LockBit ransomware: Demontaža i Povratak

LockBit ransomware operacije su prekinute 20. februara 2024. godine u koordinisanom naporu 11 zemalja, čije su agencije za sprovođenje zakona zadale su značajan udarac zlonamjernim akterima koji stoje iza ovog zlonamjernog softvera u zajedničkoj operaciji pod nazivom “Operation Cronos”.

LOCKBIT

LockBit grupa je dominantna sila u ransomware ekosistemu koja funkcioniše po modelu ransomware kao uslugu (eng. ransomware-as-a-service – RaaS). Ovakav model poslovanje je omogućio regrutovanje partnera za izvršavanje napada, što je značajno proširilo uticaj ove grupe na različite sektore širom svijeta.

U 2022. godini LockBit ransomware je identifikovan kao najčešće korištena ransomware varijanta, a tako je nastavio i u 2023. godini po podacima Agencije za sajber bezbjednost i bezbjednost infrastrukture (eng. Cybersecurity and Infrastructure Security Agency – CISA). LockBit ransomware se primjenjuje putem kompromitovanih linkova na internet stranicama, phishing napada, krađe akreditiva ili drugih metoda. Ova grupa zajedno sa svojim partnerima je ciljala više od 2.000 žrtava od svog prvog pojavljivanja u januaru 2020. godine, sa više od 120 miliona američkih dolara uplata u kritičnim infrastrukturnim sektorima kao što su finansijske usluge, zdravstvo i vlada.

Grupa je vodila internet stranice za ransomware kao uslugu kao legitiman posao, nudeći stranicu za objavljivanje podataka, program za nagrađivanje grešaka za pronađene ransomware ranjivosti i redovna ažuriranja, a napadači poznati kao “partneri” bi dobijali ransomware sa LockBit lokacija. Inovativne taktike grupe i upotreba pojednostavljenog korisničkog okruženja “pokaži i klikni” za svoj ransomware učinili su ga dostupnim partnerima sa različitim nivoima tehničkih vještina, što je doprinijelo njegovom širokom usvajanju.

 

“Na visoko konkurentnom i glomaznom tržištu, LockBit je postao najunosniji i najdominantniji ransomware operater. Pristupio je ransomware-u kao globalnoj poslovnoj prilici i uskladio svoje operacije, shodno tome, proširujući se kroz partnere brzinom koja je jednostavno nadmašila druge operacije.”

 – Don Smith, vice president of threat research at Secureworks CTU –

 

LOCKBIT: DEMONTAŽA

U koordinisanoj akciji, nazvanoj Operation Cronos, učestvovale su policijske agencije iz 11 zemalja, uključujući Nacionalnu agenciju za borbu protiv kriminala Velike Britanije, FBI, Europol i druge iz Francuske, Japana, Švajcarske, Kanade, Australije, Švedske, Holandije, Finske i Njemačke.

U utorak 20. februara 2024. godine posjetioci internet stranice na Mračnom internetu koju LockBit ransomware grupa koristi za objavljivanje ukradenih podataka o žrtvama i iznuđivanje otkupnine dočekani porukom u kojoj se kaže da je stranica sada pod kontrolom Nacionalne agencije za borbu protiv kriminala (NCA) i partnera za sprovođenje zakona.

 “Ova lokacija je sada pod kontrolom Nacionalne agencije za borbu protiv kriminala Velike Britanije, koja radi u bliskoj saradnji sa FBI i međunarodnom radnom grupom za sprovođenje zakona, “Operation Cronos”. Možemo potvrditi da su LockBit usluge poremećene kao rezultat međunarodne akcije za sprovođenje zakona – ovo je operacija koja je u toku i još traje.”

 – LockBit’s leak site seizure notice –

 

Istovremeno, prema dostupnim informacijama, LockBit partneri koji pristupaju LockBit panelu suočavaju se sa drugom porukom operativne grupe “Operation Cronos”:

 

“Agencija za sprovođenje zakona je preuzela kontrolu nad LockBit platformom i dobila sve informacije koje se tamo nalaze. Ove informacije se odnose na grupu LockBit i vas, njihovog partnera. Imamo izvorni kôd, detalje o žrtvama koje ste napali, količinu novca koji je iznuđen, ukradene podatke, ćaskanje i još mnogo, mnogo više. Možete zahvaliti Lockbitsupp i njihovoj manjkavoj infrastrukturi za ovu situaciju.. možda ćemo uskoro biti u kontaktu sa vama.”

 – VX-Underground –

 

Ova operacija je samo posljednja u nizu akcija za sprovođenje zakona usmjerenih na ransomware grupe, pa su tako krajem prošle godine, FBI i druge agencije uklonile internet lokacije i infrastrukturu koji pripadaju Qakbot, Rangar Locker i drugim grupama.

 

“Ovo je bila godina akcije za Ministarstvo pravde u našim naporima da se okrenemo strategiji ometanja. Nastavićete da vidite isti tempo akcije usmjerene na prevenciju, na poremećaje i na žrtve, i ja bih rekla “pratite nas”.”

 – Lisa Monaco, Deputy Attorney –

 

Agencije za sprovođenje zakona su objavile da su uklonjena 34  LockBit servera u Holandiji, Njemačkoj, Finskoj, Francuskoj, Švajcarskoj, Australiji, SAD i Velikoj Britaniji. Među ovim serverima bila su tri koja su se nalazila u SAD koja su bila odgovorna za funkcionisanje LockBit alata StealBit za eksfiltraciju podataka koji koriste partneri tokom napada. Više od 200 naloga za kriptovalute je takođe zamrznuto i prikupljena je “ogromna količina podataka” nakon preuzimanja kontrole nad pozadinom operacije.

Ovo uključuje više od 1.000 ključeva za dešifrovanje. Nacionalnu agenciju za borbu protiv kriminala će direktno kontaktirati žrtve iz Velike Britanije, dok se onima u SAD savjetuje da posjete novi namjenski FBI portal kako bi utvrdili da li se njihove datoteke mogu dešifrovati. Pored toga, dekriptori će biti dodati na Evropolovm portalu “No More Ransom” i biće dostupni na 37 jezika.

 

StealBit

StealBit je LockBit alata za eksfiltraciju podataka ponuđen parterima na korištenje. Godinama se mnogo govorilo o raznim LockBit ransomware korisnim tovarima i njegovom modelu dvostruke iznude, ali StealBit je manje poznati zlonamjerni softver koji je prvi put korišćen u LockBit 2.0 napadima koji datiraju iz 2021. godine. Agencije za sprovođenje zakona su objavile analizu ove alatke, naglašavajući važnost ovog alata u LockBit napadima za partnere koji ga koriste.

Partneri vrše krađu podatak od žrtava prije nego što se ransomware pokrene, odnosno prije nego što organizacijama bude zaključan pristup njihovim sistemima, uz pomoć StealBit alata koji je zaštićen lozinkom. Jednom kada se primjeni, ovaj alat omogućava LockBit ransomware partnerima da izaberu datoteke iz određenog direktorijuma ili cijelog računara. Izabrane datoteke se zatim šalju nazad u LockBit infrastrukturu preko jednog od šest proxy servera koristeći WebDAV zaglavlje, koje sadrži novo ime datoteke dužine 33 znaka, koje počinje sa 0 ili 1, putanjom datoteke, imenom računara i jedinstvenim identifikatorom. Jedinstveni identifikator je ono što omogućava partnerima da im se pripiše određena krađa podataka i ono što vođe LockBit ransomware grupe koriste da vide ko treba da bude plaćen za koji napad na korisnike.

Ako StealBit alatka ne može da se poveže sa svojom IP adresom upisanom u kôd koja se koristi za slanje ukradenih podataka nazad na LockBit infrastrukturu, on će se isključiti i deinstalirati kako bi izbjegao otkrivanje. Najčešći metod eksfiltriranja podataka je prebacivanje podataka kroz sopstvenu infrastrukturu partnera pre StealBit alatke, za koji agencije za sprovođenje zakona kažu da je metoda sprečavanja onih koji reaguju na incidente da lociraju servere zlonamjernog softvera.

 

“StealBit  je primjer LockBit pokušaja da svojim partnerima ponudi potpunu uslugu “sve na jednom mestu”, šifrovanje, eksfiltraciju, pregovaranje, objavljivanje. U suštini, mi smo u potpunosti analizirali i razumjeli kako ovaj zlonamjerni softver i njegova povezana infrastruktura funkcionišu. Locirali smo i uništili servere i možemo da ih ponovo lociramo ako neko bude dovoljno zaveden da pokuša da ga koristi.”

 – seized website reads –

 

Sigurnosni propusti

Uspjeh agencija za sprovođenje zakona je možda počeo sa ne ažuriranom sigurnosnom ranjivošću CVE 2023-3824, ako je vjerovati dostupnim informacijama. To znači da neko može biti profesionalno i kriminalno orijentisani zlonamjerni akter, ali ne znači da je veoma dobar u obezbjeđivanju sopstvene infrastrukture.

Jednom kada je na serveru na kojem su se objavljivale ukradeni korisnički podaci iskorištena ranjivost, agencije za sprovođenje zakona su vjerovatno bile u stanju da fizički zauzmu servere koji vode operaciju i počnu da otkrivaju sve više i više prateće infrastrukture. Ovakav pristup uopšte nije nov, jer je već viđeno da agencije za sprovođenje zakona hakuju kriminalnu infrastrukturu i u ranijim slučajevima, ponekad koristeći ranjivosti nultog dana u pretraživačima i alatima, a nekada hvatajući kriminalce da prave grešku zaboravljajući da koriste VPN ili Tor pretraživač, što dovodi do njihove identifikacije i privođenja. Ove greške operativne bezbjednosti (eng. operation security – OpSec) na kraju uništavaju čak i najsofisticiranije kriminalce.

Treba ipak imati u vidu da agencije za sprovođenje zakona nisu u potpunosti onemogućile LockBit infrastrukturu, jer je nekoliko internet lokacija na Mračnom internetu dalje dostupno, uključujući najštetniju od svih — onu na kojoj se nalaze ukradeni podaci od žrtava kako bi se koristili za razotkrivanje kao čin odmazde u slučaju da žrtva ne plati.

 

Odgovornost

Operation Cronos se nije smo odnosila na demontažu LockBit ransomware, već je bilo i po jedno hapšenje u Ukrajini i Poljskoj partnera ove grupe. To se nadovezuje na prethodna dva koja su napravi SAD i Kanada posljednjih godina. Mihail Vasiljev i Ruslan Magomedovič Astamirov, uhapšeni 2022. i 2023. godine, od kojih je jedan u pritvoru u Kanadi i čeka ekstradiciju, a jedan je u pritvoru u SAD i čeka suđenje zbog svojih uloga u razvoju i primjeni LockBit ransomware zlonamjernog softvera.

 Američko ministarstvo pravde takođe je otpečatilo optužnicu koja tereti ruske državljane i objavilo sankcije protiv Ivana Genadijevič Kondratjeav, zvanog Bassterlord i Fisheye, navodnog vođe pridružene LockBit podgrupe pod nazivom National Hazard Society i Artura Sungatova, saradnika koji je aktivno učestvovao u LockBit napadima. Kondratjeav se povezuje i sa ransomware grupama REvil, RansomEXX i Avaddon.

 

Finansije

Analize agencija za sprovođenje zakona pokazuju da je LockBit ransomware grupa primila više od 125 miliona američkih dolara za otkupninu u proteklih 18 mjeseci, prema analizi stotina novčanika kriptovaluta povezanih sa operacijom. Pored toga, smatra se da je ova grupa možda generisala više od milijardu američkih dolara naknada za otkup tokom svog četvorogodišnjeg životnog vijeka.

Iako se procenat koji uzima LockBit ransomware grupa obično razlikuje, oko 20% ukupnog otkupa se plaća LockBit organizaciji, dok partneri koji su stvarno izvršili napad zadržavaju ostatak. To u suštini znači da je stvarna ukupna suma novca iznuđena od žrtava znatno veća, vjerovatno mjerna stotinama miliona američkih dolara.

Ovo su analitički podaci uzeti samo za period od 18. mjeseci, od jula 2022. godine do februara 2024. godine. Uzimajući u obzir da je LockBit ransomware grupa radila oko četiri i po godine pre nego što su agencije za sprovođenje zakona došle do ovih podataka, postoji vjerovatnoća da je suma iznuđena od žrtava zbog ovog vreme je iznosilo više milijardi američkih dolara – zapanjujući podvig sajber kriminala.

 

Sumnja izdaje

Nakon što su zapjenile digitalnu infrastrukturu LockBit ransomware grupe, agencije za sprovođenje zakona koje stoje iza te operacije sprovele su neobičnu kampanju za razmjenu poruka koja je osmišljena da stvori pitanja u glavama zlonamjernih aktera o prisustvu izdajice u njihovoj sredini.

 

“LockBitSupp pojedinac(e) koji stoji iza ličnosti koja predstavlja LockBit ransomware uslugu na forumima za sajber kriminal kao što su Exploit i XSS, “sarađivao je sa organima za sprovođenje zakona”. Znamo ko je on. Znamo gdje živi. Znamo koliko vrijedi. LockBitSupp se angažovao sa organima za sprovođenje zakona.”

 – message posted on the now-seized (and offline) dark web data leak site –

 

Međutim, u razgovoru sa grupom za istraživanje zlonamjernog softvera VX-Underground, LockBit je izjavio da “ne vjeruju da organi za sprovođenje zakona znaju njegov/njen/njihov identitet”. Ovo se generalno može posmatrati kao dugoročni pokušaj da se stvor sumnja i posije sjeme nepovjerenja među partnerima, što na kraju potkopava povjerenje u grupu unutar ekosistema sajber kriminala. Prema istraživanjima kompanije Analyst1 u avgustu 2023. godine, postoje dokazi koji sugerišu da su najmanje tri različite osobe upravljale nalozima “LockBit” i “LockBitSupp”, od kojih je jedan bio i sam vođa grupe.

 

LOCKBIT: NEXT-GEN

Programeri LockBit ransomware grupe su tajno pravili novu verziju svog zlonamjernog softvera za šifrovanje datoteka, nazvanu LockBit-NG-Dev koja bi vjerovatno trebala postati LockBit 4.0, kada su agencije za sprovođenje zakona preuzele njihovu infrastrukturu.

Prethodna LockBit ransomware verzija je napisana u C/C++ programskom jeziku, dok nova verzija koja je u radu je .NET napisana, a čini se da je kompajliran sa CoreRT i upakovana sa MPRESS. Sigurnosna kompanija Trend Micro je u svojoj analizi istakla da zlonamjerni softver uključuje konfiguracionu datoteku u JSON formatu koja opisuje parametre izvršenja kao što su period izvršenja, detalji bilješke o otkupnini, jedinstveni identifikatori, RSA javni ključ i druge operativne oznake.

Iako analiza pokazuje da novom enkriptoru nedostaju neke karakteristike prisutne u prethodnim verzijama (npr. sposobnost samoproširivanja na inficiranim mrežama, štampanje poruke o otkupnini na štampačima žrtve), čini se da je u završnoj fazi razvoja i već nudi većinu očekivanih funkcionalnost. Nova verzija podržava tri režima šifrovanja (koristeći AES+RSA), odnosno “brzo”, “povremeno” i “puno”, ima prilagođeno izuzimanje datoteka ili direktorijuma i može nasumično da podesi nazive datoteka kako bi zakomplikovala napore oporavka.

Otkriće novog LockBit enkriptora je još jedan udarac za LockBit ransomware grupu koji je zadat od strane agencija za sprovođenje zakona kroz Operation Cronos. Čak i ako grupa još uvijek kontroliše rezervne servere, obnavljanje poslovanja trebalo bi da bude težak izazov kada je izvorni kôd za šifrovanje zlonamjernog softvera poznat sigurnosnim istraživačima.

 

NAGRADA ZA INFORMACIJE

Sjedinjene Američke Države nude velike nagrade za informacije o sajber kriminalcima povezanim sa nedavno prekinutom operacijom LockBit ransomware grupe, a agencije za sprovođenje zakona tvrde da su već identifikovale neke pojedince.

Državni sekretarijat SAD (eng. United States Department of State) je najavio nagrade u ukupnom iznosu do 15 miliona američkih dolara za informacije koje dovode do hapšenja i/ili osude pojedinaca koji učestvuju u LockBit ransomware napadima. Konkretno, nudi se do 10 miliona američkih dolara za informacije o LockBit liderima i do 5 miliona američkih dolara za informacije o njihovim poslovnim partnerima.

 

“Ovaj poremećaj će vjerovatno biti privremen i u najboljem slučaju minimalan za LockBit organizaciju. LockBit zlonamjerni softver je trenutno u trećoj velikoj reviziji i bez hapšenja jezgra tima koji ga je kreirao, možemo očekivati samo više.”

 – Jon Marler, cyber evangelist at Viking Cloud –

 

LOCKBIT: POVRATAK

Zlonamjerni akteri koji stoje iza LockBit ransomware grupe pojavili su se na mračnom internetu koristeći novu infrastrukturu, nekoliko dana nakon što je međunarodna operacija za sprovođenje zakona preuzela kontrolu nad njihovim serverima. To je podrazumijevalo premještanje portala za objavu ukradenih podataka na novu .onion adresu na TOR mreži uz navođenje 12 novih žrtava.

Zlonamjerni akteri su naveli da su neke od njihovih stranica zaplijenjene najvjerovatnije iskorištavanjem kritične PHP ranjivosti označene kao CVE-2023-3824, priznajući da nisu ažurirali PHP zbog “ličnog nemara i neodgovornost”.

 

“Shvatam da to možda nije bio ovaj CVE, već nešto drugo kao 0-dan za PHP, ali ne mogu biti 100% siguran, jer je već poznato da verzija instalirana na mojim serverima ima poznatu ranjivost, tako da je ovo najvjerovatnije kako se pristupalo serverima administratora i panela za ćaskanje i serveru bloga.”

 – LockBit –

 

U nastavku obrazloženja stoji da je grupa pokrenula novu internet stranicu za objavu ukradenih podataka koji navodi stotine organizacija žrtava i koji sadrži dugačku poruku objašnjenja događaja iz njihovog ugla. Iako je PHP ranjivost dovela o zaplene ranjivih lokacija, lokacije koje ne koriste jezik za skriptovanje nisu zaplenjene, pa su tako neke od rezervnih preslikanih lokacija povezane sa novom stranicom za objavu ukradenih podataka.

 

LockBit ransomware grupa kaže da su agencije za sprovođenje zakona nabavili 20.000 alata za dešifrovanje, uključujući 1.000 nezaštićenih verzija enkriptora (od 40.000 izdatih tokom petogodišnjeg rada LockBit grupe) i da je operacija bila reakcija na januarski napad u okrugu Fulton u Džordžiji i da „ukradeni dokumenti sadrže mnogo zanimljivih stvari i sudskih slučajeva Donalda Trampa koji bi mogli da utiču na predstojeće izbore u SAD“. Grupa je navela da server sa kojeg su agencije za sprovođenje zakona dobile više od 1.000 ključeva za dešifrovanje sadrži skoro 20.000 dešifratora, od kojih je većina zaštićena i čini oko polovine ukupnog broja dekriptori generisani od 2019. godine.

 

„Koji se zaključci mogu izvući iz ove situacije? Vrlo jednostavno, moram češće i više da napadam .gov sektor, nakon takvih napada FBI će biti primoran da mi pokaže slabosti i ranjivosti i učini me jačim.“

 – LockBitSupp –

 

LockBit ransomware grupa planira da nadogradi bezbjednost u svojoj infrastrukturi i pređe na ručno puštanje dekriptora i testnih dekriptora za žrtve, kao i da smjesti partnerski panel na više servera i svojim partnerima obezbijedi pristup različitim kopijama na osnovu nivoa povjerenja.

 

“Veoma sam zadovoljan što me je FBI razveselio, energizirao i natjerao da se maknem od zabave i trošenja novca, jako je teško sjedjeti za kompjuterom sa stotinama miliona dolara, jedino što me motiviše da radim je jaka konkurencija i FBI, postoji sportski interes i želja za takmičenjem.”

– LockBitSupp –

 

Duga obraćanja putem poruka LockBit grupe izgleda kao kontrola štete i pokušaj da se povrati kredibilitet narušene reputacije. Grupa je zadobila težak udarac i čak i ako je uspjela da vrati servere, partneri imaju dobar razlog da budu nepovjerljivi.

 

“Sve FBI akcije imaju za cilj da unište reputaciju mog partnerskog programa, moju demoralizaciju, žele da odem i dam otkaz, žele da me uplaše jer ne mogu da me pronađu i eliminišu, ne mogu da me zaustave.”

 – LockBitSupp –

 

Međutim, neki stručnjaci ne vjeruju da je LockBit grupa zaista nastavila sa radom i smatraju da je Operation Cronos stavila tačku na aktivnosti grupe, barem onakve kakvu smo poznavali do sada.

 

ZAKLJUČAK

Izvođenje ključnih hapšenja je najteži aspekt ometanja ransomware operacija, jer mnogi kriminalci žive u zemljama koje neće izručiti svoje građane zemljama koje sprovode ovakve operacije da bi se suočile sa suđenjem. Hapšenje nekoliko partnera može izgledati kao pobjeda agencija za sprovođenje zakona, ali rijetko nudi značajan uticaj koji može vidjeti na površini. Ukoliko se ne uhvate vođe tima i mozgovi koji stoje iza operacija, nastaviće se ciklus beskonačnog povratka ransomware grupa koje se smire na nekoliko mjeseci samo da bi se vratili pod novom maskom.

Tu je još jedan problem koji leži u strukturi ovih grupa, pošto su ove zlonamjerne grupe labavo povezane sa partnerima i djeluju pod nazivom brenda. Ako dođe do gašenja brenda to nužno ne utiče na same članove osnovne grupe. Uvođenje sankcija od strane SAD znači da je LockBit kao brend mrtav, pošto niti jedan entitet sa sjedištem u SAD neće biti voljan da plati otkupninu LockBit grupi. Međutim, ako se sutra ista grupa ljudi pojavi pod drugim imenom, to će biti druga priča i ciklus će biti započet iznova. Sankcije su samo prepreke, a ne prava dugoročna riješenja za ransomware problem.

Bez obzira šta se dalje dešava, cijeli slučaj ilustruje neke neprijatne istine. Izgleda da su LockBit procedure oporavka od katastrofe mnogo bolje od onih koje primjenjuju njegove žrtve. To najbolje dokazuje njihov brzi povratak, nakon što su im agencije za sprovođenje zakona preuzele dio infrastrukture, demonstrirajući na najbolji način koliko su moćni i odlučni. Iako su neki od njihovih resursa zapljenjeni, jasno je da im je ostalo još dosta. Bez hapšenja svih njihovih članova, LockBit ransomware grupa će se vraćati svaki put sve jača.

Na kraju, čak i da budu uhapšeno jezgro LockBit ransomware grupe, agencije za sprovođenje zakona su svjesne da su uključene u borbu protiv vjetrenjača, jer zaustavljanjem jedne ransomware grupe druga zauzima njeno mjesto.