Lockbitia pidettiin vuosien ajan laajalti pääasiallisena lunasohjelmaoperaationa, jota usein kiitettiin sen oletetusta ammattimaisuudesta ja tehokkuudesta, muistuttaa hyvin öljyttyä Piilaakson käynnistystä. Toukokuussa Lockbitin 4.0 tytäryhtiöpaneelin merkittävä vuoto on kuitenkin dramaattisesti purannut tämän illuusion paljastaen hajoamisen, sisäisten konfliktien ja silmiinpistävien epäjohdonmukaisuuksien operaation.
Vuoto, joka antoi ennennäkemättömän kuvan Ransomware-as-palvelun (RAAS) operaation sisäisestä toiminnasta, paljasti opportunistisen ja kaoottisen ekosysteemin. Se sisälsi yli 4000 chat -viestiä Lockbit -tytäryhtiöiden ja heidän uhrinsa välillä, tuhannet lunasohjelmiston rakennukset, sisäiset käyttäjätunnisteet ja laajat kryptowallet -tiedot. Tämä tietopoisto maalasi kuvan, joka on kaukana usein kuvitellusta kurinalaisesta rikollisyrityksestä, sen sijaan korosti pirstoutunutta ja arvaamatonta uhkamaisemaa.
Keskeinen paljastus vuodosta oli Lockbitin omien operatiivisten sääntöjen laajalle levinnyt laiminlyönti. Tytäryhtiöt jättivät usein huomiotta uhrit, toimittivat vialliset salauksenpoistotyökalut ja jopa kiertävät maksuja alustalle välttäen siten sen standardin 20% leikkauksen. Yhdessä huomattavassa esimerkissä tytäryhtiö syytti vioittuneita tiedostoja virustorjuntaohjelmistossa ja kehotti uhria odottamaan oikeaa salauksen purkutyökalua, koska ”pomo on erittäin kiireinen”, lopulta lakkauttaen viestintää kokonaan.
Ehkä silmiinpistävintä, tytäryhtiöt rikkovat räikeästi Lockbitin nimenomaista sääntöä kohdistamaan venäläisiä järjestöjä. Helmikuussa hyökättiin kahta Venäjän hallituksen yhteisöä. Mainevahinkojen lieventämiseksi ja laskeutumisen sisältämiseksi Lockbit -järjestelmänvalvojat puuttuivat asiaan tarjoamalla ilmaisia dekryptoreita sairastuneille organisaatioille. Näistä hyökkäyksistä vastuussa oleva tytäryhtiö keskeytettiin myöhemmin ja merkittiin ”RU -tavoitteella”.
Lockbitin toiminnan taloudelliset näkökohdat, kuten vuoto paljasti, olivat yhtä sekavia. Kiristysyritysten yhteydessä tunnistetuista 159 Bitcoin -lompakosta vain 19 sai tosiasiallisesti varoja. Vaikka jotkut tytäryhtiöt ovat saattaneet neuvotella Lockbit -alustan ulkopuolella ohitusmaksujen ohittamiseksi, lunastusten keräämisen yleinen onnistumisaste oli huomattavan alhainen. Esimerkiksi yksi tytäryhtiö kiristi menestyksekkäästi yli 2 miljoonaa dollaria Sveitsin pilvipalveluntarjoajalta, mutta suurin osa tytäryhtiöistä käveli ilman mitään, korostaen ryhmän taloudellisen tuoton epätasaista luonnetta.
Vasta -intuitiivisesti tämä luontainen hajoaminen ei tee ransomware -ryhmistä vähemmän vaarallisia; Pikemminkin se tekee heistä valtavan ja haastavamman puolustaa vastaan. Johdonmukaisten rakenteiden ja toimintastandardien puuttuminen estää puolustajia kehittämästä ennustettavissa olevaa pelikirjaa. Tykylästen käyttäytymisen vaihtelu-missä voi tarjota tuki- ja kunniasopimuksia, kun taas toinen katoaa lehtien jälkeisenä-täyttää tapahtumien vastauksen suunnittelun ja heikentää koettua arvoa lunasan maksamisessa. Lisäksi ei ole mitään takeita siitä, että varastetut tiedot tuhoutuvat tai pidetään salassa; Rikkomusten tiedot voivat pinnata kuukausia myöhemmin, paljastamalla yksityisiä neuvotteluja tai turvallisuushaavoittuvuuksia kauan sen jälkeen, kun organisaatio uskoo kriisin olevan.
Affiliaattimalli, kuten Lockbit -vuoto osoittaa, näyttää kannustavan holtittavuutta. Huolimatta tuotemerkin maineesta, joka oli ratkaisevan tärkeää onnistuneelle RAAS -yrityksille, vuoto osoitti yllättävää vaikutusta koskevia vaikutuksia tytäryhtiöille, jotka rikkoivat palvelusehtoja. Tämä vastuuvelvollisuuden puute voi kannustaa toimijoita ottamaan suurempia riskejä, vaatimaan suurempia lunnauksia ja siirtymään vähäisillä tai ilman mitään seurauksia, dynaaminen, jonka tutkijat spekuloivat, voivat ulottua muihin RAAS -yrityksiin.
Tämän kaoottisen todellisuuden vuoksi ainoa rationaalinen puolustus on kattava valmistelu. Tämä sisältää vankan verkon segmentoinnin, valppauden seurannan sivuttaisliikkeelle, monitektorien todennuksen toteuttaminen ja tunnettujen haavoittuvuuksien oikea -aikainen korjaus. Se edellyttää myös tapausten reagointisuunnitelmien harjoittamista kriittisellä oletuksella, että apu ei välttämättä toteudu edes lunasan maksamisen jälkeen.
Lockbit -vuoto ei todennäköisesti ole yksittäinen tapaus. Kun lainvalvontapaine tehostuu ja taloudelliset kannustimet Ransomware -toimintoihin potentiaalisesti vähenee, odotetaan lisääntynyttä taisteluita lunastusohjelma -ryhmissä. Tämä Lockbit-järjestelmänvalvojien epäilemat sisäiset kiistat voisivat tarjota arvokkaita tutkijoille korvaamattomia reaalimaailman tietoja.
Tällaisen taistelun odotetaan johtavan näkyvien, tuotemerkkien ryhmien vähentymiseen, ja ne korvattiin lyhyissä, arvaamattomien purskeiden toimivissa heterogeenisten toimijoiden leviämisellä. Tämä muutos vaikeuttaa määrityspyrkimyksiä ja tekee uhkailun tiedustelusta. Raas -maisema muistuttaa yhä enemmän tungosta ja epävakaa ympäristöä kuin jäsennelty yrityshierarkia.
Puolustukset keskittyvät liian usein tiettyjen tuotemerkkien, kuten Conti, Lockbit tai Blackcat, ympärille väärän käsityksen luominen, että brändin ymmärtäminen merkitsee taustalla olevan uhan ymmärtämistä. Nämä nimet ovat kuitenkin usein kertakäyttöisiä identiteettejä, jotka on suunniteltu uskottavaan kieltäytymiseen, teknologiseen mukavuuteen ja lyhytaikaiseen taloudelliseen hyötyyn. Heihin luottaminen tarjoaa harhaanjohtavan selkeyden tunteen jatkuvasti kehittyvässä uhkamaisemassa.
Lockbit 4.0 -vuoto toimii kriittisenä herätyspuheluna, jossa korostetaan, että lunasohjelmauhka ei ole enää (tai ehkä koskaan ollut) johdonmukaisesti järjestetty, keskitetty tai täysin ennustettavissa. Sen sijaan se on pirstoutunut, opportunistinen ja muuttuu kaoottisemmaksi päivään mennessä. Strateginen valmius on ensiarvoisen tärkeää menestyvälle puolustukselle. Organisaatiot, jotka eivät ole valmisteltavia
Haasteista huolimatta on optimismi: uhkien toimijoiden vähentynyt vastuu voi johtaa vähemmän onnistuneisiin RAAS -tuotemerkeihin, mikä mahdollisesti johtaa vähentyneeseen tekniseen taktiikkaan, tekniikoihin ja menettelyihin (TTP) verkkopuolustukselle. Neuvottelutaktiikat tutkivat tutkijat voivat myös tarjota tärkeitä signaaleja uhkatoimijan luotettavuuden arvioimiseksi heidän tuotemerkistään riippumatta, minimoimalla mahdolliset tappiot. Lopuksi, kasvava tietoisuus tästä yhä häiriintymättömästä ekosysteemistä yhdistettynä kohdennettuihin puolustusstrategioihin voisi viime kädessä tehdä ransomware -liiketoiminnasta kannattamattoman ainakin heidän menetelmänsä seuraavaan kehitykseen saakka.
