Durante anos, o Lockbit foi amplamente considerado a operação de ransomware, muitas vezes elogiada por seu suposto profissionalismo e eficiência, semelhante a uma startup bem oleada no Vale do Silício. No entanto, um vazamento significativo do painel de afiliados 4.0 da Lockbit em maio desmontou drasticamente essa ilusão, revelando uma operação cheia de desorganização, conflitos internos e inconsistências impressionantes.
O vazamento, que forneceu informações sem precedentes sobre o funcionamento interno de uma operação de ransomware como serviço (RAAS), expôs um ecossistema oportunista e caótico. Ele incluiu mais de 4.000 mensagens de bate -papo entre as afiliadas da Lockbit e suas vítimas, milhares de construções de ransomware, tags de usuário internas e extensos dados de criptografia. Esse teor de informações pintou uma imagem distante da empresa criminosa disciplinada frequentemente imaginada, destacando um cenário de ameaças fragmentadas e imprevisível.
Uma revelação importante do vazamento foi o desrespeito generalizado das próprias regras operacionais da Lockbit. As afiliadas freqüentemente ignoravam as vítimas, forneciam ferramentas de descriptografia com defeito e até contornavam pagamentos à plataforma, evitando assim seu corte padrão de 20%. Em um exemplo notável, um afiliado culpou os arquivos corrompidos no software antivírus e instruiu uma vítima a aguardar uma ferramenta de descriptografia correta porque “o chefe está muito ocupado”, eventualmente interrompendo a comunicação.
Talvez o mais impressionante, afiliados violaram descaradamente a regra explícita de Lockbit contra a segmentação de organizações russas. Em fevereiro, duas entidades do governo russo foram atacadas. Para mitigar os danos à reputação e conter as consequências, os administradores da Lockbit intervieram, oferecendo descriptografos gratuitos para as organizações afetadas. O afiliado responsável por esses ataques foi posteriormente suspenso e marcado com “RU Target”.
Os aspectos financeiros das operações de Lockbit, conforme revelado pelo vazamento, estavam igualmente confusos. Das 159 carteiras de Bitcoin identificadas em conexão com tentativas de extorsão, apenas 19 receberam fundos. Embora algumas afiliadas possam ter negociado fora da plataforma Lockbit para ignorar as taxas, a taxa geral de sucesso para a cobrança de resgates foi notavelmente baixa. Por exemplo, um afiliado extorquiu com sucesso mais de US $ 2 milhões de um provedor de nuvem suíço, mas a grande maioria dos afiliados se afastou sem nada, ressaltando a natureza errática dos retornos financeiros dentro do grupo.
Contra intuitivamente, essa desorganização inerente não torna os grupos de ransomware menos perigosos; Em vez disso, os torna mais formidáveis e desafiadores de se defender. A ausência de estrutura consistente e padrões operacionais impede que os defensores desenvolvam um manual previsível. A variabilidade no comportamento de afiliados-onde se pode oferecer acordos de apoio e honra, enquanto outro desaparece após o raio-compara o planejamento da resposta a incidentes e corroia qualquer valor percebido no pagamento de um resgate. Além disso, não há garantia de que dados roubados sejam destruídos ou mantidos em segredo; Os dados de violações podem ressurgir meses depois, expondo negociações privadas ou vulnerabilidades de segurança muito depois que uma organização acredita que uma crise está contida.
O modelo de afiliado, como demonstrado pelo vazamento de Lockbit, parece incentivar a imprudência. Apesar da reputação da marca ser crucial para uma empresa de sucesso do RAAS, o vazamento mostrou uma surpreendente falta de repercussões para afiliadas que violaram os termos de serviço. Essa falta de responsabilidade pode encorajar os atores a assumir maiores riscos, exigir resgates maiores e seguir em frente com consequências mínimas ou nenhuma, uma dinâmica que os pesquisadores especulam pode se estender a outros empreendimentos de Raas.
Dada essa realidade caótica, a única defesa racional é a preparação abrangente. Isso inclui segmentação de rede robusta, monitoramento vigilante para movimento lateral, implementação de autenticação multifatorial e patches oportunos de vulnerabilidades conhecidas. Também requer ensaiando planos de resposta a incidentes com a suposição crítica de que a assistência pode não se concretizar mesmo após o pagamento de um resgate.
É improvável que o vazamento de Lockbit seja um incidente isolado. À medida que a pressão da aplicação da lei se intensifica e os incentivos financeiros para operações de ransomware potencialmente diminuem, prevê -se que o aumento de brigas nos grupos de ransomware. Esse conflito interno, já suspeito dos administradores da Lockbit, poderia fornecer dados inestimáveis do mundo real para pesquisadores de segurança.
Espera-se que essas brigas levem a um declínio em grupos proeminentes e de marca, substituídos por uma proliferação de atores heterogêneos que operam em rajadas curtas e imprevisíveis. Essa mudança complicará os esforços de atribuição e tornará a inteligência de ameaças mais obscura. O cenário de Raas se assemelhará a cada vez mais um ambiente lotado e instável, em vez de uma hierarquia corporativa estruturada.
As defesas muitas vezes se concentram em nomes específicos de marcas como Conti, Lockbit ou Blackcat, criando um falso senso de que entender a marca equivale a entender a ameaça subjacente. No entanto, esses nomes geralmente são identidades descartáveis, projetadas para negação plausível, conveniência tecnológica e ganho financeiro de curto prazo. Confiar neles oferece um sentimento enganoso de clareza em uma paisagem de ameaças em constante evolução.
O vazamento Lockbit 4.0 serve como um alerta crítico, enfatizando que a ameaça de ransomware não é mais (ou talvez nunca tenha sido) consistentemente organizada, centralizada ou totalmente previsível. Em vez disso, é fragmentado, oportunista e se tornando mais caótico a cada dia. A preparação estratégica é fundamental para uma defesa bem -sucedida. As organizações que não se preparam, sem dúvida, enfrentarão incerteza aumentada devido à natureza imprevisível e amplamente inexplicável desses atacantes.
Apesar dos desafios, há otimismo: a contabilidade diminuída para os atores de ameaças pode levar a marcas de Raas menos bem -sucedidas, resultando potencialmente em um conjunto reduzido de táticas técnicas, técnicas e procedimentos (TTPs) para contra -lacunas. Os pesquisadores que estudam táticas de negociação também podem fornecer sinais cruciais para avaliar a confiabilidade de um ator de ameaças, independentemente de sua marca, minimizando as perdas em potencial. Finalmente, uma crescente consciência desse ecossistema cada vez mais desorganizado, combinado com estratégias defensivas direcionadas, poderia tornar o negócio de ransomware não lucrativo, pelo menos até a próxima evolução de seus métodos.
Source: O vazamento de Lockbit 4.0 revela conflitos internos
