Wiadomość o płodnym, niebezpiecznym i budzącym strach kartelu systemu ransomware LockBit znacząco zakłócony przez brytyjską Narodową Agencję ds. Przestępczości (NCA), FBI i inne podmioty, zostało przyjęte z zadowoleniem przez społeczność zajmującą się bezpieczeństwem cybernetycznym.
Operacja Cronos, która toczyła się po cichu przez kilka miesięcy, podczas której NCA i partnerzy skompromitowali infrastrukturę gangu i przejęli aktywa, w tym serwery, dostosowane do indywidualnych potrzeb narzędzia i ciemne strony internetowe używane przez operację i jej podmioty stowarzyszone.
Władze zamroziły także szereg kont kryptowalut powiązanych z gangiem LockBit i teraz wiemy, iż dwie osoby zostały zatrzymane w areszcie policyjnym w Polsce i na Ukrainie.
Eksperci optymistyczni
Wśród ekspertów ds. bezpieczeństwa, którzy skontaktowali się z „Computer Weekly” po usunięciu, nastroje były ogólnie pozytywne
„Blokada stała się najbardziej płodną grupą zajmującą się oprogramowaniem ransomware od czasu odejścia Conti w połowie 2022 r. Częstotliwość ich ataków w połączeniu z brakiem ograniczeń co do rodzaju niszczonej infrastruktury sprawiła, iż są one najbardziej destrukcyjne w ostatnich latach” – powiedział Chester Wiśniewski, dyrektor i globalny CTO w firmie Sofos. „Wszystko, co zakłóca ich działalność i powoduje brak zaufania wśród podmiotów stowarzyszonych i dostawców, jest ogromną wygraną dla organów ścigania”.
ESETU globalny doradca ds. bezpieczeństwa cybernetycznego Jake Moore powiedział: „Niezwykle trudno jest złapać cyberprzestępców, zwłaszcza tych działających w dużych grupach operacyjnych, dlatego kluczową taktyką policji jest zakłócanie porządku. Usunięcie witryny LockBit będzie ogromnym ciosem dla cyberprzestępców i choć nie wyeliminuje problemu, zakłóci działanie sieci przestępczej, potencjalnie oszczędzając firmom miliony funtów na ukierunkowanych działaniach.
„Pokazuje sukcesy współpracujących ze sobą organów ścigania oraz pokazuje, iż jest to przez cały czas najlepszy sposób namierzania powiązanych podmiotów zagrażających.
„Zlokalizowanie wystarczających dowodów jest najtrudniejszym aspektem w każdym dochodzeniu w sprawie cyberprzestępczości, ale pokazuje to, iż przy wystarczającej sile i proaktywnych działaniach policji przestępczość nie zawsze będzie się opłacać” – powiedział Moore.
Z Bezpiecznym dyrektor ds. wywiadu i działań informacyjnych dotyczących zagrożeń Tim West powiedział, iż skala operacji, której szczegóły wciąż wychodzą na jaw, jest godna świętowania.
„Komentarz europejskich organów ścigania opisuje kompleksowe przejęcie całej infrastruktury wymaganej do prowadzenia operacji ransomware. Rozłożone w czasie ujawnianie danych na stronie wycieku Lockbita jest nie tylko niezwykle zawstydzające dla Lockbit, ale także może sugerować, iż oni sami nie znają zakresu podjętych działań” – powiedział West.
„Jedno wiemy na pewno, iż zespół organów ścigania z pewnością dokładnie rozważy krótko- i długoterminowe możliwości wpływu, aby zapewnić maksymalne zakłócenia i nałożyć maksymalne koszty na Lockbit, dlatego wspieramy wszelkie działania, które utrudniają lub utrudniają ich działania kontynuacja operacji. Z tego powodu świętujemy bez wątpienia skomplikowaną i trudną operację i gratulujemy osobom zaangażowanym w tę operację”.
Jamie Moles, starszy menedżer techniczny w EkstraHopstwierdził, iż niedawne działania organów ścigania skupiają się na infrastrukturze cyberprzestępczej – zobacz podobne operacje przeciwko takim graczom jak Hive I ALPHV/Czarnykat – były adekwatną drogą.
„Chociaż w przeszłości dyskutowano o sankcjach wobec podejrzanych członków gangów i zakazach nakładania przez firmy okupów, metody te są w dużej mierze nieskuteczne. Członkowie gangów często mieszkają w krajach, w których nie obowiązują przepisy dotyczące ekstradycji, a zakazy płacenia okupu karzą zaangażowane firmy surowiej niż gangi, na które te przepisy mają być skierowane” – powiedział Moles.
„Możliwość bezpośredniego ataku organów ścigania na infrastrukturę, z której korzystają te gangi w celu sprzedaży skradzionych danych i pobierania okupu, znacznie zmniejsza rentowność przedsięwzięcia. Widzimy, iż tworząc wrogie środowisko dla tych gangów, wspólne wysiłki organów ścigania mające na celu ograniczenie szkodliwej aktywności w Internecie zaczynają przynosić owoce”.
Ciemne dni w ciemnej sieci
Naukowcy z Cyberprzeszukiwaczktórzy odwiedzają podziemne fora poświęcone cyberprzestępczości, aby zmierzyć temperaturę rówieśnikom z LockBit, twierdzą, iż śmierć gangu spotkała się z mieszanymi reakcjami.
Na rosyjskojęzycznym forum XSS, którego głównym przedstawicielem LockBit, LockBitSupp, był aktywnym uczestnikiem, wątek dotyczący wiadomości wywołał ponad sto komentarzy, z których wiele było zaniepokojonych tym, jak grupa wielkości i wzrostu LockBit została usunięta, inni zaniepokojeni w sprawie zajęcia przez adekwatny organ krajowy kluczy deszyfrujących.
Ogólnie rzecz biorąc, panuje ogólna zgoda co do tego, iż jakaś forma LockBita będzie przez cały czas istnieć – jednak eksperci Searchlight zauważyli, iż wiele postaci nie było pewnych, czy powinny się martwić, czy nie, biorąc pod uwagę ograniczone dostępne dotychczas informacje.
Czy krytyczna luka w PHP została wykorzystana przeciwko LockBit?
Aby dodatkowo podnieść morale, inni członkowie forum XSS aktywnie obwiniali LockBit za złe bezpieczeństwo operacyjne.
Do bardziej intrygujących ciekawostek, które wyciekły w ciągu ostatniego dnia, zalicza się możliwość – wyśmiewana przez pozostających na wolności administratorów LockBit – iż NCA i jej partnerzy odkryli gangowi krytyczną lukę w zabezpieczeniach PHP.
Jak zawsze, oświadczeń cyberprzestępców nigdy nie należy brać dosłownie. Niemniej jednak sugestia, iż upadek LockBit miał więcej niż tylko trochę wspólnego z brakiem odpowiedniej ochrony własnych czynników ryzyka dla bezpieczeństwa cybernetycznego, nadaje tej historii przyjemną ironię.
„Grupy zajmujące się oprogramowaniem ransomware często wykorzystują dostępne publicznie luki w zabezpieczeniach, aby infekować swoje ofiary oprogramowaniem ransomware [but] tym razem Operacja Cronos dała operatorom LockBit przedsmak ich własnego leku” – powiedział Huseyin Can Yuceel, badacz bezpieczeństwa w firmie Bezpieczeństwo Picusa.
„Według administratorów LockBit organy ścigania wykorzystały lukę w zabezpieczeniach PHP CVE-2023-3824 w celu naruszenia bezpieczeństwa publicznych serwerów LockBit i uzyskania dostępu do kodu źródłowego LockBit, wewnętrznego czatu, danych ofiar i skradzionych danych”.
CVE-2023-3824 to krytyczna luka w powszechnie stosowanych zabezpieczeniach PHP język skryptowy ogólnego przeznaczenia typu open source. Występuje w niektórych wersjach języka, gdy niewystarczające sprawdzenie długości może prowadzić do przepełnienia bufora stosu, co skutkuje uszkodzeniem pamięci lub zdalnym wykonaniem kodu (RCE).
„Chociaż grupa LockBit twierdzi, iż posiada nietknięte serwery zapasowe, nie jest jasne, czy wrócą one do trybu online. w tej chwili współpracownicy LockBit nie mają możliwości logowania się do usług LockBit. W wiadomości Tox przeciwnicy powiedzieli swoim współpracownikom, iż po przebudowie opublikują nową stronę wycieków” – powiedział Yuceel.
Odbudowa LockBita
To właśnie do tego momentu wielu obserwatorów, których dogoniliśmy, powraca konsekwentnie – to, iż przedsięwzięcie cyberprzestępcze zostało znacząco zakłócone, nie oznacza, iż to koniec drogi dla LockBit.
„W krótkiej perspektywie doprowadzi to do zatrzymania lub ograniczenia emisji Blokada infekcje. Podejrzewam, iż w dłuższej perspektywie wszystko będzie przebiegać normalnie. jeżeli weźmiemy pod uwagę pierwotną przyczynę problemów Blokada exploitów, dzisiejsze wiadomości nie naprawiły żadnego z nich” – powiedział Ed Williams, wiceprezes ds. testów piórkowych w regionie EMEA w firmie Trustwave.
„Zdolność do wewnętrznego, bocznego ruchu jest dziś w większości organizacji tak samo trywialna, jak wczoraj. Dałbym temu dwa do trzech miesięcy, po których zobaczymy reinkarnację tego rodzaju systemu ransomware, które, jak podejrzewam, będzie jeszcze bardziej wyrafinowane, ponieważ cyberprzestępcy wyciągną wnioski z dzisiejszego dnia i będą w stanie lepiej zatrzeć ślady do przodu.”
Opinię Williamsa podzielali inni. Matt Hull, Grupa NCK był wśród nich globalny szef wywiadu o zagrożeniach. Powiedział: „Bez wątpienia ludzie będą się zastanawiać, czy LockBit może się odbić. Grupa twierdziła, iż ma kopie zapasowe swoich systemów i danych. W przeszłości widzieliśmy, jak różni operatorzy systemu ransomware zmieniali markę, łączyli siły z innymi grupami lub wracali kilka miesięcy później.
„W nadchodzących dniach i tygodniach będziemy mieli lepszy pogląd na pełny zakres operacji Cronos i prawdziwe możliwości grupy LockBit”.
Camellia Chan, dyrektor generalna i współzałożycielka Flexxonpowiedział: „Nie możemy spodziewać się gangu, który uderzył w ICBC [China’s largest bank] z cyberatakiem jest tak źle zakłócił rynek amerykańskich obligacji skarbowych poddać się bez walki. LockBit może choćby z czasem wymyślić się na nowo, jak widzieliśmy w przypadku innych rebrandingów gangów ransomware. Ponadto nie ma wątpliwości, iż tuż za rogiem czają się inni ugrupowania zagrażające. Dla przedsiębiorstw powinien to być sygnał ostrzegawczy, aby wzmocnić obronę”.
Williams dodał: „Głównym problemem jest to, jak gwałtownie te grupy systemu ransomware mogą przegrupować i ponownie uruchomić swoje usługi przy większym stopniu zaawansowania. To ciągła gra w kotka i myszkę, podczas której niewinne organizacje muszą w dalszym ciągu koncentrować się na zabezpieczeniu siebie i uczynieniu z nich „twardego orzecha do zgryzienia”. Firmy na całym świecie powinny potraktować dzisiejsze wiadomości jako okazję do przeglądu swoich „trzech P”: haseł, instalowania poprawek i zasad”.
Wskazówki dotyczące bezpieczeństwa po usunięciu LockBita są jasne – wykorzystaj potencjał krótkiej przerwy w aktywności systemu ransomware, aby wzmocnić swoją obronę.
„Firmy nie powinny ograniczać wysiłków na rzecz ochrony swoich danych, tożsamości i infrastruktury” – stwierdziła Netwrix Wiceprezes ds. CISO i badań nad bezpieczeństwem w regionie EMEA, Dirk Schrader.
„Posłuchaj rady, iż uncja zapobiegania jest lepsza niż funt leczenia. Upewnij się, iż Twoje konta są chronione dzięki MFA, iż uprawnienia są ograniczone do minimum potrzebnego do wykonania zadania i istnieją tylko na czas, iż Twoje systemy są wzmocnione, a Twoje ważne dane są zabezpieczone. Zobaczymy, czy LockBit pozostanie nieczynny, ale z pewnością inni są gotowi wypełnić pustkę.
