Tydzień po wyłączeniu z sieci w ramach połączonej międzynarodowej operacji egzekwowania prawa prowadzonej przez brytyjską Narodową Agencję ds. Przestępczości, główny operator lub osoba podająca się za głównego operatora LockBit pojawiła się ponownie, drwiąc z organów ścigania i tworząc nową infrastrukturę oraz nowe miejsce wycieków, które już zawiera szczegółowe informacje na temat pięciu rzekomych ofiar.
LockBit został zdemaskowany 19 lutego w ramach operacji Cronos – ataku, którego celem była infrastruktura serwerów płodnego gangu, przejęcie kontroli nad danymi, w tym kodem źródłowym, narzędziami deszyfrującymi i danymi ofiar, przejęcie i zamrożenie aktywów kryptograficznych, i doprowadziło do dwóch aresztowań w Polsce i na Ukrainie.
Jednakże w obszernej wiadomości, podpisanej jako LockBit, rzekomy przywódca gangu odrzucił większość twierdzeń agencji biorących udział w operacji Cronos, chociaż potwierdziły one, iż NCA i jej partnerzy – których przez cały czas nazywają FBI – uzyskali dostęp do swojej infrastruktury serwerowej poprzez niezałataną lukę w zabezpieczeniach PHP.
LockBit twierdził, iż zaczął zauważać problemy wczesnym rankiem 19 lutego, ale po ponownym uruchomieniu PHP wszystko wróciło do normy. „Nie zwracałem na to większej uwagi, bo przez 5 lat [sic] pływania w pieniądzach, bardzo się rozleniwiłem” – napisali.
LockBit następnie drwił z policji, sugerując, iż hakerzy z NCA i FBI, którzy wzięli go za cel, mogliby zarobić więcej pieniędzy, pracując w świecie systemu ransomware, i odparł wiele twierdzeń wysuniętych po usunięciu, w tym kwestionując tożsamość niektórych aresztowani, którzy w wersji narracji LockBit byli niczym więcej niż osobami zajmującymi się praniem pieniędzy na niskim szczeblu.
Zdecydowanie odrzucili także skalę naruszenia, którego doświadczyli, twierdząc, iż władze nie są w posiadaniu m.in. pełnego kodu swojej szafki.
W wiadomości spekuluje się ponadto, iż usunięcie było spowodowane niedawnym atakiem LockBit na systemy informatyczne hrabstwa Fulton w stanie Georgia w Atlancie, z którego wykradł informacje na temat spraw sądowych przeciwko byłemu prezydentowi Donaldowi Trumpowi, które według LockBit mogą wpłynąć na wynik amerykańskiej kampanii wyborczej z 2024 r. wybory prezydenckie.
LockBit dodał: „Osobiście będę głosował na Trumpa”. Chociaż biorąc pod uwagę, iż prawie na pewno nie są oni obywatelami USA, wydaje się to mało prawdopodobne.
„Wszystkie działania FBI mają na celu zniszczenie reputacji mojego programu partnerskiego, moją demoralizację, chcą, żebym odeszła i rzuciła pracę, chcą mnie nastraszyć, bo nie mogą mnie znaleźć i wyeliminować, nie można mnie zatrzymać” – mówią. powiedział.
„Jestem bardzo zadowolony, iż FBI poprawiło mi humor, dodało energii i sprawiło, iż uciekłem od rozrywki i wydawania pieniędzy”.
Nierzetelny narrator
Należy pamiętać, iż motywacją wiadomości LockBit, będącej cyberprzestępczym operatorem systemu ransomware, nie była chęć sprostowania faktów w jakimkolwiek faktycznym tego słowa znaczeniu. Biorąc pod uwagę, iż LockBit był już w fazie upadku jako operacjamimo iż w dalszym ciągu przeprowadzał on szkodliwe cyberataki, komunikaty dotyczące jego ponownego pojawienia się należy w rzeczywistości czytać w tym kontekście.
„Celem przekazu nie jest przekazywanie faktów, ale zaangażowanie się w działania PR i kontrolę nad utratą reputacji marki LockBit w ramach pokazu siły” – stwierdził. Z Bezpiecznym starszy analityk zagrożeń Stephen Robinson.
„Było to niezwykle kompleksowe usunięcie, którego celem były zasoby stanowiące prawdziwą siłę systemu ransomware jako usługa” [RaaS] marki takie jak LockBit – sama marka i spółki stowarzyszone prowadzące działalność operacyjną oraz aktywa finansowe grupy.
„Wydarzenia cybernetyczne były koordynowane z działaniami znanych organów ścigania w świecie rzeczywistym (LEA), których celem było aresztowanie osób powiązanych z LockBit. Zajęta witryna została wykorzystana przez organy ścigania do wysłania ostrzeżenia bezpośrednio do podmiotów stowarzyszonych. Organy ścigania wykorzystały witrynę i markę wycieków LockBit do dokładnego wyśmiewania i oczerniania LockBit i jego podmiotów stowarzyszonych, a organy ścigania stwierdziły, iż przejęły ponad 200 portfeli kryptowalut i ponad 1000 kluczy deszyfrujących” – dodał.
Oczekiwany rozwój
Semperis wiceprezydent Wielkiej Brytanii i Irlandii Dan Lattimer powiedział, iż nie jest zaskoczony szybkim ponownym pojawieniem się LockBit.
„Tylko w zeszłym roku ta grupa cyberprzestępcza ukradła ponad 100 milionów dolarów okupu; nie zamierzali odejść cicho z wiatrem po tym, jak zostali zawstydzeni przez kontyngent światowych organów ścigania” – powiedział.
„Ogólnie rzecz biorąc, walka między obrońcami a przeciwnikami to bitwa całodobowa i tylko kwestią czasu było pojawienie się grupy w całości lub jej członkowie dołączyli do innych grup zajmujących się oprogramowaniem ransomware.
„W zeszłym tygodniu ostrzegałem klientów i partnerów Semperis, aby nie tracili z pola widzenia faktu, iż LockBit ponownie się pojawi, i aby zawsze zakładali, iż nastąpi naruszenie bezpieczeństwa. Nigdy nie możesz stracić czujności przed aktorami zagrażającymi, a budowanie odporności operacyjnej, w tym planu tworzenia kopii zapasowych i odzyskiwania danych, jest niezbędne do ochrony kluczowych zasobów Twoich pracowników, klientów i partnerów” – powiedział Lattimer.
Rubrik CISO na region EMEA Richard Cassidy dodał: „Należy zadać sobie pytanie, czy zasoby finansowe takich grup jak Blokadamają nieco szerszy zakres niż zespoły organów ścigania, których zadaniem jest zakłócanie tych działań. Blokada są wyjątkowo dobrze finansowani dzięki powodzeniu swoich operacji – zgromadzili około 91 milionów dolarów od samych organizacji amerykańskich, dlatego mają siłę ekonomiczną do przegrupowania się i opracowania nowych taktyk, technik i procedur, ucząc się i dostosowując się do błędów, które doprowadziły do ich zakłóceń , w razie potrzeby zmieniając w ten sposób swoje podejście.
„Ten cykliczny charakter zakłóceń w egzekwowaniu prawa i ponowne pojawienie się grup zajmujących się oprogramowaniem ransomware wskazuje na szerszy problem w ekosystemie cyberprzestępczości. Problem polega zasadniczo na przyczynach ataków systemu ransomware, takich jak zachęty finansowe, względna anonimowość transakcji kryptowalutowych oraz wykrywanie w nieskończoność luk w zabezpieczeniach, które pozostają nierozwiązane.
„Do tego czasu możemy spodziewać się, iż cykl zakłóceń i odrodzenia polegający na powtarzaniu płukania będzie kontynuowany w dającej się przewidzieć przyszłości” – powiedział Cassidy.
