Pomimo tego, iż LockBit pozostaje bardzo aktywnym zagrożeniem, seria niepowodzeń, w tym zakulisowych problemów i sprzeczek, sprawiła, iż LockBit chwiał się w ostatnich miesiącach i wydaje się, iż operacja znajdowała się w niekorzystnej sytuacji na długo przed jej wprowadzeniem. skompromitowany i poniżony Według badaczy z międzynarodowego stowarzyszenia organów ścigania Trend Mikro.
Zespół badawczy firmy Trend Micro współpracował z brytyjską Narodową Agencją ds. Przestępczości (NCA) – agencją wiodącą ds Operacja Kronos – zapewnienie pomocy technicznej podczas rozcinania infrastruktury gangu i szafki, wieszania ich do wyschnięcia oraz zapewnienia nieograniczonego dostępu do operacji.
Trend powiedział, iż podróż gangu z oprogramowanie ransomware jako usługa (RaaS) pionierzy znacznie ograniczonej operacji – jej administratorom zakazano choćby wstępu na niektóre podziemne fora – podkreślili wyzwania stojące przed operacjami cyberprzestępczymi, takie jak konflikty wewnętrzne, problemy techniczne i utrata reputacji.
„Chociaż Lockbit był bez wątpienia największą i najbardziej wpływową operacją związaną z oprogramowaniem ransomware na świecie, mamy nadzieję, iż to zakłócenie jasno pokazuje, iż wszystkie podmioty powiązane zajmujące się działalnością przestępczą powinny zdecydowanie ponownie rozważyć jakąkolwiek współpracę z nimi w przyszłości oraz iż współpracując z tą organizacją, współpracownicy ci włożyli narażają się na zwiększone ryzyko działań organów ścigania” — powiedział Bob McArdle, dyrektor Trend Micro ds. badań nad przyszłymi zagrożeniami.
Incydenty związane z bezpieczeństwem
W ciągu ostatnich kilku dni odbyła się dyskusja na temat pozornie dość luźnego podejścia LockBit do własnego operacyjnego bezpieczeństwa cybernetycznego – możliwe, iż ostatecznie zostało ono naruszone poprzez niezałataną lukę w zabezpieczeniach PHP – i nie byłby to pierwszy raz, kiedy grupa miała problemy z bezpieczeństwem.
W oczach specjalisty od bezpieczeństwa niektóre problemy gangu mieszczą się w kategorii zagrożenie wewnętrzne; ze względu na rozproszony i półanonimowy charakter LockBit oraz sposób interakcji jego podmiotów stowarzyszonych i operatorów, był to problem prawie nieunikniony.
Wydaje się, iż okres jego upadku rozpoczął się we wrześniu 2022 r., kiedy to niezadowolony deweloper wyciekła wersja szafki gangu. Incydent ten miał większy wpływ, niż pozwalał na to LockBit, ponieważ obniżył barierę wejścia dla innych, którzy mogli niezależnie tworzyć własne klony i uruchamiać własne operacje RaaS, poważnie utrudniając jakąkolwiek przewagę technologiczną, jaką miał LockBit.
Incydent ten wywołał efekt domina w całej branży zabezpieczeń, która nagle znalazła się w sytuacji, w której miała do czynienia z innymi tego typu operacjami z wykorzystaniem ładunków LockBit lub wręcz podszywała się pod LockBit przed swoimi ofiarami.
W jednym z takich incydentów grupa nazywająca siebie Spacecolon użyła adresów e-mail i adresów URL, które sprawiały ofiarom wrażenie, iż negocjują z LockBit. Spacecolon zbudował choćby bardzo podobnie wyglądające miejsce wycieków.
Dla operatorów LockBit wyciek nie mógł być dużo gorszy – sygnalizowanie problemów wewnętrznych osobom z zewnątrz byłoby problemem dla operacyjnych lub potencjalnych współpracowników i bardzo zainteresowałoby inne gangi.
„Taki wyciek należy nazwać tym, czym jest – awarią bezpieczeństwa” – napisali badacze Trend Micro. „Jeśli może dojść do wycieku ich podstawowej wersji, partnerzy mogą zastanawiać się, czy istnieją inne problemy związane z bezpieczeństwem. Taki incydent w firmie produkującej oprogramowanie zostałby odebrany jako całkowita awaria wewnętrznych procesów i kontroli lub, co gorsza, ich brak.
Wyciek prawdopodobnie zaszkodził także marce LockBit, mimo iż jej operatorzy, w tym główny rzecznik prasowy LockBitSupp, starali się zachować odważną minę. Główni członkowie gangu prawdopodobnie zdali sobie w tym momencie sprawę, iż będą musieli wyciągnąć z kapelusza coś specjalnego, aby skonsolidować i wzmocnić swoją ciężko wypracowaną pozycję wiodącego „dostawcy RaaS”.
Czy oni to zrobili? Nie. Według ustaleń firmy Trend Micro rozwój kodu szafki uległ stagnacji. Być może, jak spekulowali badacze, gang faktycznie rozstał się z jednym z kluczowych twórców.
Trend Micro twierdzi, iż w ciągu kolejnych miesięcy zaobserwował „spadek” zaufania do gangu, na co złożyło się kilka czynników. Na przykład w kwietniu 2023 r. grupa dodała do swojej witryny wycieków z ciemnej sieci szereg nowych postów, z których część dotyczyła fałszywych ofiar ze zmyślonymi danymi. Jest oczywiście możliwe, iż był to błąd popełniony podczas testów wewnętrznych, ale według Trend Micro równie prawdopodobny scenariusz jest taki, iż posty stanowiły próbę fałszowania książek i wywołania u widzów wrażenia, iż LockBit przez cały czas był udaną operacją.
W 2023 r. sama infrastruktura LockBit wydawała się bardziej niestabilna, a obserwatorzy strony z wyciekami w ciemnej sieci zauważali częste błędy w zakresie dostępności i stabilności. Firma Trend Micro zaobserwowała również nietypowe zachowanie serwerów lustrzanych witryn wycieków, w tym niespójności podczas prób uzyskania dostępu do nich i błędne przekierowania.
Najwyraźniej sprawy nie szły dobrze, więc we wrześniu 2023 r. LockBitSupp zaproponował wdrożenie nowych zasad dla podmiotów stowarzyszonych, w tym płatności minimalnych i stałych rabatów, oraz nakazanie, aby płatności nie były niższe niż kwota objęta polisą cyberubezpieczenia ofiary. Trend Micro zasugerował, iż LockBit odnotował spadek liczby udanych płatności oraz iż problemy, które nękały tę operację, sprawiły, iż nie był w stanie przyciągnąć tak wielu wysoko wykwalifikowanych cyberprzestępców do działania w charakterze partnerów, jak miało to miejsce w okresie jej przepychu.
Nie ma już wiary
„Jest oczywiste, iż LockBit borykał się z problemami przez cały 2023 rok i jest oczywiste, iż ma to negatywny wpływ na ich zdolność do przyciągania lub zatrzymywania partnerów” – stwierdzili badacze.
Istnieje wiele powodów. Po pierwsze, podmioty stowarzyszone wyraźnie traciły wiarę w program, a operatorzy LockBit wydawali się coraz bardziej przestali reagować. Inni mogli uznać, iż nowo wprowadzone zasady standaryzujące żądania okupu i ograniczające ich zarobki są zbyt uciążliwe, podczas gdy opóźnienia w nowych wydaniach szafki, wskazujące na drenaż mózgów w sercu LockBit, zgorzkniałyby również innych.
Niedawno operatorzy LockBit wezwali współpracowników załóg ALPHV/BlackCat i NoEscape do przybycia i dołączenia do LockBit po podobnych działaniach organów ścigania niosła ze sobą „aura desperacji”, biorąc pod uwagę, jak zaledwie rok wcześniej ludzie domagali się rejestracji.
Wydawało się, iż sytuacja osiągnęła punkt kulminacyjny pod koniec stycznia 2024 r., kiedy użytkownik posługujący się pseudonimem michon – najwyraźniej broker początkowego dostępu (IAB) – otworzył wątek arbitrażowy na podziemnym forum XSS, twierdząc, iż LockBitSupp odmówił zapłaty za dostęp które dostarczyli, co doprowadziło do pomyślnej płatności za oprogramowanie ransomware.
Okazało się, iż Michon był sam sobie winien. Ponieważ byli stosunkowo nowi na scenie, nie określili adekwatnie pożądanych warunków sprzedaży. Jednak w miarę jak wątek pojawiał się coraz częściej, mieszkańcy XSS zaczęli zwracać się przeciwko LockBitSupp, odrzucając ich obronę. Ostatecznie LockBitSupp został zmuszony do zapłaty 10% kwoty wypłaty za oprogramowanie ransomware na rzecz michon.
Przeglądając ten wątek, zespół Trend Micro stwierdził, iż LockBitSupp okazał się arogancki i pogardliwy, szczególnie w stosunku do arbitra, i prawdopodobnie próbował wykorzystać swoją reputację, aby uderzyć powyżej swojej wagi. Zauważyli, iż tego typu zachowanie było już wcześniej obserwowane u innych operatorów RaaS, którzy mieli zbyt duże buty.
„Nie ma żadnych pozytywnych opinii dla LockBitSupp w odniesieniu do tego arbitrażu. Złośliwy aktor prawdopodobnie zniechęcił innych, potencjalnych dostawców dostępu i podmioty stowarzyszone” – stwierdził zespół.
W każdym razie LockBitSupp został wyrzucony z XSS 30 stycznia i uznany za „rozpruwacza/oszustę”. Mniej więcej w tym samym czasie zostali również wyrzuceni z forum Exploit.
Nowa szafka w przygotowaniu
Co LockBit zrobił w związku z tymi problemami? W trakcie dochodzenia zespół Trenda znalazł dowody na to, iż załoga pokładała nadzieje na przetrwanie w nowej wersji swojej skrytki systemu ransomware – Trend nazwał ją LockBit-NG-Dev – złośliwym oprogramowaniem niezależnym od platformy, znacząco różniącym się od poprzednich wersje.
Zespół uważa, iż wariant ten stał się podstawą wersji LockBit 4.0, nad którą przez cały czas mogą pracować pomimo usunięcia.
Niektóre z kluczowych zmian w LockBit-NG-Dev obejmują:
- Przejście na kod .NET skompilowany przy użyciu CoreRT, który po wdrożeniu umożliwia złośliwemu oprogramowaniu działanie na różnych platformach;
- Baza kodu .NET jest całkowicie nowa, co będzie oznaczać konieczność stworzenia nowych wzorców bezpieczeństwa, aby ją wykryć – może to stanowić przyszły problem dla obrońców, jeżeli LockBit przetrwa;
- LockBit usunął wcześniej dostępne możliwości samorozprzestrzeniania się, a LockBit-NG-Dev nie może już drukować notatek z żądaniem okupu za pośrednictwem drukarek ofiary;
- Data wykonania skrytki ma teraz określony okres ważności, który według Trend ma pomóc operatorom uważnie obserwować, co robią ich podmioty stowarzyszone i przeciwstawić się wszelkim zautomatyzowanym narzędziom do analizy cybernetycznej.
Istnieją jednak pewne podobieństwa. Na przykład LockBit-NG-Dev przez cały czas ma konfigurację zawierającą flagi dla tras, procesów i nazw usług do zakończenia oraz plików i katalogów, których należy unikać, i zachowuje możliwość losowej zmiany nazw zaszyfrowanych plików.
Zbyt duże, by upaść?
„Grupa przestępcza stojąca za oprogramowaniem ransomware LockBit okazała się w przeszłości skuteczna, będąc przez cały czas swojej działalności niezmiennie jedną z najbardziej wpływowych grup zajmujących się oprogramowaniem ransomware. Wydaje się jednak, iż w ciągu ostatnich kilku lat mieli wiele problemów logistycznych, technicznych i związanych z reputacją” – napisał zespół Trend Micro.
„Zmusiło to firmę LockBit do podjęcia działań w postaci pracy nad nową, długo oczekiwaną wersją swojego szkodliwego oprogramowania. Jednakże w obliczu pozornego opóźnienia w wprowadzeniu na rynek solidnej wersji LockBit, w połączeniu z ciągłymi problemami technicznymi, okaże się, jak długo grupa ta zachowa zdolność do przyciągania czołowych partnerów i utrzymywania swojej pozycji. W międzyczasie mamy nadzieję, iż LockBit będzie kolejną dużą grupą, która obali pogląd, iż organizacja jest zbyt duża, aby upaść”.
