الأخبار التي تفيد بوجود كارتل LockBit Ransomware الغزير والخطير والمخيف تعطلت بشكل ملحوظ من قبل الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA)، ومكتب التحقيقات الفيدرالي (FBI) وآخرين، لاقت ترحيبًا من مجتمع الأمن السيبراني.
شهدت عملية Cronos، التي بدأت بهدوء على مدى عدة أشهر، قيام NCA وشركائها بتسوية البنية التحتية للعصابة والاستيلاء على الأصول بما في ذلك الخوادم والأدوات المخصصة ومواقع الويب المظلمة التي تستخدمها العملية والشركات التابعة لها.
كما قامت السلطات بتجميد عدد من حسابات العملات المشفرة المرتبطة بعصابة LockBit، ونعلم الآن ذلك تم أخذ شخصين إلى عهدة السياسة في بولندا وأوكرانيا.
الخبراء متفائلون
ومن بين خبراء الأمن الذين تواصلوا مع مجلة Computer Weekly بعد عملية الإزالة، كان المزاج العام متفائلاً
“قفل أصبحت مجموعة برامج الفدية الأكثر انتشارًا منذ مغادرة كونتي المشهد في منتصف عام 2022. وقال تشيستر ويسنيوسكي، المدير والمدير التنفيذي للتكنولوجيا الميداني العالمي في شركة “إن تكرار هجماتهم، إلى جانب عدم وجود حدود لنوع البنية التحتية التي يعطلونها، جعلهم أيضًا الأكثر تدميراً في السنوات الأخيرة”. سوفوس. “أي شيء يعطل عملياتهم ويزرع عدم الثقة بين الشركات التابعة لهم والموردين هو فوز كبير لإنفاذ القانون.”
إسيت وقال مستشار الأمن السيبراني العالمي جيك مور: “من الصعب للغاية القبض على مجرمي الإنترنت، وخاصة أولئك الذين ينتمون إلى مجموعات عملياتية ضخمة، لذا فإن التعطيل هو تكتيك رئيسي للشرطة. ستكون إزالة موقع LockBit الإلكتروني بمثابة ضربة قوية لمجرمي الإنترنت، وعلى الرغم من أنها لن تقضي على المشكلة، إلا أنها ستؤدي إلى تعطيل الشبكة الإجرامية مما قد يوفر للشركات ملايين الجنيهات الاسترلينية في الأنشطة المستهدفة.
“إنه يُظهر النجاحات التي حققتها وكالات إنفاذ القانون التي تعمل معًا بالتعاون وكيف تظل هذه هي أفضل طريقة لاستهداف الجهات الفاعلة ذات الصلة بالتهديد.
وقال مور: “إن العثور على ما يكفي من الأدلة هو الجانب الأكثر صعوبة في أي تحقيق في الجرائم الإلكترونية، ولكن هذا يسلط الضوء على أنه مع وجود ما يكفي من القوة والشرطة الاستباقية، فإن الجريمة لن تستمر دائمًا في دفع الثمن”.
WithSecure وقال تيم ويست، مدير استخبارات التهديد والتوعية، إن حجم العملية، التي لا تزال تفاصيلها تتكشف، يستحق الاحتفال.
“يصف التعليق الصادر عن سلطات إنفاذ القانون الأوروبية مصادرة شاملة لجميع البنية التحتية اللازمة لتشغيل عملية برامج الفدية. قال ويست: “إن النشر المتقطع للبيانات على موقع التسريب الخاص بشركة Lockbit ليس محرجًا للغاية لشركة Lockbit فحسب، بل قد يشير أيضًا إلى أنهم أنفسهم لا يعرفون مدى الإجراء المتخذ”.
“الشيء الوحيد الذي نعرفه هو أن مجموعة وكالات إنفاذ القانون سوف تزن بعناية فرص التأثير على المدى القصير والطويل لضمان أقصى قدر من الاضطراب وفرض أقصى تكلفة على Lockbit، ونحن ندعم أي وجميع الإجراءات التي تؤثر أو تعيقهم. استمرار العملية. ولهذا السبب، فإننا نحتفل بالعملية التي كانت بلا شك معقدة وصعبة ونقدم التهاني للمشاركين فيها.
جيمي مولز، المدير الفني الأول في اكستراهوبقال إن تحركات إنفاذ القانون الأخيرة لاستهداف البنية التحتية لجرائم الإنترنت – راجع عمليات مماثلة ضد أمثال الخلية و ALPHV/بلاك كات – كانت الطريق الصحيح للذهاب.
“على الرغم من مناقشة فرض عقوبات على أعضاء العصابات المشتبه بهم وحظر الشركات التي تدفع الفدية في الماضي، إلا أن هذه الأساليب غير فعالة إلى حد كبير. وقال موليس: “غالبًا ما يقيم أعضاء العصابات في بلدان لا توجد بها قوانين لتسليم المجرمين، كما أن الحظر على دفع الفدية يعاقب الشركات المتورطة بشكل أشد من العصابات التي تهدف هذه القوانين إلى استهدافها”.
“إن قدرة سلطات إنفاذ القانون على استهداف البنية التحتية التي تعتمد عليها هذه العصابات بشكل مباشر لبيع البيانات المسروقة والحصول على دفعات الفدية، تقلل بشكل كبير من ربحية المشروع. ومن خلال خلق بيئة معادية لهذه العصابات، يمكننا أن نرى أن الجهود المتضافرة التي تبذلها سلطات إنفاذ القانون للحد من الأنشطة الضارة عبر الإنترنت بدأت تؤتي ثمارها.
أيام مظلمة على شبكة الإنترنت المظلمة
الباحثون في كشاف سايبر، الذين كانوا يتسكعون في منتديات الجرائم الإلكترونية السرية لقياس درجة حرارة أقران LockBit، إن زوال العصابة أثار ردود فعل متباينة.
في منتدى XSS الناطق باللغة الروسية، والذي كان الممثل الرئيسي لشركة LockBit، LockBitSupp، مشاركًا نشطًا فيه، اجتذب موضوع حول الأخبار أكثر من مائة تعليق، حيث أعرب الكثيرون عن قلقهم بشأن كيفية إزالة مجموعة من حجم LockBit ومكانتها، بينما أعرب آخرون عن قلقهم حول مصادرة NCA لمفاتيح فك التشفير الخاصة بها.
بشكل عام، هناك إجماع عام على أن شكلاً ما من أشكال LockBit سيستمر، ومع ذلك، أشار خبراء Searchlight إلى أن عددًا من الشخصيات بدوا غير متأكدين بشأن ما إذا كان ينبغي عليهم القلق أم لا، نظرًا للمعلومات المحدودة المتاحة حتى الآن.
هل تم استخدام PHP vuln الحاسم ضد LockBit؟
وفي تعزيز إضافي للمعنويات، بدا أن أعضاء منتدى XSS الآخرين يلقون اللوم على LockBit بسبب سوء الأمن التشغيلي.
من بين بعض الحكايات الأكثر إثارة للاهتمام التي تسربت في اليوم الماضي، تشمل الاحتمال، الذي أثار استياء مسؤولي LockBit الذين ما زالوا طليقين، أن NCA وشركائها قد حولوا ثغرة PHP حرجة إلى العصابة.
كما هو الحال دائمًا، لا ينبغي أبدًا أن تؤخذ التصريحات التي يدلي بها مجرمو الإنترنت على محمل الجد. ومع ذلك، فإن الإشارة إلى أن سقوط LockBit كان له علاقة كبيرة بفشلها في حماية عوامل الخطر المتعلقة بالأمن السيبراني بشكل صحيح، يضفي مفارقة ممتعة على القصة.
“غالبًا ما تستفيد مجموعات برامج الفدية من نقاط الضعف العامة لإصابة ضحاياها ببرامج الفدية [but] وقال حسين كان يوسيل، الباحث الأمني في شركة LockBit: “هذه المرة، أعطت عملية Cronos لمشغلي LockBit طعم الدواء الخاص بهم”. بيكوس الأمن.
“وفقًا لمسؤولي LockBit، استغلت وكالات إنفاذ القانون ثغرة PHP CVE-2023-3824 لاختراق خوادم LockBit العامة والوصول إلى كود مصدر LockBit والدردشة الداخلية وتفاصيل الضحايا والبيانات المسروقة.”
CVE-2023-3824 هي ثغرة أمنية حرجة في الاستخدام على نطاق واسع بي أتش بي لغة برمجة مفتوحة المصدر للأغراض العامة. يحدث هذا في إصدارات معينة من اللغة عندما يؤدي التحقق من الطول غير الكافي إلى تجاوز سعة المخزن المؤقت للمكدس، مما يؤدي إلى تلف الذاكرة أو تنفيذ التعليمات البرمجية عن بعد (RCE).
“على الرغم من أن مجموعة LockBit تدعي أن لديها خوادم احتياطية لم تمسها، فمن غير الواضح ما إذا كانت ستعود إلى الإنترنت أم لا. في الوقت الحالي، لا يتمكن شركاء LockBit من تسجيل الدخول إلى خدمات LockBit. قال يوسيل: “في رسالة توكس، أخبر الخصوم شركائهم أنهم سينشرون موقعًا جديدًا للتسرب بعد إعادة البناء”.
إعادة بناء LockBit
حتى هذه اللحظة، يعود العديد من المراقبين الذين التقينا بهم باستمرار – فمجرد تعطيل مشروع إجرامي إلكتروني بشكل كبير، فهذا لا يعني أن هذه هي نهاية الطريق بالنسبة إلى LockBit.
“على المدى القصير، سوف يؤدي هذا إلى حد ما إلى التوقف أو التخفيض قفل الالتهابات. على المدى الطويل، أظن أن الأمور ستسير كالمعتاد. إذا أخذنا في الاعتبار السبب الجذري للقضايا قفل وقال إد ويليامز، نائب رئيس اختبار القلم لمنطقة أوروبا والشرق الأوسط وأفريقيا في شركة موجة الثقة.
“إن القدرة على الحركة الداخلية والجانبية أصبحت تافهة اليوم كما كانت بالأمس في معظم المنظمات. سأمهله من شهرين إلى ثلاثة أشهر، وبعد ذلك سنرى تجسيدًا لهذا النكهة من برامج الفدية، والتي أعتقد أنها ستكون أكثر تعقيدًا لأن الجهات الفاعلة في مجال التهديد ستكون قد تعلمت الدروس من اليوم وستكون قادرة على تغطية مساراتها بشكل أفضل إلى الأمام.”
وقد شارك الآخرين مشاعر ويليامز. مات هال, مجموعة إن سي سي وكان من بينهم الرئيس العالمي لقسم استخبارات التهديدات. قال: “لا شك أن الناس سوف يتساءلون عما إذا كان بإمكان LockBit العودة مرة أخرى. ادعت المجموعة أن لديها نسخًا احتياطية لأنظمتها وبياناتها. لقد رأينا في الماضي العديد من مشغلي برامج الفدية يعيدون صياغة علاماتهم التجارية، أو يوحدون قواهم مع مجموعات أخرى، أو يعودون بعد بضعة أشهر.
“سنحصل على فكرة أفضل خلال الأيام والأسابيع المقبلة عن النطاق الكامل لعملية كرونوس، والقدرات الحقيقية لمجموعة LockBit.”
كاميليا تشان، الرئيس التنفيذي والمؤسس المشارك لشركة فليكسونقال: “لا يمكننا أن نتوقع العصابة التي ضربت البنك الصناعي والتجاري الصيني [China’s largest bank] مع هجوم سيبراني سيء للغاية وتسببت في تعطيل سوق الخزانة الأمريكية للنزول دون قتال. ويمكن لـ LockBit أن يعيد اختراع نفسه في الوقت المناسب، كما رأينا مع إعادة تسمية عصابات برامج الفدية الأخرى. بالإضافة إلى ذلك، ليس هناك شك في وجود جهات تهديد أخرى في مكان قريب. وبالنسبة للشركات، ينبغي أن يكون هذا بمثابة دعوة للاستيقاظ لتعزيز الدفاعات.
وأضاف ويليامز: “تتمثل المشكلة الرئيسية في مدى السرعة التي يمكن بها لمجموعات برامج الفدية هذه إعادة التجمع وإعادة إنتاج خدماتها بتطور معزز. إنها لعبة القط والفأر المستمرة حيث تحتاج المنظمات البريئة إلى الاستمرار في التركيز على تأمين نفسها وجعلها “صعبة الاختراق”. يجب على الشركات في جميع أنحاء العالم أن تأخذ أخبار اليوم كفرصة لمراجعة “العناصر الثلاثة”: كلمات المرور والتصحيح والسياسات.
إن الإرشادات المتعلقة بالأمن في أعقاب إزالة LockBit واضحة – استخدم إمكانية فترة هدوء قصيرة في نشاط برامج الفدية لتعزيز دفاعاتك.
وقال: “لا ينبغي للشركات أن تقلل من جهودها لحماية بياناتها وهوياتها وبنيتها التحتية”. نيتوريكس ديرك شريدر، نائب رئيس قسم تكنولوجيا المعلومات في منطقة أوروبا والشرق الأوسط وأفريقيا والأبحاث الأمنية.
“استمع إلى النصيحة التي تقول إن درهم وقاية خير من قنطار علاج. تأكد من أن حساباتك محمية باستخدام MFA، وأن الامتيازات قد تم تقليلها إلى الحد الأدنى المطلوب للقيام بالمهمة وأنها موجودة فقط في الوقت المناسب، وأن أنظمتك معززة، وأن بياناتك الحيوية آمنة. سنرى ما إذا كانت LockBit ستظل خارج نطاق العمل، ولكن من المؤكد أن الآخرين مستعدون لملء الفراغ.
