Przez lata Lockbit był powszechnie uważany za najważniejszą operację oprogramowania ransomware, często chwaloną ze względu na rzekomy profesjonalizm i wydajność, podobny do dobrze oleczonego startupu z Doliny Krzemowej. Jednak znaczny wyciek panelu partnerskiego Lockbit 4.0 w maju dramatycznie zdemontował tę iluzję, ujawniając operację pełną dezorganizacji, konfliktów wewnętrznych i uderzających niespójności.
Wyciek, który zapewnił bezprecedensowy wgląd w wewnętrzne funkcjonowanie operacji ransomware-as-a-service (RAAS), ujawnił ekosystem oportunistyczny i chaotyczny. Obejmowało ponad 4000 wiadomości czatu między podmiotami stowarzyszonymi Lockbit a ich ofiarami, tysiące kompilacji oprogramowania ransomware, wewnętrznych tagów użytkowników i obszernych danych kryptowallet. Ta zmiana informacji pomalowała zdjęcie dalekie od zdyscyplinowanego przedsięwzięcia karnego często wyobrażanego, podkreślając fragmentaryczny i nieprzewidywalny krajobraz zagrożenia.
Kluczowym objawieniem z wycieku było powszechne lekceważenie własnych zasad operacyjnych Lockbit. Podmioty stowarzyszone często ignorowane ofiary, dostarczają wadliwych narzędzi do deszyfrowania, a nawet omijane płatności na platformę, unikając w ten sposób standardowego cięcia o 20%. W jednym znaczącym przypadku stowarzyszenie obwiniło uszkodzone pliki za oprogramowanie antywirusowe i poinstruował ofiarę, aby czekała na prawidłowe narzędzie do deszyfrowania, ponieważ „szef jest bardzo zajęty”, ostatecznie całkowicie zaprzestał komunikacji.
Być może najbardziej uderzające, afiliatorzy bezczelnie naruszyli wyraźną zasadę Lockbita przeciwko kierowaniu na rosyjskie organizacje. W lutym zaatakowano dwie rosyjskie podmioty rządowe. Aby złagodzić obrażenia reputacyjne i zawierać opad, administratorzy Lockbit interweniowali, oferując bezpłatne odszyfrniki dotkniętym organizacjom. Partner odpowiedzialny za te ataki został następnie zawieszony i oznaczony „Ru Target”.
Finansowe aspekty działalności Lockbit, jak ujawniono wyciek, były równie zamulowane. Spośród 159 portfeli bitcoin zidentyfikowanych w związku z próbami wymuszenia tylko 19 otrzymało fundusze. Podczas gdy niektórzy podmioty stowarzyszone mogli negocjować poza platformą Lockbit w celu obejścia opłat, ogólny wskaźnik powodzenia w zbieraniu okupów był niezwykle niski. Na przykład jeden partner z powodzeniem wymuszał ponad 2 miliony dolarów od szwajcarskiego dostawcy chmury, ale zdecydowana większość podmiotów stowarzyszonych odszedł z niczego, podkreślając nieregularny charakter zwrotów finansowych w grupie.
Niezbędnie ta nieodłączna dezorganizacja nie sprawia, że grupy oprogramowania ransomware są mniej niebezpieczne; To raczej czyni je bardziej grozicznymi i trudnymi do obrony. Brak spójnej struktury i standardów operacyjnych uniemożliwia obrońcom opracowanie przewidywalnego podręcznika. Zmienność zachowań partnerskich-gdzie można zaoferować umowy o wsparcie i honorowanie, podczas gdy inny znika po ransomie-komplikuje planowanie reakcji na incydenty i obniża jakąkolwiek postrzeganą wartość w płaceniu okupu. Ponadto nie ma gwarancji, że skradzione dane zostaną zniszczone lub zachowane w tajemnicy; Dane z naruszeń mogą powrócić kilka miesięcy później, ujawniając prywatne negocjacje lub słabości bezpieczeństwa długo po tym, jak organizacja uważa, że kryzys został zawarty.
Model partnerski, jak pokazał wyciek blokady, wydaje się zachęcać lekkomyślność. Pomimo tego, że reputacja marki jest kluczowa dla udanego przedsiębiorstwa RAAS, wyciek wykazał zaskakujący brak reperkusji dla podmiotów stowarzyszonych, którzy naruszyli warunki usług. Ten brak rozliczalności może skłonić podmioty w celu podjęcia większego ryzyka, wymagania większych okupów i przejścia z minimalnymi lub żadnymi konsekwencjami, dynamika, którą spekuluje naukowcy, może obejmować inne przedsięwzięcia RAAS.
Biorąc pod uwagę tę chaotyczną rzeczywistość, jedyną racjonalną obroną jest kompleksowe przygotowanie. Obejmuje to solidną segmentację sieci, czujne monitorowanie ruchu bocznego, wdrożenie uwierzytelniania wieloczynnikowego oraz terminowe łatanie znanych luk. Wymaga to również przećwiczenia planów reagowania na incydenty z krytycznym założeniem, że pomoc może się nie zmaterializować nawet po zapłaceniu okupu.
Wyciek blokady raczej nie będzie odizolowanym incydentem. Ponieważ presja organów ścigania nasila się i przewiduje się zachęty finansowe dotyczące operacji oprogramowania ransomware, przewiduje się zwiększenie walk w grupach ransomware. Ta wewnętrzna walka, już podejrzana przez administratorów Lockbit, mogłyby dostarczyć nieocenionych danych rzeczywistych dla badaczy bezpieczeństwa.
Oczekuje się, że takie walki doprowadzą do spadku wybitnych, markowych grup, zastąpionych przez rozprzestrzenianie heterogenicznych podmiotów działających w krótkich, nieprzewidywalnych seriach. Ta zmiana komplikuje działania atrybucyjne i sprawi, że inteligencja zagrożenia jest bardziej męcząca. Krajobraz RAAS będzie coraz bardziej przypominał zatłoczone i niestabilne środowisko, a nie ustrukturyzowaną hierarchię korporacyjną.
Obrona zbyt często koncentruje się na określonych nazwach marek, takich jak Conti, Lockbit lub Blackcat, tworząc fałszywe poczucie, że zrozumienie marki odpowiada zrozumieniu podstawowego zagrożenia. Jednak nazwy te są często tożsamościami jednorazowymi, zaprojektowanymi pod kątem prawdopodobnej zaprzeczania, wygody technologicznej i krótkoterminowych zysków finansowych. Poleganie na nich oferuje mylące poczucie jasności w stale ewoluujący krajobraz zagrożenia.
Wyciek Lockbit 4.0 służy jako krytyczne budzenie, podkreślając, że zagrożenie ransomware nie jest już (a może nigdy) konsekwentnie zorganizowane, scentralizowane lub całkowicie przewidywalne. Zamiast tego jest fragmentaryczny, oportunistyczny i staje się bardziej chaotyczny z dnia na dzień. Gotowość strategiczna jest najważniejsza dla udanej obrony. Organizacje, które nie przygotowują się bez wątpienia, będą bez wątpienia zwiększyć niepewność ze względu na nieprzewidywalną i w dużej mierze nieobliczalną naturę tych napastników.
Pomimo wyzwań istnieje optymizm: zmniejszona odpowiedzialność dla podmiotów zagrożenia może prowadzić do mniej udanych marek RAAS, potencjalnie powodując zmniejszenie zestawu taktyk technicznych, technik i procedur (TTPS) w celu przeciwdziałania obronie sieci. Naukowcy badający taktyki negocjacyjne mogą również dostarczyć kluczowych sygnałów w celu oceny wiarygodności aktora zagrożonego, niezależnie od ich marki, minimalizując w ten sposób potencjalne straty. Wreszcie rosnąca świadomość tego coraz bardziej zdezorganizowanego ekosystemu, w połączeniu ze ukierunkowanymi strategiami obronnymi, może ostatecznie sprawić, że działalność ransomware nie jest nieopłacalna, przynajmniej do następnej ewolucji ich metod.
