В течение многих лет Lockbit широко считался главной операцией вымогателей, часто похвалившейся за его предполагаемый профессионализм и эффективность, сродни хорошо смазанному запуск Силиконовой долины. Тем не менее, значительная утечка партнерской панели 4.0 в мае в мае резко демонтировала эту иллюзию, выявив операцию, пронизанную дезорганизацией, внутренними конфликтами и поразительными несоответствиями.
Утечка, которая обеспечила беспрецедентную информацию о внутренней работе операции вымогателей, как услуга (RAAS), обнаружила оппортунистическую и хаотическую экосистему. Он включал в себя более 4000 сообщений чата между филиалами Lockbit и их жертвами, тысячи сборки вымогателей, внутренние теги пользователей и обширные данные криптоволлета. Эта трасса информации нарисовала картину, далекую, удаленную от дисциплинированного преступного предприятия, вместо этого подчеркивая фрагментированный и непредсказуемый ландшафт угроз.
Ключевым откровением от утечки было широкое игнорирование собственных оперативных правил Lockbit. Партнеры часто игнорировали жертвы, поставляли неисправные инструменты дешифрования и даже обходили платежи на платформу, избегая его стандартного сокращения на 20%. В одном заметном случае, партнер обвинил поврежденные файлы на антивирусном программном обеспечении и поручил жертве дождаться правильного инструмента расшифровки, потому что «босс очень занят», в конечном итоге перестая общение.
Возможно, наиболее поразительно, аффилированные лица нагло нарушили явное правило Локбита против нацеливания российских организаций. В феврале две российские правительственные организации подверглись нападению. Чтобы смягчить ущерб репутации и содержать загадки, администраторы Lockbit вмешались, предлагая свободные дешипторы пострадавшим организациям. Партнер, ответственный за эти атаки, был впоследствии приостановлен и помечен «Target».
Финансовые аспекты операций Lockbit, как показано в утечке, были одинаково запутаны. Из 159 биткойн -кошельков, выявленных в связи с попытками вымогательства, только 19 фактически получили средства. В то время как некоторые филиалы, возможно, договорились за пределами платформы Lockbit для обхода взносов, общий показатель успеха для сбора выкуп был удивительно низким. Например, один филиал успешно вымогал более 2 миллионов долларов у швейцарского облачного поставщика, но подавляющее большинство филиалов ушли ни с чем, не подчеркивая неустойчивый характер финансовой отдачи в группе.
Противостоятельно, эта присущая дезорганизация не делает групп вымогателей менее опасными; Скорее, это делает их более грозными и сложными для защиты. Отсутствие последовательной структуры и оперативных стандартов не позволяет защитникам разрабатывать предсказуемую пьесу. Изменчивость в поведении партнеров-где можно предложить соглашения о поддержке и чести, в то время как другой исчезает после выкупа,-содержит планирование реагирования на инциденты и разрушает любую предполагаемую ценность при выкупе. Кроме того, нет никакой гарантии, что украденные данные будут уничтожены или храниться в секрете; Данные от нарушений могут всплыть через несколько месяцев, выявляя частные переговоры или уязвимости безопасности еще долго после того, как организация считает, что кризис был сдержан.
Партнерская модель, как продемонстрировано утечкой Lockbit, по -видимому, стимулирует безрассудство. Несмотря на то, что репутация бренда имеет решающее значение для успешного предприятия RAAS, утечка показала удивительное отсутствие последствий для филиалов, которые нарушили условия обслуживания. Это отсутствие подотчетности может побудить субъекта рисковать, требовать больших выкуп и двигаться дальше с минимальными или без последствий, динамика, которую, по мнению исследователей, может распространяться на другие предприятия RAAS.
Учитывая эту хаотическую реальность, единственной рациональной защитой является всеобъемлющая подготовка. Это включает в себя надежную сегментацию сети, бдительный мониторинг бокового движения, реализацию многофакторной аутентификации и своевременное исправление известных уязвимостей. Это также требует репетиции планов реагирования на инциденты с критическим предположением, что помощь может не реализовать даже после выплаты выкупа.
Утечка Lockbit вряд ли будет изолированным инцидентом. Поскольку давление в правоохранительных органах усиливает и финансовые стимулы для операций вымогателей потенциально ослабляют, ожидается увеличение борьбы в группах вымогателей. Эта внутренняя борьба, уже подозреваемая администраторами Lockbit, может предоставить бесценные данные реального мира для исследователей безопасности.
Ожидается, что такое борьба приведет к снижению выдающихся брендовых групп, замененных пролиферацией гетерогенных субъектов, работающих в коротких непредсказуемых всплесках. Этот сдвиг усложнит усилия по атрибуции и сделает угрозу интеллекта мрачнее. Ландшафт RAAS будет все больше напоминать многолюдную и нестабильную среду, а не структурированную корпоративную иерархию.
Защита слишком часто сосредотачивается вокруг конкретных брендов, таких как Conti, Lockbit или Blackcat, создавая ложное смысл, что понимание бренда приравнивается к пониманию основной угрозы. Тем не менее, эти имена часто являются одноразовыми идентичностями, предназначенными для правдоподобного отрицания, технологического удобства и краткосрочной финансовой выгоды. Полагаясь на них, предлагает вводящее в заблуждение чувство ясности в постоянно развивающейся ландшафте угроз.
Утечка Lockbit 4.0 служит критическим тревожным вызовом, подчеркивая, что угроза вымогателей больше не является (или, возможно, никогда не была) последовательно организована, централизована или полностью предсказуемо. Вместо этого он фрагментирован, оппортунистический и становится все более хаотичным с каждым днем. Стратегическая готовность имеет первостепенное значение для успешной защиты. Организации, которые не подготовлены, несомненно, столкнутся с повышенной неопределенностью из -за непредсказуемого и в значительной степени необъяснимого характера этих злоумышленников.
Несмотря на проблемы, существует оптимизм: снижение подотчетности за угроза может привести к менее успешным брендам RAAS, что потенциально приводит к снижению набора технической тактики, методов и процедур (TTP) для защиты сети для противодействия. Исследователи, изучающие тактику переговоров, также могут предоставить важные сигналы для оценки надежности актера угроз, независимо от их бренда, тем самым минимизируя потенциальные потери. Наконец, растущая осведомленность об этой все более неорганизованной экосистеме, в сочетании с целевыми защитными стратегиями, может в конечном итоге сделать бизнес вымогателей невыгодным, по крайней мере, до следующей эволюции их методов.
