داخل LockBit: هل هناك عصابة لبرامج الفدية في تراجع؟
على الرغم من بقاءه تهديدًا نشطًا للغاية، إلا أن سلسلة من النكسات، بما في ذلك المشكلات والمشاحنات وراء الكواليس، تركت LockBit تترنح في أشهرها الأخيرة، ويبدو أن العملية كانت في منحدر هبوطي قبل وقت طويل من إطلاقها. للخطر وأسقطت من قبل لدغة إنفاذ القانون متعددة الجنسيات، وفقا للباحثين في تريند مايكرو.
عمل فريق البحث التابع لشركة Trend Micro جنبًا إلى جنب مع الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA) – وهي الوكالة الرائدة في هذا المجال عملية كرونوس – تقديم المساعدة الفنية حيث تم تشريح البنية التحتية للعصابة وخزانتها وتعليقها حتى تجف، والتمتع بإمكانية الوصول غير المقيد إلى العملية.
وقال الاتجاه أن رحلة العصابة من برامج الفدية كخدمة (RaaS) رواد العمليات الأقل حجمًا – حتى أن مسؤوليها مُنعوا من بعض المنتديات السرية – سلطوا الضوء على التحديات التي تواجهها العمليات الإجرامية السيبرانية، مثل الصراع الداخلي والمشكلات الفنية والإضرار بالسمعة.
“على الرغم من أن Lockbit هي بلا شك أكبر عملية لبرامج الفدية وأكثرها تأثيرًا على مستوى العالم، إلا أننا نأمل أن يوضح هذا التعطيل تمامًا أنه يجب على جميع الشركات الإجرامية التابعة أن تعيد النظر بقوة في أي تورط معهم في المستقبل، وأن هؤلاء الشركاء قد وضعوا في شراكتهم مع هذه المنظمة وقال بوب مكاردل، مدير تريند مايكرو لأبحاث التهديدات المتقدمة: “إنهم معرضون بشكل متزايد لخطر اتخاذ إجراءات إنفاذ القانون”.
حوادث أمنية
على مدار الأيام القليلة الماضية، كانت هناك بعض المناقشات حول نهج LockBit الذي يبدو متساهلًا إلى حد ما فيما يتعلق بأمنها السيبراني التشغيلي – ومن المحتمل أن يكون قد تم اختراقه في النهاية عبر ثغرة PHP غير مُصححة – ولن تكون هذه هي المرة الأولى التي تواجه فيها المجموعة مشكلات أمنية.
في نظر أحد رجال الأمن، تقع بعض قضايا العصابة ضمن فئة التهديد من الداخل; وبفضل طبيعة LockBit الموزعة وشبه المجهولة، وكيفية تفاعل الشركات التابعة لها والمشغلين، كانت هذه مشكلة لا مفر منها تقريبًا.
ويبدو أن فترة تراجعها قد بدأت في سبتمبر 2022، عندما استاء أحد المطورين تسربت بنية خزانة العصابة. كان لهذا الحادث تأثير أكبر مما سمحت به LockBit، حيث أدى إلى خفض حاجز الدخول أمام الآخرين لتطوير نسخهم الخاصة وإطلاق عمليات RaaS الخاصة بهم بشكل مستقل، مما يعيق بشدة أي ميزة تكنولوجية تمتلكها LockBit.
كان لهذا الحادث آثار غير مباشرة على صناعة الأمن، التي وجدت نفسها فجأة تتعامل مع عمليات أخرى من هذا القبيل باستخدام حمولات LockBit، أو تتنكر بشكل مباشر تحت اسم LockBit لضحاياها.
وفي إحدى هذه الحوادث، استخدمت مجموعة تطلق على نفسها اسم Spacecolon عناوين البريد الإلكتروني وعناوين URL التي أعطت الضحايا الانطباع بأنهم كانوا يتفاوضون مع LockBit. حتى أن Spacecolon قامت ببناء موقع تسرب مشابه جدًا.
بالنسبة لمشغلي LockBit، لم يكن من الممكن أن يكون التسرب أسوأ بكثير – فالإشارة إلى مشاكل داخلية للغرباء كان من الممكن أن يكون مصدر قلق للشركات التابعة التشغيلية أو المحتملة، ويثير اهتمامًا كبيرًا للعصابات الأخرى.
وكتب باحثو تريند مايكرو: “إن تسربًا كهذا يجب أن يتم وصفه على حقيقته – فشل أمني”. “إذا كان من الممكن تسريب بنيتهم الأساسية، فقد تتساءل الشركات التابعة عما إذا كانت هناك مخاوف أمنية أخرى. إن حادثة كهذه في شركة برمجيات سيُنظر إليها على أنها فشل كامل للعمليات والضوابط الداخلية، أو ما هو أسوأ من ذلك، غيابها.
من المحتمل أيضًا أن يؤدي التسريب إلى الإضرار بعلامة LockBit التجارية، على الرغم من أن مشغليها، بما في ذلك المتحدث الرئيسي باسمها الذي يستخدم المقبض LockBitSupp، حاولوا إظهار وجه شجاع. من المحتمل أن أعضاء العصابة الأساسيين قد أدركوا في هذه المرحلة أنهم سيحتاجون إلى إخراج شيء خاص من القبعة لتعزيز وتقوية مكانتهم التي اكتسبوها بشق الأنفس باعتبارها “المورد” الرائد لـ RaaS.
هل فعلوا هذا؟ لا، وفقًا لرؤى Trend Micro، فإن تطوير رمز الخزانة ظل راكدًا. ربما توقع الباحثون أن العصابة انفصلت بالفعل عن أحد مطوريها الرئيسيين.
طوال الأشهر التالية، تقول تريند مايكرو إنها لاحظت “تراجعا” في الثقة في العصابة، نتيجة لعدة عوامل. في أبريل 2023، على سبيل المثال، أضافت المجموعة عددًا من المنشورات الجديدة إلى موقع تسريب الويب المظلم الخاص بها، بعضها يتعلق بضحايا مزيفين ببيانات ملفقة. من الممكن بالطبع أن يكون هذا خطأً حدث أثناء الاختبار الداخلي، ولكن وفقًا لـ Trend Micro، فإن السيناريو المعقول بنفس القدر هو أن المنشورات كانت محاولة لتشويه الكتب وإعطاء المتفرجين الانطباع بأن LockBit لا تزال عملية ناجحة.
على مدار عام 2023، بدا أن البنية التحتية لـ LockBit نفسها أصبحت غير مستقرة أكثر، وشاهد مراقبو موقع تسرب الويب المظلم الخاص بها أخطاء متكررة في إمكانية الوصول والاستقرار. وشهدت Trend Micro أيضًا بعض السلوكيات غير المعتادة فيما يتعلق بمرايا موقع التسرب، بما في ذلك التناقضات عند محاولة الوصول إليها وعمليات إعادة التوجيه الخاطئة.
من الواضح أن الأمور لم تكن تسير على ما يرام، وفي سبتمبر 2023، اقترحت شركة LockBitSupp تنفيذ قواعد جديدة للشركات التابعة، بما في ذلك الحد الأدنى من المدفوعات والخصومات الثابتة، والتكليف بألا تقل المدفوعات عن المبلغ الذي تغطيه بوليصة التأمين السيبراني للضحية. أشارت تريند مايكرو إلى أن شركة LockBit شهدت انخفاضًا في المدفوعات الناجحة، وأن المشكلات التي أحاطت بالعملية تعني أنها لم تكن قادرة على جذب العديد من مجرمي الإنترنت ذوي المهارات العالية للعمل كشركات تابعة كما كانت الحال خلال أبهتها.
الإيمان لا أكثر
وقال الباحثون: “من الواضح أن LockBit واجهت مشكلات طوال عام 2023، ومن المنطقي أن يكون لهذا تأثير سلبي على قدرتها على جذب الشركات التابعة أو الاحتفاظ بها”.
هناك عديد من الأسباب لذلك. أولاً، من الواضح أن الشركات التابعة كانت تفقد ثقتها في البرنامج، وبدا مشغلو LockBit غير مستجيبين على نحو متزايد. ربما شعر آخرون أن القواعد التي تم تقديمها حديثًا لتوحيد طلبات الفدية وتقييد أرباحهم كانت مرهقة للغاية، في حين أن التأخير في أي إصدارات جديدة للخزانة، مما يشير إلى هجرة الأدمغة في قلب LockBit، كان من شأنه أيضًا أن يزعج الآخرين.
في الآونة الأخيرة، صدرت دعوة من مشغلي LockBit للشركات التابعة لطواقم ALPHV/BlackCat وNoEscape للحضور والانضمام إلى LockBit بعد عمليات مماثلة لإنفاذ القانون حملت “جوًا من اليأس” نظرًا لمطالبة الناس بالتسجيل قبل عام تقريبًا.
يبدو أن الأمور وصلت إلى ذروتها في نهاية يناير 2024، عندما فتح مستخدم يستخدم المقبض michon – على ما يبدو وسيط وصول أولي (IAB) – سلسلة تحكيم في منتدى XSS السري مدعيًا أن LockBitSupp رفض الدفع مقابل الوصول التي قدموها مما أدى إلى نجاح عملية دفع برامج الفدية.
اتضح أن ميشون لا يلوم إلا نفسه. نظرًا لكونهم جديدًا نسبيًا على الساحة، فإنهم لم يحددوا بشكل صحيح شروط البيع المرغوبة. ومع ذلك، مع جذب المزيد والمزيد من المشاركات، بدأ سكان XSS في تشغيل LockBitSupp، ورفضوا دفاعهم. في النهاية، تم إجبار LockBitSupp على دفع 10% من دفعات برامج الفدية إلى شركة michon.
قال فريق Trend Micro، بعد مراجعة الموضوع، إن LockBitSupp بدا متعجرفًا ومحتقرًا، خاصة تجاه المحكم، وكان على الأرجح يحاول استخدام سمعته لتجاوز ثقله. وأشاروا إلى أن هذا النوع من السلوك قد شوهد من قبل مع مشغلي RaaS الآخرين الذين أصبحوا أكبر من حجم أحذيتهم.
“لا توجد إيجابيات لشركة LockBitSupp فيما يتعلق بهذا التحكيم. وقال الفريق: “من المحتمل جدًا أن يكون الممثل الخبيث قد أدى إلى تنفير أقرانه وموردي الوصول المحتملين والشركات التابعة له”.
على أي حال، تم حظر LockBitSupp من XSS في 30 يناير وتم تصنيفه على أنه “المخترق/المحتال”. لقد تم حظرهم أيضًا من منتدى Exploit في نفس الوقت تقريبًا.
خزانة جديدة قيد التطوير
ماذا كان يفعل LockBit بشأن هذه المشاكل؟ أثناء التحقيق، وجد فريق تريند دليلاً على أن الطاقم كان يعلق آماله في البقاء على نسخة جديدة من خزانة برامج الفدية الخاصة به – وقد أطلق تريند على هذا البرنامج اسم LockBit-NG-Dev – وهو برنامج ضار لا يعتمد على النظام الأساسي وكان مختلفًا بشكل كبير عن السابق الإصدارات.
ويعتقد الفريق أن هذا البديل يشكل الأساس لإصدار LockBit 4.0، والذي ربما لا يزال قيد العمل عليه على الرغم من الإزالة.
تتضمن بعض التغييرات الرئيسية في LockBit-NG-Dev ما يلي:
- التحول إلى تعليمات NET البرمجية التي تم تجميعها باستخدام CoreRT، والتي عند نشرها تسمح للبرامج الضارة بالعمل عبر الأنظمة الأساسية؛
- تعد قاعدة بيانات .NET جديدة تمامًا، مما يعني أنه سيتعين إنشاء أنماط أمان جديدة لاكتشافها – وقد تكون هذه مشكلة مستقبلية للمدافعين في حالة بقاء LockBit؛
- لقد أزال LockBit إمكانات النشر الذاتي المميزة سابقًا، ولم يعد بإمكان LockBit-NG-Dev طباعة ملاحظات الفدية عبر طابعات الضحية؛
- أصبح لتاريخ تنفيذ الخزانة الآن فترة صلاحية، والتي تشتبه تريند في أنها تهدف إلى مساعدة المشغلين على مراقبة ما تفعله الشركات التابعة لهم، وتحدي أي أدوات تحليل إلكترونية آلية.
ومع ذلك، هناك بعض أوجه التشابه. على سبيل المثال، لا يزال لدى LockBit-NG-Dev تكوين يحتوي على إشارات للمسارات والعمليات وأسماء الخدمات التي يجب إنهاؤها والملفات والأدلة التي يجب تجنبها، ويحتفظ بالقدرة على إعادة تسمية الملفات المشفرة بشكل عشوائي.
اكبر من ان تفشل؟
“لقد أثبتت المجموعة الإجرامية التي تقف وراء برنامج الفدية LockBit نجاحها في الماضي، حيث كانت دائمًا من بين مجموعات برامج الفدية الأكثر تأثيرًا خلال عملياتها بأكملها. وكتب فريق تريند مايكرو: “في العامين الماضيين، يبدو أنهم واجهوا عددًا من المشكلات اللوجستية والفنية والمتعلقة بالسمعة”.
“لقد أجبر هذا LockBit على اتخاذ الإجراءات اللازمة من خلال العمل على إصدار جديد طال انتظاره من البرامج الضارة الخاصة بهم. ومع ذلك، مع التأخير الواضح في القدرة على طرح نسخة قوية من LockBit في السوق، بالإضافة إلى المشكلات الفنية المستمرة، يبقى أن نرى إلى متى ستحتفظ هذه المجموعة بقدرتها على جذب كبار الشركات التابعة والاحتفاظ بمكانتها. وفي غضون ذلك، نأمل أن تكون LockBit هي المجموعة الرئيسية التالية التي تدحض فكرة أن المنظمة أكبر من أن تفشل.