{"id":6244,"date":"2024-03-06T23:14:28","date_gmt":"2024-03-06T22:14:28","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6244"},"modified":"2024-03-06T23:14:28","modified_gmt":"2024-03-06T22:14:28","slug":"lockbit-ransomware-demontaza-i-povratak","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/","title":{"rendered":"LockBit ransomware: Demonta\u017ea i Povratak"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>LockBit<\/em> <em>ransomware<\/em> operacije su prekinute 20. februara 2024. godine u koordinisanom naporu 11 zemalja, \u010dije su agencije za sprovo\u0111enje zakona zadale su zna\u010dajan udarac <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> koji stoje iza ovog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> u zajedni\u010dkoj operaciji pod nazivom \u201c<a href=\"https:\/\/www.justice.gov\/opa\/pr\/us-and-uk-disrupt-lockbit-ransomware-variant\" target=\"_blank\" rel=\"noopener\"><em>Operation Cronos<\/em><\/a>\u201d.<\/span><\/p>\n<div id=\"attachment_6249\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6249\" class=\"size-full wp-image-6249\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware.jpg\" alt=\"LockBit\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/LockBit-ransomware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6249\" class=\"wp-caption-text\"><em>LockBit ransomware: Demonta\u017ea i Povratak; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#LOCKBIT\">LOCKBIT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#LOCKBIT_DEMONTAZA\">LOCKBIT: DEMONTA\u017dA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#StealBit\">StealBit<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#Sigurnosni_propusti\">Sigurnosni propusti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#Odgovornost\">Odgovornost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#Finansije\">Finansije<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#Sumnja_izdaje\">Sumnja izdaje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#LOCKBIT_NEXT-GEN\">LOCKBIT: NEXT-GEN<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#NAGRADA_ZA_INFORMACIJE\">NAGRADA ZA INFORMACIJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#LOCKBIT_POVRATAK\">LOCKBIT: POVRATAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/06\/lockbit-ransomware-demontaza-i-povratak\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"LOCKBIT\"><\/span><span style=\"font-size: 14pt;\"><strong><em>LOCKBIT<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>LockBit<\/em> grupa je dominantna sila u <em>ransomware <\/em>ekosistemu koja funkcioni\u0161e po modelu <em>ransomware<\/em> kao uslugu (eng. <em>ransomware-as-a-service \u2013 RaaS<\/em>). Ovakav model poslovanje je omogu\u0107io regrutovanje partnera za izvr\u0161avanje napada, \u0161to je zna\u010dajno pro\u0161irilo uticaj ove grupe na razli\u010dite sektore \u0161irom svijeta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U 2022. godini <em>LockBit ransomware <\/em>je identifikovan kao naj\u010de\u0161\u0107e kori\u0161tena <em>ransomware <\/em>varijanta, a tako je nastavio i u 2023. godini <a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa23-165a\" target=\"_blank\" rel=\"noopener\">po podacima Agencije za sajber bezbjednost i bezbjednost infrastrukture<\/a> (eng. <em>Cybersecurity and Infrastructure Security Agency \u2013 CISA<\/em>). <em>LockBit ransomware<\/em> se primjenjuje putem kompromitovanih linkova na internet stranicama, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"noopener\"><em>phishing<\/em> napada<\/a>, kra\u0111e akreditiva ili drugih metoda. Ov<em>a<\/em> grupa zajedno sa svojim partnerima je ciljala vi\u0161e od 2.000 \u017ertava od svog prvog pojavljivanja u januaru 2020. godine, sa vi\u0161e od 120 miliona ameri\u010dkih dolara uplata u kriti\u010dnim infrastrukturnim sektorima kao \u0161to su finansijske usluge, zdravstvo i vlada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Grupa je vodila internet stranice za <em>ransomware<\/em> kao uslugu kao legitiman posao, nude\u0107i stranicu za objavljivanje podataka, program za nagra\u0111ivanje gre\u0161aka za prona\u0111ene <em>ransomware <\/em>ranjivosti i redovna a\u017euriranja, a napada\u010di poznati kao \u201c<em>partneri<\/em>\u201d bi dobijali <em>ransomware<\/em> sa <em>LockBit<\/em> lokacija. Inovativne taktike grupe i upotreba pojednostavljenog korisni\u010dkog okru\u017eenja \u201c<em>poka\u017ei i klikni<\/em>\u201d za svoj <em>ransomware<\/em> u\u010dinili su ga dostupnim partnerima sa razli\u010ditim nivoima tehni\u010dkih vje\u0161tina, \u0161to je doprinijelo njegovom \u0161irokom usvajanju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cNa visoko konkurentnom i glomaznom tr\u017ei\u0161tu, LockBit je postao najunosniji i najdominantniji ransomware operater. Pristupio je ransomware-u kao globalnoj poslovnoj prilici i uskladio svoje operacije, shodno tome, pro\u0161iruju\u0107i se kroz partnere brzinom koja je jednostavno nadma\u0161ila druge operacije.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Don Smith, vice president of threat research at Secureworks CTU &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"LOCKBIT_DEMONTAZA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>LOCKBIT<\/em>: DEMONTA\u017dA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U koordinisanoj akciji, nazvanoj <em>Operation Cronos<\/em>, u\u010destvovale su policijske agencije iz 11 zemalja, uklju\u010duju\u0107i Nacionalnu agenciju za borbu protiv kriminala Velike Britanije, <em>FBI<\/em>, Europol i druge iz Francuske, Japana, \u0160vajcarske, Kanade, Australije, \u0160vedske, Holandije, Finske i Njema\u010dke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U utorak 20. februara 2024. godine posjetioci internet stranice na Mra\u010dnom internetu koju <em>LockBit ransomware<\/em> grupa koristi za objavljivanje ukradenih podataka o \u017ertvama i iznu\u0111ivanje otkupnine do\u010dekani porukom u kojoj se ka\u017ee da je stranica sada pod kontrolom Nacionalne agencije za borbu protiv kriminala (<em>NCA<\/em>) i partnera za sprovo\u0111enje zakona.<\/span><\/p>\n<div id=\"attachment_6250\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6250\" class=\"size-full wp-image-6250\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-seizure-announcement.png.webp\" alt=\"lockbit-seizure\" width=\"1024\" height=\"573\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-seizure-announcement.png.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-seizure-announcement.png-300x168.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-seizure-announcement.png-768x430.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-seizure-announcement.png-18x10.webp 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6250\" class=\"wp-caption-text\"><em>Seizure announcement on LockBit\u2019s leak site<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><em>\u201cOva lokacija je sada pod kontrolom Nacionalne agencije za borbu protiv kriminala Velike Britanije, koja radi u bliskoj saradnji sa FBI i me\u0111unarodnom radnom grupom za sprovo\u0111enje zakona, \u201cOperation Cronos\u201d. Mo\u017eemo potvrditi da su LockBit usluge poreme\u0107ene kao rezultat me\u0111unarodne akcije za sprovo\u0111enje zakona \u2013 ovo je operacija koja je u toku i jo\u0161 traje.\u201d<\/em><\/span><\/p>\n<blockquote>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; LockBit\u2019s leak site seizure notice &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Istovremeno, prema dostupnim informacijama, <em>LockBit<\/em> partneri koji pristupaju <em>LockBit<\/em> panelu suo\u010davaju se sa drugom porukom operativne grupe \u201c<em>Operation Cronos<\/em>\u201d:<\/span><\/p>\n<div id=\"attachment_6252\" style=\"width: 2009px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6252\" class=\"size-full wp-image-6252\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-panel.webp\" alt=\"lockbit-panel\" width=\"1999\" height=\"857\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-panel.webp 1999w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-panel-300x129.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-panel-1024x439.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-panel-768x329.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-panel-1536x659.webp 1536w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit-panel-18x8.webp 18w\" sizes=\"auto, (max-width: 1999px) 100vw, 1999px\" \/><p id=\"caption-attachment-6252\" class=\"wp-caption-text\"><em>When a Lockbit affiliate tries to log into the LockBit panel, this is what they see. (vx-underground)<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cAgencija za sprovo\u0111enje zakona je preuzela kontrolu nad LockBit platformom i dobila sve informacije koje se tamo nalaze. Ove informacije se odnose na grupu LockBit i vas, njihovog partnera. Imamo izvorni k\u00f4d, detalje o \u017ertvama koje ste napali, koli\u010dinu novca koji je iznu\u0111en, ukradene podatke, c\u0301askanje i jo\u0161 mnogo, mnogo vi\u0161e. Mo\u017eete zahvaliti Lockbitsupp i njihovoj manjkavoj infrastrukturi za ovu situaciju.. mo\u017eda \u0107emo uskoro biti u kontaktu sa vama.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/twitter.com\/vxunderground\/status\/1759708760929390879\" target=\"_blank\" rel=\"noopener\"><em>VX-Underground<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova operacija je samo posljednja u nizu akcija za sprovo\u0111enje zakona usmjerenih na <em>ransomware<\/em> grupe, pa su tako krajem pro\u0161le godine, <em>FBI<\/em> i druge agencije uklonile internet lokacije i infrastrukturu koji pripadaju <em>Qakbot<\/em>, <em>Rangar<\/em> <em>Locker<\/em> i drugim grupama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cOvo je bila godina akcije za Ministarstvo pravde u na\u0161im naporima da se okrenemo strategiji ometanja. Nastavi\u0107ete da vidite isti tempo akcije usmjerene na prevenciju, na poreme\u0107aje i na \u017ertve, i ja bih rekla \u201cpratite nas\u201d.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/therecord.media\/doj-moaco-us-focusing-on-rolling-up-ransomware-and-cybercriminals\" target=\"_blank\" rel=\"noopener\"><em>Lisa Monaco, Deputy Attorney<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Agencije za sprovo\u0111enje zakona su objavile da su uklonjena 34\u00a0 <em>LockBit<\/em> servera u Holandiji, Njema\u010dkoj, Finskoj, Francuskoj, \u0160vajcarskoj, Australiji, SAD i Velikoj Britaniji. Me\u0111u ovim serverima bila su tri koja su se nalazila u SAD koja su bila odgovorna za funkcionisanje <em>LockBit <\/em>alata <em>StealBit<\/em> za eksfiltraciju podataka koji koriste partneri tokom napada. Vi\u0161e od 200 naloga za kriptovalute je tako\u0111e zamrznuto i prikupljena je \u201c<em>ogromna koli\u010dina podataka<\/em>\u201d nakon preuzimanja kontrole nad pozadinom operacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovo uklju\u010duje vi\u0161e od 1.000 klju\u010deva za de\u0161ifrovanje. Nacionalnu agenciju za borbu protiv kriminala \u0107e direktno kontaktirati \u017ertve iz Velike Britanije, dok se onima u SAD savjetuje da posjete novi namjenski <em>FBI<\/em> portal kako bi utvrdili da li se njihove datoteke mogu de\u0161ifrovati. Pored toga, dekriptori \u0107e biti dodati na Evropolovm portalu \u201c<a href=\"https:\/\/www.nomoreransom.org\/en\/index.html\" target=\"_blank\" rel=\"noopener\"><em>No More Ransom<\/em><\/a>\u201d i bi\u0107e dostupni na 37 jezika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"StealBit\"><\/span><span style=\"font-size: 14pt;\"><strong><em>StealBit<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>StealBit<\/em> je <em>LockBit<\/em> alata za eksfiltraciju podataka ponu\u0111en parterima na kori\u0161tenje. Godinama se mnogo govorilo o raznim <em>LockBit ransomware<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnim tovarima<\/a> i njegovom modelu dvostruke iznude, ali <em>StealBit<\/em> je manje poznati zlonamjerni softver koji je prvi put kori\u0161\u0107en u <em>LockBit 2.0<\/em> napadima koji datiraju iz 2021. godine. Agencije za sprovo\u0111enje zakona su objavile analizu ove alatke, nagla\u0161avaju\u0107i va\u017enost ovog alata u <em>LockBit<\/em> napadima za partnere koji ga koriste.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Partneri vr\u0161e kra\u0111u podatak od \u017ertava prije nego \u0161to se <em>ransomware<\/em> pokrene, odnosno prije nego \u0161to organizacijama bude zaklju\u010dan pristup njihovim sistemima, uz pomo\u0107 <em>StealBit<\/em> alata koji je za\u0161ti\u0107en <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkom<\/a>. Jednom kada se primjeni, ovaj alat omogu\u0107ava <em>LockBit ransomware<\/em> partnerima da izaberu datoteke iz odre\u0111enog direktorijuma ili cijelog ra\u010dunara. Izabrane datoteke se zatim \u0161alju nazad u <em>LockBit<\/em> infrastrukturu preko jednog od \u0161est <em>proxy<\/em> servera koriste\u0107i <em>WebDAV<\/em> zaglavlje, koje sadr\u017ei novo ime datoteke du\u017eine 33 znaka, koje po\u010dinje sa 0 ili 1, putanjom datoteke, imenom ra\u010dunara i jedinstvenim identifikatorom. Jedinstveni identifikator je ono \u0161to omogu\u0107ava partnerima da im se pripi\u0161e odre\u0111ena kra\u0111a podataka i ono \u0161to vo\u0111e <em>LockBit<\/em> <em>ransomware<\/em> grupe koriste da vide ko treba da bude pla\u0107en za koji napad na korisnike.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ako <em>StealBit<\/em> alatka ne mo\u017ee da se pove\u017ee sa svojom <em>IP<\/em> adresom upisanom u k\u00f4d koja se koristi za slanje ukradenih podataka nazad na <em>LockBit<\/em> infrastrukturu, on \u0107e se isklju\u010diti i deinstalirati kako bi izbjegao otkrivanje. Naj\u010de\u0161\u0107i metod eksfiltriranja podataka je prebacivanje podataka kroz sopstvenu infrastrukturu partnera pre <em>StealBit<\/em> alatke, za koji agencije za sprovo\u0111enje zakona ka\u017eu da je metoda spre\u010davanja onih koji reaguju na incidente da lociraju servere zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cStealBit\u00a0 je primjer LockBit poku\u0161aja da svojim partnerima ponudi potpunu uslugu \u201csve na jednom mestu\u201d, \u0161ifrovanje, eksfiltraciju, pregovaranje, objavljivanje. U su\u0161tini, mi smo u potpunosti analizirali i razumjeli kako ovaj zlonamjerni softver i njegova povezana infrastruktura funkcioni\u0161u. Locirali smo i uni\u0161tili servere i mo\u017eemo da ih ponovo lociramo ako neko bude dovoljno zaveden da poku\u0161a da ga koristi.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\">&#8211; <em>seized website reads<\/em> &#8211;<\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sigurnosni_propusti\"><\/span><span style=\"font-size: 14pt;\"><strong>Sigurnosni propusti<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Uspjeh agencija za sprovo\u0111enje zakona je mo\u017eda po\u010deo sa ne a\u017euriranom sigurnosnom ranjivo\u0161\u0107u <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-3824\" target=\"_blank\" rel=\"noopener\"><em>CVE 2023-3824<\/em><\/a>, ako je vjerovati dostupnim informacijama. To zna\u010di da neko mo\u017ee biti profesionalno i kriminalno orijentisani zlonamjerni akter, ali ne zna\u010di da je veoma dobar u obezbje\u0111ivanju sopstvene infrastrukture.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom kada je na serveru na kojem su se objavljivale ukradeni korisni\u010dki podaci iskori\u0161tena ranjivost, agencije za sprovo\u0111enje zakona su vjerovatno bile u stanju da fizi\u010dki zauzmu servere koji vode operaciju i po\u010dnu da otkrivaju sve vi\u0161e i vi\u0161e prate\u0107e infrastrukture. Ovakav pristup uop\u0161te nije nov, jer je ve\u0107 vi\u0111eno da agencije za sprovo\u0111enje zakona hakuju kriminalnu infrastrukturu i u ranijim slu\u010dajevima, ponekad koriste\u0107i ranjivosti nultog dana u pretra\u017eiva\u010dima i alatima, a nekada hvataju\u0107i kriminalce da prave gre\u0161ku zaboravljaju\u0107i da koriste <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>VPN<\/em><\/a> ili <em>Tor<\/em> pretra\u017eiva\u010d, \u0161to dovodi do njihove identifikacije i privo\u0111enja. Ove gre\u0161ke operativne bezbjednosti (eng. <em>operation security \u2013 OpSec<\/em>) na kraju uni\u0161tavaju \u010dak i najsofisticiranije kriminalce.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Treba ipak imati u vidu da agencije za sprovo\u0111enje zakona nisu u potpunosti onemogu\u0107ile <em>LockBit<\/em> infrastrukturu, jer je nekoliko internet lokacija na Mra\u010dnom internetu dalje dostupno, uklju\u010duju\u0107i naj\u0161tetniju od svih \u2014 onu na kojoj se nalaze ukradeni podaci od \u017ertava kako bi se koristili za razotkrivanje kao \u010din odmazde u slu\u010daju da \u017ertva ne plati.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Odgovornost\"><\/span><span style=\"font-size: 14pt;\"><strong>Odgovornost<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Operation Cronos<\/em> se nije smo odnosila na demonta\u017eu <em>LockBit ransomware,<\/em> ve\u0107 je bilo i po jedno hap\u0161enje u Ukrajini i Poljskoj partnera ove grupe. To se nadovezuje na prethodna dva koja su napravi SAD i Kanada posljednjih godina. Mihail Vasiljev i Ruslan Magomedovi\u010d Astamirov, uhap\u0161eni 2022. i 2023. godine, od kojih je jedan u pritvoru u Kanadi i \u010deka ekstradiciju, a jedan je u pritvoru u SAD i \u010deka su\u0111enje zbog svojih uloga u razvoju i primjeni <em>LockBit ransomware<\/em> zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><span style=\"font-size: 14pt;\">Ameri\u010dko ministarstvo pravde tako\u0111e je <a href=\"https:\/\/www.justice.gov\/opa\/pr\/us-and-uk-disrupt-lockbit-ransomware-variant\" target=\"_blank\" rel=\"noopener\">otpe\u010datilo optu\u017enicu<\/a> koja tereti ruske dr\u017eavljane i objavilo sankcije protiv Ivana Genadijevi\u010d Kondratjeav, zvanog <em>Bassterlord<\/em> i <em>Fisheye<\/em>, navodnog vo\u0111e pridru\u017eene <em>LockBit <\/em>podgrupe pod nazivom <em>National<\/em> <em>Hazard<\/em> <em>Society<\/em> i Artura Sungatova, saradnika koji je aktivno u\u010destvovao u <em>LockBit<\/em> napadima. Kondratjeav se povezuje i sa <em>ransomware <\/em>grupama <em>REvil<\/em>, <em>RansomEXX<\/em> i <em>Avaddon<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Finansije\"><\/span><span style=\"font-size: 14pt;\"><strong>Finansije<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Analize agencija za sprovo\u0111enje zakona pokazuju da je <em>LockBit<\/em> <em>ransomware<\/em> grupa primila vi\u0161e od 125 miliona ameri\u010dkih dolara za otkupninu u proteklih 18 mjeseci, prema analizi stotina nov\u010danika kriptovaluta povezanih sa operacijom. Pored toga, smatra se da je ova grupa mo\u017eda generisala vi\u0161e od milijardu ameri\u010dkih dolara naknada za otkup tokom svog \u010detvorogodi\u0161njeg \u017eivotnog vijeka.<\/span><\/p>\n<div id=\"attachment_6255\" style=\"width: 610px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6255\" class=\"size-full wp-image-6255\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit_seized_finances.webp\" alt=\"lockbit_finances\" width=\"600\" height=\"926\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit_seized_finances.webp 600w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit_seized_finances-194x300.webp 194w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/lockbit_seized_finances-8x12.webp 8w\" sizes=\"auto, (max-width: 600px) 100vw, 600px\" \/><p id=\"caption-attachment-6255\" class=\"wp-caption-text\"><em>Infographic provided by the NCA illustrates LockBit's finances over the most recent 18-month period<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\">Iako se procenat koji uzima <em>LockBit<\/em> <em>ransomware<\/em> grupa obi\u010dno razlikuje, oko 20% ukupnog otkupa se pla\u0107a <em>LockBit<\/em> organizaciji, dok partneri koji su stvarno izvr\u0161ili napad zadr\u017eavaju ostatak. To u su\u0161tini zna\u010di da je stvarna ukupna suma novca iznu\u0111ena od \u017ertava znatno ve\u0107a, vjerovatno mjerna stotinama miliona ameri\u010dkih dolara.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovo su analiti\u010dki podaci uzeti samo za period od 18. mjeseci, od jula 2022. godine do februara 2024. godine. Uzimaju\u0107i u obzir da je <em>LockBit<\/em> <em>ransomware<\/em> grupa radila oko \u010detiri i po godine pre nego \u0161to su agencije za sprovo\u0111enje zakona do\u0161le do ovih podataka, postoji vjerovatno\u0107a da je suma iznu\u0111ena od \u017ertava zbog ovog vreme je iznosilo vi\u0161e milijardi ameri\u010dkih dolara \u2013 zapanjuju\u0107i podvig sajber kriminala.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sumnja_izdaje\"><\/span><span style=\"font-size: 14pt;\"><strong>Sumnja izdaje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Nakon \u0161to su zapjenile digitalnu infrastrukturu <em>LockBit<\/em> <em>ransomware<\/em> grupe, agencije za sprovo\u0111enje zakona koje stoje iza te operacije sprovele su neobi\u010dnu kampanju za razmjenu poruka koja je osmi\u0161ljena da stvori pitanja u glavama zlonamjernih aktera o prisustvu izdajice u njihovoj sredini.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cLockBitSupp pojedinac(e) koji stoji iza li\u010dnosti koja predstavlja LockBit ransomware uslugu na forumima za sajber kriminal kao \u0161to su Exploit i XSS, \u201csara\u0111ivao je sa organima za sprovo\u0111enje zakona\u201d. Znamo ko je on. Znamo gdje \u017eivi. Znamo koliko vrijedi. LockBitSupp se anga\u017eovao sa organima za sprovo\u0111enje zakona.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/github.com\/bugzorc\/LockbitBlogArchive\/tree\/main\" target=\"_blank\" rel=\"noopener\"><em>message posted on the now-seized (and offline) dark web data leak site<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, u razgovoru sa grupom za istra\u017eivanje zlonamjernog softvera <em>VX-Underground<\/em>, <em>LockBit<\/em> <a href=\"https:\/\/twitter.com\/vxunderground\/status\/1761031957104750864\" target=\"_blank\" rel=\"noopener\">je izjavio da<\/a> \u201c<em>ne vjeruju da organi za sprovo\u0111enje zakona znaju njegov\/njen\/njihov identitet<\/em>\u201d. Ovo se generalno mo\u017ee posmatrati kao dugoro\u010dni poku\u0161aj da se stvor sumnja i posije sjeme nepovjerenja me\u0111u partnerima, \u0161to na kraju potkopava povjerenje u grupu unutar ekosistema sajber kriminala. Prema istra\u017eivanjima kompanije <em>Analyst1<\/em> u avgustu 2023. godine, postoje dokazi koji sugeri\u0161u da su najmanje tri razli\u010dite osobe upravljale nalozima \u201c<em>LockBit<\/em>\u201d i \u201c<em>LockBitSupp<\/em>\u201d, od kojih je jedan bio i sam vo\u0111a grupe.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"LOCKBIT_NEXT-GEN\"><\/span><span style=\"font-size: 14pt;\"><strong><em>LOCKBIT<\/em>: <em>NEXT-GEN<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Programeri <em>LockBit<\/em> <em>ransomware<\/em> grupe su tajno pravili novu verziju svog zlonamjernog softvera za \u0161ifrovanje datoteka, nazvanu <em>LockBit-NG-Dev<\/em> koja bi vjerovatno trebala postati <em>LockBit 4.0<\/em>, kada su agencije za sprovo\u0111enje zakona preuzele njihovu infrastrukturu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prethodna <em>LockBit<\/em> <em>ransomware<\/em> verzija je napisana u <em>C\/C++<\/em> programskom jeziku, dok nova verzija koja je u radu je .<em>NET<\/em> napisana, a \u010dini se da je kompajliran sa <em>CoreRT<\/em> i upakovana sa <em>MPRESS<\/em>. Sigurnosna kompanija <em>Trend Micro<\/em> je <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/b\/lockbit-attempts-to-stay-afloat-with-a-new-version.html\" target=\"_blank\" rel=\"noopener\">u svojoj analizi istakla<\/a> da zlonamjerni softver uklju\u010duje konfiguracionu datoteku u <em>JSON<\/em> formatu koja opisuje parametre izvr\u0161enja kao \u0161to su period izvr\u0161enja, detalji bilje\u0161ke o otkupnini, jedinstveni identifikatori, <em>RSA<\/em> javni klju\u010d i druge operativne oznake.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Iako analiza pokazuje da novom enkriptoru nedostaju neke karakteristike prisutne u prethodnim verzijama (npr. sposobnost samopro\u0161irivanja na inficiranim mre\u017eama, \u0161tampanje poruke o otkupnini na \u0161tampa\u010dima \u017ertve), \u010dini se da je u zavr\u0161noj fazi razvoja i ve\u0107 nudi ve\u0107inu o\u010dekivanih funkcionalnost. Nova verzija podr\u017eava tri re\u017eima <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> (koriste\u0107i <em>AES<\/em>+<em>RSA<\/em>), odnosno \u201c<em>brzo<\/em>\u201d, \u201c<em>povremeno<\/em>\u201d i \u201c<em>puno<\/em>\u201d, ima prilago\u0111eno izuzimanje datoteka ili direktorijuma i mo\u017ee nasumi\u010dno da podesi nazive datoteka kako bi zakomplikovala napore oporavka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Otkri\u0107e novog <em>LockBit<\/em> enkriptora je jo\u0161 jedan udarac za <em>LockBit<\/em> <em>ransomware<\/em> grupu koji je zadat od strane agencija za sprovo\u0111enje zakona kroz <em>Operation Cronos<\/em>. \u010cak i ako grupa jo\u0161 uvijek kontroli\u0161e rezervne servere, obnavljanje poslovanja trebalo bi da bude te\u017eak izazov kada je izvorni k\u00f4d za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> zlonamjernog softvera poznat sigurnosnim istra\u017eiva\u010dima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"NAGRADA_ZA_INFORMACIJE\"><\/span><span style=\"font-size: 14pt;\"><strong>NAGRADA ZA INFORMACIJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sjedinjene Ameri\u010dke Dr\u017eave nude velike nagrade za informacije o sajber kriminalcima povezanim sa nedavno prekinutom operacijom <em>LockBit<\/em> <em>ransomware<\/em> grupe, a agencije za sprovo\u0111enje zakona tvrde da su ve\u0107 identifikovale neke pojedince.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Dr\u017eavni sekretarijat SAD (eng. <em>United States Department of State<\/em>) je <a href=\"https:\/\/www.state.gov\/reward-for-information-lockbit-ransomware-as-a-service\/\" target=\"_blank\" rel=\"noopener\">najavio nagrade<\/a> u ukupnom iznosu do 15 miliona ameri\u010dkih dolara za informacije koje dovode do hap\u0161enja i\/ili osude pojedinaca koji u\u010destvuju u <em>LockBit<\/em> <em>ransomware<\/em> napadima. Konkretno, nudi se do 10 miliona ameri\u010dkih dolara za informacije o <em>LockBit<\/em> liderima i do 5 miliona ameri\u010dkih dolara za informacije o njihovim poslovnim partnerima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cOvaj poreme\u0107aj \u0107e vjerovatno biti privremen i u najboljem slu\u010daju minimalan za LockBit organizaciju. LockBit zlonamjerni softver je trenutno u tre\u0107oj velikoj reviziji i bez hap\u0161enja jezgra tima koji ga je kreirao, mo\u017eemo o\u010dekivati samo vi\u0161e.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/www.vikingcloud.com\/blog\/lockbit-down-but-far-from-out\" target=\"_blank\" rel=\"noopener\"><em>Jon Marler, cyber evangelist at Viking Cloud<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"LOCKBIT_POVRATAK\"><\/span><span style=\"font-size: 14pt;\"><strong><em>LOCKBIT<\/em>: POVRATAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri koji stoje iza <em>LockBit<\/em> <em>ransomware<\/em> grupe pojavili su se na mra\u010dnom internetu koriste\u0107i novu infrastrukturu, nekoliko dana nakon \u0161to je me\u0111unarodna operacija za sprovo\u0111enje zakona preuzela kontrolu nad njihovim serverima. To je podrazumijevalo premje\u0161tanje portala za objavu ukradenih podataka na novu <em>.onion<\/em> adresu na <em>TOR<\/em> mre\u017ei uz navo\u0111enje 12 novih \u017ertava.<\/span><\/p>\n<div id=\"attachment_6253\" style=\"width: 1687px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6253\" class=\"size-full wp-image-6253\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Relaunched-LockBit-data-leak-site.webp\" alt=\"Relaunched LockBit\" width=\"1677\" height=\"736\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Relaunched-LockBit-data-leak-site.webp 1677w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Relaunched-LockBit-data-leak-site-300x132.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Relaunched-LockBit-data-leak-site-1024x449.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Relaunched-LockBit-data-leak-site-768x337.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Relaunched-LockBit-data-leak-site-1536x674.webp 1536w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Relaunched-LockBit-data-leak-site-18x8.webp 18w\" sizes=\"auto, (max-width: 1677px) 100vw, 1677px\" \/><p id=\"caption-attachment-6253\" class=\"wp-caption-text\"><em>Relaunched LockBit data leak site; Source: Security Affairs<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri su naveli da su neke od njihovih stranica zaplijenjene najvjerovatnije iskori\u0161tavanjem kriti\u010dne <em>PHP<\/em> ranjivosti ozna\u010dene kao <em>CVE-2023-3824<\/em>, priznaju\u0107i da nisu a\u017eurirali <em>PHP<\/em> zbog \u201c<em>li\u010dnog nemara i neodgovornost<\/em>\u201d.<\/span><\/p>\n<blockquote><p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>\u201cShvatam da to mo\u017eda nije bio ovaj CVE, ve\u0107 ne\u0161to drugo kao 0-dan za PHP, ali ne mogu biti 100% siguran, jer je ve\u0107 poznato da verzija instalirana na mojim serverima ima poznatu ranjivost, tako da je ovo najvjerovatnije kako se pristupalo serverima administratora i panela za c\u0301askanje i serveru bloga.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/samples.vx-underground.org\/tmp\/Lockbit_Statement_2024-02-24.txt\" target=\"_blank\" rel=\"noopener\"><em>LockBit<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">U nastavku obrazlo\u017eenja stoji da je grupa pokrenula novu internet stranicu za objavu ukradenih podataka koji navodi stotine organizacija \u017ertava i koji sadr\u017ei duga\u010dku poruku obja\u0161njenja doga\u0111aja iz njihovog ugla. Iako je <em>PHP<\/em> ranjivost dovela o zaplene ranjivih lokacija, lokacije koje ne koriste jezik za skriptovanje nisu zaplenjene, pa su tako neke od rezervnih preslikanih lokacija povezane sa novom stranicom za objavu ukradenih podataka.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>LockBit<\/em> <em>ransomware<\/em> grupa ka\u017ee da su agencije za sprovo\u0111enje zakona nabavili 20.000 alata za de\u0161ifrovanje, uklju\u010dujuc\u0301i 1.000 neza\u0161tic\u0301enih verzija enkriptora (od 40.000 izdatih tokom petogodi\u0161njeg rada <em>LockBit<\/em> grupe) i da je operacija bila reakcija na <a href=\"https:\/\/www.fox5atlanta.com\/news\/fulton-county-hit-by-unexpected-county-wide-it-outage\" target=\"_blank\" rel=\"noopener\">januarski napad u okrugu Fulton u D\u017eord\u017eiji<\/a> i da \u201e<em>ukradeni dokumenti sadr\u017ee mnogo zanimljivih stvari i sudskih slu\u010dajeva Donalda Trampa koji bi mogli da uti\u010du na predstojec\u0301e izbore u SAD\u201c<\/em>. Grupa je navela da server sa kojeg su agencije za sprovo\u0111enje zakona dobile vi\u0161e od 1.000 klju\u010deva za de\u0161ifrovanje sadr\u017ei skoro 20.000 de\u0161ifratora, od kojih je vec\u0301ina za\u0161tic\u0301ena i \u010dini oko polovine ukupnog broja dekriptori generisani od 2019. godine.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201eKoji se zaklju\u010dci mogu izvuc\u0301i iz ove situacije? Vrlo jednostavno, moram \u010de\u0161c\u0301e i vi\u0161e da napadam .gov sektor, nakon takvih napada FBI c\u0301e biti primoran da mi poka\u017ee slabosti i ranjivosti i u\u010dini me ja\u010dim.\u201c<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><strong><em>\u00a0<\/em><\/strong><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/www.scmagazine.com\/news\/lockbit-returns-after-takedown-with-new-extortion-threats\" target=\"_blank\" rel=\"noopener\"><em>LockBitSupp<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>LockBit<\/em> <em>ransomware<\/em> grupa planira da nadogradi bezbjednost u svojoj infrastrukturi i pre\u0111e na ru\u010dno pu\u0161tanje dekriptora i testnih dekriptora za \u017ertve, kao i da smjesti partnerski panel na vi\u0161e servera i svojim partnerima obezbijedi pristup razli\u010ditim kopijama na osnovu nivoa povjerenja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><em><span style=\"font-size: 14pt;\">\u201cVeoma sam zadovoljan \u0161to me je FBI razveselio, energizirao i natjerao da se maknem od zabave i tro\u0161enja novca, jako je te\u0161ko sjedjeti za kompjuterom sa stotinama miliona dolara, jedino \u0161to me motivi\u0161e da radim je jaka konkurencija i FBI, postoji sportski interes i \u017eelja za takmi\u010denjem.\u201d<\/span><\/em><\/p>\n<p style=\"text-align: right;\"><em><span style=\"font-size: 14pt;\">&#8211; <a href=\"https:\/\/www.theregister.com\/2024\/02\/26\/lockbit_back_in_action\/\" target=\"_blank\" rel=\"noopener\">LockBitSupp<\/a> &#8211;<\/span><\/em><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Duga obra\u0107anja putem poruka <em>LockBit<\/em> grupe izgleda kao kontrola \u0161tete i poku\u0161aj da se povrati kredibilitet naru\u0161ene reputacije. Grupa je zadobila te\u017eak udarac i \u010dak i ako je uspjela da vrati servere, partneri imaju dobar razlog da budu nepovjerljivi.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cSve FBI akcije imaju za cilj da uni\u0161te reputaciju mog partnerskog programa, moju demoralizaciju, \u017eele da odem i dam otkaz, \u017eele da me upla\u0161e jer ne mogu da me prona\u0111u i elimini\u0161u, ne mogu da me zaustave.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><em>&#8211; <\/em><a href=\"https:\/\/securityboulevard.com\/2024\/02\/lockbit-ransomware-group-returns-after-law-enforcement-operation\/\" target=\"_blank\" rel=\"noopener\"><em>LockBitSupp<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, neki stru\u010dnjaci ne vjeruju da je <em>LockBit<\/em> grupa zaista nastavila sa radom i smatraju da je <em>Operation Cronos<\/em> stavila ta\u010dku na aktivnosti grupe, barem onakve kakvu smo poznavali do sada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Izvo\u0111enje klju\u010dnih hap\u0161enja je najte\u017ei aspekt ometanja <em>ransomware <\/em>operacija, jer mnogi kriminalci \u017eive u zemljama koje ne\u0107e izru\u010diti svoje gra\u0111ane zemljama koje sprovode ovakve operacije da bi se suo\u010dile sa su\u0111enjem. Hap\u0161enje nekoliko partnera mo\u017ee izgledati kao pobjeda agencija za sprovo\u0111enje zakona, ali rijetko nudi zna\u010dajan uticaj koji mo\u017ee vidjeti na povr\u0161ini. Ukoliko se ne uhvate vo\u0111e tima i mozgovi koji stoje iza operacija, nastavi\u0107e se ciklus beskona\u010dnog povratka <em>ransomware <\/em>grupa koje se smire na nekoliko mjeseci samo da bi se vratili pod novom maskom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tu je jo\u0161 jedan problem koji le\u017ei u strukturi ovih grupa, po\u0161to su ove zlonamjerne grupe labavo povezane sa partnerima i djeluju pod nazivom brenda. Ako do\u0111e do ga\u0161enja brenda to nu\u017eno ne uti\u010de na same \u010dlanove osnovne grupe. Uvo\u0111enje sankcija od strane SAD zna\u010di da je <em>LockBit<\/em> kao brend mrtav, po\u0161to niti jedan entitet sa sjedi\u0161tem u SAD ne\u0107e biti voljan da plati otkupninu <em>LockBit<\/em> grupi. Me\u0111utim, ako se sutra ista grupa ljudi pojavi pod drugim imenom, to \u0107e biti druga pri\u010da i ciklus \u0107e biti zapo\u010det iznova. Sankcije su samo prepreke, a ne prava dugoro\u010dna rije\u0161enja za <em>ransomware <\/em>problem.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Bez obzira \u0161ta se dalje de\u0161ava, cijeli slu\u010daj ilustruje neke neprijatne istine. Izgleda da su <em>LockBit <\/em>procedure oporavka od katastrofe mnogo bolje od onih koje primjenjuju njegove \u017ertve. To najbolje dokazuje njihov brzi povratak, nakon \u0161to su im agencije za sprovo\u0111enje zakona preuzele dio infrastrukture, demonstriraju\u0107i na najbolji na\u010din koliko su mo\u0107ni i odlu\u010dni. Iako su neki od njihovih resursa zapljenjeni, jasno je da im je ostalo jo\u0161 dosta. Bez hap\u0161enja svih njihovih \u010dlanova, <em>LockBit<\/em> <em>ransomware<\/em> grupa \u0107e se vra\u0107ati svaki put sve ja\u010da.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na kraju, \u010dak i da budu uhap\u0161eno jezgro <em>LockBit<\/em> <em>ransomware<\/em> grupe, agencije za sprovo\u0111enje zakona su svjesne da su uklju\u010dene u borbu protiv vjetrenja\u010da, jer zaustavljanjem jedne <em>ransomware<\/em> grupe druga zauzima njeno mjesto.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>LockBit ransomware operacije su prekinute 20. februara 2024. godine u koordinisanom naporu 11 zemalja, \u010dije su agencije za sprovo\u0111enje zakona zadale su zna\u010dajan udarac zlonamjernim akterima koji stoje iza ovog zlonamjernog softvera u zajedni\u010dkoj&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6249,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[379,849,851,639,333,855,854,853,852,850,607,133,606],"class_list":["post-6244","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cisa","tag-demontaza","tag-europol","tag-fbi","tag-lockbit","tag-lockbit-4-0","tag-lockbit-ng-dev","tag-lockbitsupp","tag-nca","tag-operation-cronos","tag-raas","tag-ransomware","tag-ransomware-as-a-service"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6244"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6244\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6249"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}