Według DarkreadingPanel stowarzyszony Lockbit 4.0 został zagrożony w maju, ujawniając niespójności operacyjne w grupie ransomware-as-a-usługa, ujawniając chaotyczne praktyki wewnętrzne i zapewniając bezprecedensowy pogląd na nieuregulowany charakter ekosystemu ransomware.
Lockbit od lat jest postrzegany jako wysoce profesjonalna i wydajna organizacja przestępcza w ramach krajobrazu oprogramowania ransomware. Ta percepcja przedstawiła grupę jako wyrafinowany byt, podobny do dobrze zorganizowanego startupu technologicznego. Jednak niedawna ekspozycja panelu partnerskiego Lockbit 4.0 zakwestionowało ten ustalony pogląd, zamiast tego ujawniając operację charakteryzującą się dezorganizacją, konfliktami wewnętrznymi i znacznymi niespójnościami operacyjnymi. Wydarzenie to wykazało, że rzeczywistość zagrożeń ransomware jest bardziej rozdrobniona i nieprzewidywalna niż wcześniej rozumiana, odchodząc od zdyscyplinowanego, korporacyjnego modelu.
Wyciek, który miał miejsce w maju, obejmował znaczną liczbę danych, w tym tysiące wiadomości czatowych wymienianych między podmiotami stowarzyszonymi Lockbit i ich ofiarami. Dane te zawierały również wiele kompilacji oprogramowania ransomware, wewnętrzne tagi użytkowników i informacje o kryptowallet. Kompromis Lockbit’s 4.0 Panel stowarzyszony był naznaczony zastąpieniem linkiem kierującym do tego kompleksowego zrzutu danych. Ten incydent zapewnił obszerne, zakulisowe spojrzenie na dynamikę operacyjną przedsięwzięć ransomware-as-a-service (RAAS), zgodnie z podobnymi spostrzeżeniami uzyskanymi z wycieków Conti w lutym 2022 r., Która rzuciła światło na operacje gangu ransomware.
Analiza wyciekających materiałów wykazała, że ekosystem oprogramowania ransomware stowarzyszony działa przede wszystkim na zasadzie oportunistycznej i niezorganizowanej. Partnerzy wykazali różne stopnie profesjonalizmu, często działające z minimalnym nadzorem z platformy Central Lockbit. Niektórzy podmioty stowarzyszone zaangażowały się w staranne procesy negocjacyjne z ofiarami i konsekwentnie dostarczali narzędzia do deszyfrowania po płatności. I odwrotnie, inni podmioty stowarzyszone zaprzestali komunikacji natychmiast po zabezpieczeniu płatności okupu. Jedna specyficzna interakcja udokumentowała stowarzyszenie przypisującego uszkodzone pliki oprogramowania antywirusowego i instruując ofiarę czeka na prawidłowe narzędzie do deszyfrowania, stwierdzające: „Szef jest bardzo zajęty”. Ta komunikacja ostatecznie ustała bez rozwiązania dla ofiary.
Ustalone zasady regulujące platformę Lockbit były często lekceważone przez jej podmioty stowarzyszone. Wytyczne operacyjne Lockbit wyraźnie zabroniły ukierunkowane na rosyjskie organizacje. Pomimo tego zakazu dwa rosyjskie podmioty rządowe zostały poddane atakom w lutym. Aby złagodzić reperkusje i zachować reputację grupy, administratorzy Lockbit interweniowali bezpośrednio, zapewniając bezpłatne odszyfrniki dotkniętym organizacjom. Partner odpowiedzialny za te konkretne ataki został następnie zawieszony i przypisał wewnętrzny znacznik „Ru Target”, wskazujący ich przekroczenie zasad dotyczących rosyjskich celów.
Finansowe aspekty operacji blokady, jak ujawniono wyciek, również wykazywały brak jasności i spójności. Badanie 159 portfeli bitcoinowych związanych z różnymi próbami wymuszenia wykazało, że tylko 19 z tych portfeli faktycznie otrzymało fundusze. Ta rozbieżność sugeruje, że niektórzy podmioty stowarzyszone mogli przeprowadzić negocjacje i transakcje poza oficjalną platformą Lockbit, prawdopodobnie obejmie określoną 20% prowizji platformy w sprawie płatności okupu. Jeden partner z powodzeniem wymuszał ponad 2 miliony dolarów od szwajcarskiego dostawcy chmury. Jednak większość podmiotów stowarzyszonych w próbach wymuszenia ostatecznie nie otrzymała żadnych środków z ich działalności.
Dezorganizacja obserwowana w tych grupach nie zmniejsza ich zagrożenia, ale raczej komplikuje strategie obronne. Brak spójnej struktury lub znormalizowanych procedur operacyjnych wśród podmiotów stowarzyszonych utrudnia obrońcom opracowanie przewidywalnych podręczników odpowiedzi. Zmienność zachowań partnerskich, w której można oferować umowy o wsparcie i honorowanie, podczas gdy inny znika po płatności, wprowadza znaczną nieprzewidywalność w planowanie reakcji na incydenty. Ta niespójność zmniejsza również postrzeganą wartość płacenia okupu, ponieważ nie ma gwarancji pomyślnego wyniku, takiego jak zapewnienie działającego odszywania lub zaprzestanie narażenia danych.
