خبری که کارتل پربار، خطرناک و ترسناک LockBit باج افزار بوده است به طور قابل توجهی آسیب دیده است توسط آژانس ملی جرم و جنایت بریتانیا (NCA)، FBI و دیگران، مورد استقبال جامعه امنیت سایبری قرار گرفته است.
عملیات کرونوس که چندین ماه است بی سر و صدا در حال توسعه بوده است، شاهد به خطر افتادن NCA و شرکای زیرساخت های باند و توقیف دارایی ها از جمله سرورها، ابزارهای سفارشی و وب سایت های تاریک مورد استفاده این عملیات و شرکت های وابسته به آن بود.
مقامات همچنین تعدادی از حساب های ارزهای دیجیتال مرتبط با باند LockBit را مسدود کردند و اکنون می دانیم که دو نفر در بازداشت پلیس هستند در لهستان و اوکراین
کارشناسان خوش بین هستند
در میان کارشناسان امنیتی که Computer Weekly پس از حذف با آنها تماس گرفت، روحیه عموماً شاداب بود.
“Lockbit از زمانی که Conti در اواسط سال 2022 صحنه را ترک کرد، تبدیل به پرکارترین گروه باج افزار شده است. فراوانی حملات آنها، همراه با عدم محدودیت در نوع زیرساختی که فلج می کنند، آنها را به مخرب ترین آنها در سال های اخیر تبدیل کرده است. چستر گفت: Wisniewski، مدیر و مدیر ارشد فنی جهانی در سوفوس. هر چیزی که در عملیات آنها اختلال ایجاد کند و بین شرکت های وابسته و تامین کنندگان آنها بی اعتمادی ایجاد کند، یک پیروزی بزرگ برای اجرای قانون است.”
ESET جیک مور، مشاور امنیت سایبری جهانی، گفت: «به دام انداختن مجرمان سایبری، بهویژه آنهایی که در گروههای عملیاتی بزرگ هستند، بسیار دشوار است، بنابراین اختلال یک تاکتیک کلیدی پلیسی است. از بین بردن وب سایت LockBit ضربه بزرگی به مجرمان سایبری خواهد بود و اگرچه مشکل را ریشه کن نمی کند، اما شبکه جنایی را مختل می کند و به طور بالقوه باعث صرفه جویی میلیون ها پوند در فعالیت های هدفمند کسب و کارها می شود.
“این نشان می دهد که مجریان قانون با همکاری یکدیگر همکاری می کنند و چگونه این بهترین راه برای هدف قرار دادن تهدیدهای مرتبط باقی می ماند.
مور گفت: «یافتن شواهد کافی دشوارترین جنبه تحقیقات جرایم سایبری است، اما این نشان میدهد که با نیروی کافی و پلیس پیشگیرانه، جرم همیشه به سود خود ادامه نخواهد داد.»
WithSecure تیم وست، مدیر اطلاعات و انتشار تهدیدات، گفت که مقیاس این عملیات، که جزئیات آن همچنان آشکار می شود، شایسته تجلیل است.
اظهار نظر مجری قانون اروپا، توقیف همه جانبه زیرساختهای لازم برای اجرای عملیات باجافزار را توصیف میکند. وست گفت: انتشار تدریجی داده ها در سایت نشت داده های خود Lockbit نه تنها برای Lockbit بسیار شرم آور است، بلکه ممکن است نشان دهد که آنها خودشان از میزان اقدامات انجام شده اطلاعی ندارند.
“یک چیزی که ما می دانیم این است که مجموعه ای از سازمان های مجری قانون مطمئناً گزینه های تاثیر کوتاه مدت و بلندمدت را برای اطمینان از حداکثر اختلال و تحمیل حداکثر هزینه ها به Lockbit به دقت بررسی خواهند کرد، و ما از هر اقدامی که ادامه کار آنها را مختل یا مختل کند حمایت می کنیم. . به همین دلیل، عملیاتی که بدون شک یک عملیات پیچیده و دشوار خواهد بود را جشن می گیریم و به دست اندرکاران تبریک می گوییم.
جیمی مولز، مدیر فنی ارشد در ExtraHopگفت: اقدامات اخیر مجریان قانون برای هدف قرار دادن زیرساخت های مجرمان سایبری – عملیات مشابه را ببینید در برابر افرادی مانند Hive و ALPHV/گربه سیاه – راه درستی بودند
«در حالی که تحریمها علیه اعضای مظنون باند و ممنوعیت پرداخت باج از مشاغل در گذشته مورد بحث قرار گرفته است، این روشها تا حد زیادی بیاثر بودهاند. مولز گفت، اعضای باند اغلب در کشورهایی زندگی میکنند که قوانین استرداد آنها وجود ندارد و ممنوعیت پرداخت باج، شرکتهای درگیر را شدیدتر از باندهایی که این قوانین هدف قرار دادهاند، مجازات میکند.
توانایی مجریان قانون برای هدف قرار دادن مستقیم زیرساختهایی که این باندها برای فروش دادههای سرقت شده و جمعآوری پرداختهای باج به آن تکیه میکنند، سودآوری این تلاش را به میزان قابل توجهی کاهش میدهد. با ایجاد یک محیط خصمانه برای این باندها، میتوان شاهد ثمربخشی تلاشهای هماهنگ سازمانهای مجری قانون برای مهار فعالیتهای مخرب آنلاین باشیم.
روزهای تاریک در وب تاریک
محققان از Spotlight Cyberکه در انجمنهای زیرزمینی جرایم سایبری برای اندازهگیری دمای همتایان LockBit شرکت میکنند، میگویند که فروپاشی این باند واکنشهای متفاوتی را به دنبال داشته است.
در انجمن روسی زبان XSS، جایی که نماینده اصلی LockBit، LockBitSupp، یک شرکت کننده فعال بود، موضوعی در مورد این خبر بیش از صد نظر را به خود جلب کرد، بسیاری نگران این بودند که چگونه یک گروه از اندازه و قد LockBit حذف شده است، دیگران نگران بودند. توقیف کلیدهای رمزگشایی توسط NCA.
به طور کلی، توافق عمومی بر این است که نوعی از LockBit همچنان وجود خواهد داشت – اما کارشناسان Searchlight خاطرنشان کردند که با توجه به اطلاعات محدود موجود تا کنون، تعدادی از شخصیتها مطمئن نیستند که آیا باید نگران باشند یا نه.
آیا یک vuln حیاتی PHP در برابر LockBit استفاده شده است؟
در تقویت روحیه بیشتر، به نظر می رسید که سایر اعضای انجمن XSS به طور فعال LockBit را به دلیل امنیت عملیاتی ضعیف سرزنش می کنند.
در میان برخی از نکات جالبتر که در روز گذشته ظاهر شده است، این احتمال است که توسط مدیران LockBit که همچنان فعال هستند، اذیت شدهاند، که NCA و شرکای آن یک آسیبپذیری حیاتی PHP را به این باند تبدیل کردهاند.
مثل همیشه، اظهاراتی که توسط مجرمان سایبری بیان میشود، هرگز نباید به صورت رسمی تلقی شود. با این وجود، این پیشنهاد که سقوط LockBit بیش از کمی با شکست آن در محافظت درست از عوامل خطر امنیت سایبری خود ارتباط داشت، طنز خوبی به داستان اضافه می کند.
“گروه های باج افزار اغلب از آسیب پذیری های عمومی برای آلوده کردن قربانیان خود به باج افزار سوء استفاده می کنند. [but] حسین خان یوسل، محقق امنیتی در این باره گفت: این بار عملیات کرونوس به اپراتورهای LockBit طعم طب خود را داد. امنیت پیکوس.
طبق گفته مدیران LockBit، مجریان قانون از آسیبپذیری PHP CVE-2023-3824 برای به خطر انداختن سرورهای عمومی LockBit و دسترسی به کد منبع، چت داخلی، جزئیات قربانی و دادههای دزدیده شده LockBit استفاده کردند.
CVE-2023-3824 یک آسیب پذیری حیاتی است که به طور گسترده استفاده می شود PHP یک زبان برنامه نویسی با هدف عمومی منبع باز. در نسخههای خاصی از زبان زمانی رخ میدهد که بررسی طول ناکافی میتواند باعث سرریز شدن بافر پشته و در نتیجه خرابی حافظه یا اجرای کد از راه دور (RCE) شود.
اگرچه گروه LockBit ادعا می کند که سرورهای یدکی دست نخورده دارد، مشخص نیست که آیا آنها دوباره آنلاین خواهند شد یا خیر. LockBit Associates در حال حاضر قادر به دسترسی به خدمات LockBit نیست. در یک پیام Tox، دشمنان به همکاران خود گفتند که پس از بهبودی، یک سایت نشت جدید منتشر خواهند کرد.
بازیابی LockBit
در این مرحله است که بسیاری از ناظرانی که ما با آنها آشنا شدهایم مدام برمیگردند – فقط به این دلیل که یک شرکت مجرمان سایبری به طور قابل توجهی مختل شده است، به این معنی نیست که این پایان راه برای LockBit است.
در کوتاه مدت، این امر منجر به تعلیق یا کاهش خواهد شد.» Lockbit عفونت ها در درازمدت، من گمان میکنم که تجارت طبق روال معمول باشد. اگر به علت اصلی این موضوع نگاه کنیم Lockbit اد ویلیامز، معاون آزمایش قلم برای EMEA در این باره گفت: شاهکارهایی که هیچ یک از آنها با اخبار امروز برطرف نشده است. Trustwave.
«توانایی حرکت داخلی، جانبی، امروز به همان اندازه که دیروز بود، در بیشتر سازمان ها بی اهمیت است. دو تا سه ماه به آن فرصت میدهم، پس از آن شاهد تولد دوباره این باجافزار خواهیم بود، که گمان میکنم حتی پیچیدهتر خواهد بود، زیرا بازیگران تهدید از امروز درسهایی آموختهاند و میتوانند ردپای خود را با آن پوشش دهند. – برو جلو.»
احساسات ویلیامز توسط دیگران نیز به اشتراک گذاشته شد. مت هال، گروه NCC رئیس اطلاعات تهدیدات جهانی در میان آنها بود. او گفت: “بدون شک مردم تعجب خواهند کرد که آیا LockBit می تواند بازیابی شود. این گروه ادعا می کند که از سیستم ها و داده های خود نسخه پشتیبان تهیه کرده است. در گذشته اپراتورهای مختلف باجافزار را دیدهایم که نام تجاری خود را تغییر دادهاند، به گروههای دیگر ملحق شدهاند، یا چند ماه بعد به این کشور بازگشتهاند.
“ما در روزها و هفته های آینده ایده بهتری از دامنه کامل عملیات کرونوس و توانایی های واقعی گروه LockBit خواهیم داشت.”
کاملیا چان، مدیرعامل و یکی از بنیانگذاران فلکسونگفت: ما نمیتوانیم انتظار داشته باشیم که باندی که به ICBC حمله کرد [China’s largest bank] با چنین حمله سایبری بدی بازار اوراق خزانه آمریکا را به هم ریخت سقوط بدون مبارزه LockBit حتی میتواند در طول زمان خود را دوباره اختراع کند، همانطور که در مورد باجافزارهای باجافزار تغییر نامگذاری شده دیگر دیدهایم. به علاوه، شکی نیست که تهدیدات دیگری نیز در گوشه و کنار وجود دارد. برای کسب و کارها، این باید زنگ خطری برای تقویت دفاعی آنها باشد.
ویلیامز افزود: «مسئله اصلی این است که این گروههای باجافزار با چه سرعتی میتوانند خدمات خود را با پیچیدگی بهبود یافته دوباره جمعآوری کرده و بازسازی کنند. این یک بازی دائمی موش و گربه است که در آن سازمانهای بیگناه باید همچنان بر محافظت از خود و تبدیل کردن آنها به یک “مهره سخت” تمرکز کنند. کسبوکارها در سراسر جهان باید از اخبار امروز به عنوان فرصتی برای بررسی «سه P» خود استفاده کنند: گذرواژهها، وصلهها و خطمشیها.»
دستورالعملهای امنیتی پس از حذف LockBit واضح است – از پتانسیل یک استراحت کوتاه در فعالیت باجافزار برای تقویت دفاع خود استفاده کنید.
آنها گفتند: “شرکت ها نباید تلاش های خود را برای محافظت از داده ها، هویت و زیرساخت های خود کاهش دهند.” نتویکس منطقه CISO برای EMEA و معاون تحقیقات امنیتی، دیرک شریدر.
به این توصیه توجه کنید که یک اونس پیشگیری بهتر از یک پوند درمان است. مطمئن شوید که حسابهای شما با استفاده از MFA محافظت میشوند، امتیازات به حداقل لازم برای انجام کار کاهش مییابد و فقط به موقع وجود دارد، سیستمهای شما سختتر شده و دادههای حیاتی شما محافظت میشوند. ما خواهیم دید که آیا LockBit از کار می افتد یا خیر، اما مطمئناً دیگران آماده هستند تا جای خالی را پر کنند.”
