LockBit Sızıntısı, Ortakların Baskı Taktikleri Kullandığını ve Nadiren Ödeme Aldığını Gösteriyor

Günümüzde faaliyet gösteren en üretken fidye yazılımı çetelerinden biri olan LockBit, geçen hafta ihlal edilerek iç operasyonları açıkça ortaya çıkarıldı. Tor ağındaki bir onion sitesi aracılığıyla kısa süreliğine erişilebilir hale getirilen sızdırılan dosyalar, araştırmacılara ve güvenlik uzmanlarına LockBit'in fidye yazılımı hizmeti olarak ( RaaS ) operasyonunu nasıl yürüttüğüne dair nadir bir bakış açısı sağladı.

LockBit'in altyapısına erişimi olan birinden kaynaklandığı düşünülen ihlal, sohbet günlüklerini, fidye yazılımı yapı kayıtlarını, yapılandırma dosyalarını, Bitcoin cüzdan adreslerini ve iştirak tanımlayıcılarını ifşa etti. Fidye yazılımı grupları genellikle spot ışığının kontrolünü elinde tutarken, bu sefer kendileri analiz konusu oldular.

Ontinue'de Güvenlik Operasyonları Merkezi analisti olan Rhys Downing, sızdırılan verilerin derinlemesine incelemesine öncülük etti. Çalışması, saldırganların yükleri nasıl oluşturduğu, fidye taleplerini nasıl tahmin ettiği ve pazarlıkları nasıl yürüttüğü dahil olmak üzere LockBit'in iştirak programının operasyonel yöntemlerini ayrıntılarıyla anlatıyor.

Downing'in analizi ayrıca LockBit'in ekosisteminin yapılandırılmış yapısını ortaya koyuyor ve grubun altyapısını parçalayarak, bu suç ağının ne kadar organize hale geldiğini gözler önüne seriyor.

Sızdırılan verilerin en önemli parçalarından biri, LockBit iştirakleri tarafından oluşturulan her fidye yazılımı yükünü kaydeden, dahili olarak "builds" olarak bilinen bir tablodur. Her kayıt, iştirak kimliği, genel ve özel şifreleme anahtarları, hedeflenen şirket referansları ve beyan edilen fidye talepleri gibi ayrıntıları içerir.

Bu tahminler, saldırganlar tarafından yükleri başlatmadan önce manuel olarak girildi ve fiyatlandırma stratejileri ve hedef seçimleri hakkında içgörüler ortaya çıktı. Bazı fidye talepleri abartılıydı, "303kkk" (303 milyon $) gibi girdiler test verileri gibi görünüyor, ancak diğerleri daha hesaplı bir yaklaşım gösterdi. Örneğin, bir iştirakçi, toplam beyan edilen değeri 168 milyon $'ın üzerinde olan dört yapı kaydetti.

Yüzlerce fidye yazılımı yapısına ve agresif fidye taleplerine rağmen, 246 kurbandan yalnızca 7'sinin ödeme yaptığı kaydedildi. Ve ilginç bir şekilde, hiçbiri bir şifre çözme aracı aldığına dair bir onay göstermedi. Bunun, verilerin eksik olmasından mı yoksa birinin bilerek dışarıda bırakmasından mı kaynaklandığı belirsizliğini koruyor.

Rakamlar bir şeyi açıkça ortaya koyuyor, çoğu kurban ödeme yapmıyor ve daha da azı karşılığında bir şey görüyor. Bu, eğitim teknolojisi şirketinin daha fazla felaketi önlemek için siber suçlulara açıklanmayan bir fidye ödediği, ancak saldırganların daha fazla taleple geri döndüğü, bu sefer öğretmenleri ve öğrencileri hedef aldığı son PowerSchool veri ihlaliyle örtüşüyor .

LockBit'e gelince, sızdırılan veritabanı, iştirakçilere ödenen komisyonların alan işaretlemesinin yalnızca %2,8'lik vakalarda sıfırdan büyük olduğunu gösterdi. Ancak bu bile fidye ödemesinin kesin kanıtı değil.

Ontinue Threat Report'a göre, LockBit iştirakleri ile kurbanlar arasındaki 4.000'den fazla sohbet dökümü de sızdırıldı. Bu mesajlar, hesaplanmış baskı, duygusal manipülasyon ve açık tehditlerin bir karışımını gösteriyor. Birçok durumda, iştirakler merhamet taleplerini reddetti ve fidye fiyatlarını uyarıda bulunmadan iki katına çıkardı.

Bir iştirak, küçük bir firma olduğunu iddia eden bir şirkete şu şekilde yanıt verdi: “Your size is irrelevant. Your data is valuable.”

Başka bir konuşmada, LockBit'in ortaklık programını tuhaf bir işe alım konuşmasında tanıtan bir mesaj vardı: “Want a Lamborghini, a Ferrari and lots of ti**y girls? Sign up and start your pentester billionaire journey in 5 minutes with us.”

Bu konuşmalar, LockBit'in iştiraklerinin bilgisayar korsanları/siber suçlulardan çok saldırgan satış temsilcileri gibi davrandığını gösteriyor. Taktikler psikolojik baskıdan kolluk kuvvetleri veya sigorta sağlayıcılarını dahil etmemeye yönelik uyarılara kadar değişiyor.

Verilerde dikkat çeken şey organizasyon seviyesidir. LockBit modüler yük oluşturucuları, iştirak panoları ve güçlü bir arka uç altyapısı kullanır. İştirakler, şifrelenecek dosyalardan şifre çözücünün kullanımdan sonra kendini silip silmeyeceğine kadar her şeyi kontrol etmek için yapı yapılandırmalarını değiştirebilir.

Hatta soğan sitelerinden birinde altyapılarında bulunan güvenlik açıklarına ödül veren bir hata ödül programı bile yürüttüler.

İhlal ayrıca geçmişteki bir kolluk kuvveti eylemiyle de yeniden bağlantı kurdu. İngiltere Ulusal Suç Ajansı ve diğerleri tarafından yönetilen bir kampanya olan Operation Cronos , daha önce LockBit'in operasyonlarıyla bağlantılı kullanıcı adlarını ifşa etti. Bu kullanıcı adlarının çoğu, yük verilerinde bulunan kimliklerle eşleşen bu yeni sızıntıda doğrulandı.

Önemli kullanıcılar arasında şunlar yer almaktadır:

• Üretilen yük sayısı en yüksek olan Ashlin

• Rich, Melville ve Merrick diğer yüksek hacimli operatörler olarak

Bu bağlantı, çetenin ana ekibinin ve üst düzey üyelerinin geçmişteki çökertme çabalarına rağmen tutarlı kaldığını daha da doğruluyor.

Basitçe söylemek gerekirse, Ontinue'nin veri ihlali analizi LockBit'in bir franchise gibi çalışması gibi birkaç şeyi açıklığa kavuşturuyor. Kötü amaçlı yazılımı onlar sağlıyor, iştirakler saldırıları gerçekleştiriyor ve herkes fidyeden bir pay alıyor.

Bu sızıntı, birçok iştirakçinin saldırılarını satış görüşmeleri, beklenen getirileri kaydetme, pazarlıkları yönetme ve kurbanlara baskı yapmak için yapılandırılmış adımları izleme gibi ele aldığını gösteriyor. Ancak bir şeyi satmaya yönelik başarısız bir girişim gibi, bu girişimlerin çoğu başarısız görünüyor.

Qualys'te Güvenlik Açığı Araştırmaları Yöneticisi Saeed Abbasi'ye göre, ihlal savunmacılar için değerli bir istihbarat kaynağı. "LockBit'in hangi sistemleri hedef aldığını ve iştiraklerin yükleri nasıl özelleştirdiğini anlayarak, güvenlik ekipleri yamaları daha iyi önceliklendirebilir, göz ardı edilen sistemleri güçlendirebilir ve temel erişim kontrollerini iyileştirebilir" dedi.

LockBit'in Tor kullanımı, sitelerinin kaldırılmasını zorlaştıran, kendi taraflarında önemli bir savunma olmaya devam ediyor. Ancak sızıntı, siber suçlular tarafından yönetilenler dahil hiçbir sistemin gerçekten güvenli olmadığını gösteriyor.

LockBit ihlali , dünya çapındaki işletmeleri etkileyen bir fidye yazılımı operasyonunun perdesini araladı. Güvenlik uzmanlarının yıllardır şüphelendiği şeyi doğruladı, fidye yazılımı grupları, iştirak katılımı, altyapı yönetimi ve finansal planlama ile işletmeler gibi işlev görüyor.