper har kommet seg tilbake etter lignende fjerninger, kan LockBit i seg selv ha en større utfordring med å starte på nytt. I en blogg som fulgte nyheter om nedtakelsen, beskrev Trend Micro gruppen som en som har gjort det nylig slitt å holde seg flytende på grunn av mange problemer. Disse inkluderer tyveri og påfølgende lekkasje av byggeren for LockBit av et misfornøyd medlem i september 2022 som tillot andre trusselaktører å distribuere løsepengevare basert på LockBit-kode. En rekke åpenbart falske påstander om nye ofre og oppdiktede lekkede data på LockBits lekkasjeside fra og med april i fjor har også reist spørsmål om gruppens antall ofre, og den stadig mer hektiske innsatsen for å angripe nye tilknyttede selskaper har hatt en "luft av desperasjon" rundt det, sa Trend Micro. LockBits rykte som en pålitelig RaaS-spiller blant nettkriminelle har også fått et slag etter rykter om at de nekter å betale tilknyttede selskaper som lovet, sa sikkerhetsleverandøren.

Nylig har LockBits administrative team kommet under betydelig press fra et pålitelighets- og omdømmestandpunkt etter et løsepengeangrep på det russiske selskapet AN Security i januar som involverte LockBit løsepengeprogram, sier Aamil Karimi, leder for trusseletterretning i Optiv.

"Angrep mot CIS-land er strengt forbudt i de fleste RaaS-operasjoner," sier Karimi. "De sto overfor bøter og forvisning fra underjordiske fora som et resultat av angrepet på AN Security." Det som har lagt til dramaet rundt hendelsen er rykter om en rivaliserende gruppe som har utført angrepet bevisst for å skape problemer for LockBit, bemerker han.

En FSB Snitch?

På grunn av dette var det mange muligheter for rivaliserende grupper til å overta plassen som er okkupert av LockBit. "Det var ingen anger vist av rivaliserende grupper" etter nyhetene om LockBits nedtakelse, sier han. "LockBit var den mest produktive av gruppene, men når det gjelder respekt og rykte, tror jeg ikke det gikk tapt noen kjærlighet."

Bohuslavskiy fra RedSense sier at mistanker om at en LockBit-administrator sannsynligvis blir erstattet av agenter for Russlands utenlandske etterretningstjeneste (FSB) heller ikke har hjulpet gruppens image. Han sier at opprinnelsen til disse mistankene går tilbake til 2021, da Russlands regjering så ut til å ta en rekke handlinger mot løsepengevareoperatører som REvil og Avaddon. Det var rundt den tiden at LockBits administrator plutselig ble stille, sier Bohuslavskiy.

"Dette ble for det meste oppdaget av [meglerne for første tilgang] som jobbet direkte med [administratoren]," bemerker han. "I august dukket administratoren opp igjen, og det var da IAB-ene begynte å si at personen ble endret og erstattet av en FSB-operatør."

RedSense denne uken publiserte en blogg oppsummerer funnene fra en treårig undersøkelse av LockBit, basert på samtaler med medlemmer av operasjonen.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/hubris-may-have-caused-lockbit-s-downfall