수년 동안, Lockbit은 최고의 랜섬웨어 운영으로 널리 알려져 있으며, 종종 기름칠 된 실리콘 밸리 스타트 업과 유사하게 전문성과 효율성에 대해 찬사를 받았습니다. 그러나 5 월에 Lockbit의 4.0 계열사 패널의 상당한 유출로 인해이 환상이 극적으로 해체되어 조직화, 내부 갈등 및 눈에 띄는 불일치로 수수께끼가 드러났습니다.
RAAS (Ransomware-as-A-Service) 운영의 내부 작업에 대한 전례없는 통찰력을 제공 한이 누출은 기회주의적이고 혼란스러운 생태계를 노출시켰다. 여기에는 Lockbit Affiliates와 피해자 사이에 4,000 개가 넘는 채팅 메시지, 수천 개의 랜섬웨어 빌드, 내부 사용자 태그 및 광범위한 Cryptowallet 데이터가 포함되었습니다. 이 정보의 트로브는 징계를받은 범죄 기업에서 멀리 떨어진 그림을 그렸습니다.
유출로 인한 주요 계시는 Lockbit의 자체 운영 규칙에 대한 광범위한 무시였습니다. 계열사는 자주 피해자를 무시하고 결함이있는 암호 해독 도구를 공급했으며 플랫폼에 대한 우회금을 공급하여 표준 20% 삭감을 피할 수 있습니다. 한 가지 주목할만한 경우, 제휴사는 바이러스 백신 소프트웨어에서 손상된 파일을 비난하고 피해자에게 올바른 암호 해독 도구를 기다리라고 지시했습니다.“보스는 매우 바쁘기 때문에”결국 의사 소통이 중단되었습니다.
아마도 가장 놀랍게도, 제휴사들은 러시아 조직을 대상으로 한 Lockbit의 명시적인 규칙을 용이하게 위반했습니다. 2 월에는 두 명의 러시아 정부 기관이 공격을 받았다. Lockbit Administrators는 평판 손상을 완화하고 낙진을 포함하기 위해 영향을받는 조직에 무료 대해를 제공하여 개입하여 개입했습니다. 이러한 공격을 담당하는 계열사는 그 후“RU Target”으로 정지되어 태그를 붙였습니다.
누출로 밝혀진 Lockbit의 운영의 재정적 측면은 똑같이 혼란 스러웠습니다. 강탈 시도와 관련하여 확인 된 159 개의 비트 코인 지갑 중 19 개만 실제로 자금을 받았습니다. 일부 계열사는 수수료를 우회하기 위해 Lockbit 플랫폼 밖에서 협상했을 수도 있지만, 몸값을 수집하기위한 전반적인 성공률은 현저히 낮았습니다. 예를 들어, 한 계열사는 스위스 클라우드 제공 업체로부터 2 백만 달러 이상을 성공적으로 탈퇴했지만 대다수의 제휴사들은 아무것도 떠나서 그룹 내 재무 수익의 불규칙한 특성을 강조했습니다.
반 직관적으로,이 고유 한 무질서는 랜섬웨어 그룹을 덜 위험하게 만들지 않습니다. 오히려 그것은 그것들을 더욱 강력하고 방어하기가 도전적으로 만듭니다. 일관된 구조와 운영 표준이 없으면 방어자가 예측 가능한 플레이 북을 개발할 수 없습니다. 다른 사람이 랜섬 이후에 사라지는 반면, 지원 및 명예 계약을 제공 할 수있는 계열사 행동의 변동성은 사고 응답 계획을 복잡하게하고 몸값을 지불 할 때 인식 된 가치를 침식합니다. 또한 도난당한 데이터가 파괴되거나 비밀로 유지 될 것이라는 보장은 없습니다. 위반 데이터는 몇 달 후에 부활 할 수 있으며, 조직이 위기가 포함되었다고 생각한 후 오랫동안 개인 협상이나 보안 취약점을 노출시킬 수 있습니다.
Lockbit Leak에서 입증 한 제휴 모델은 무모함을 장려하는 것으로 보입니다. 성공적인 RAAS 기업에 브랜드 명성이 결정 되었음에도 불구하고,이 유출은 서비스 약관을 위반 한 계열사에 대한 놀라운 영향을 미쳤습니다. 이러한 책임 부족은 배우가 더 큰 위험을 감수하고, 더 큰 몸값을 요구하며, 최소한의 결과로 계속 움직일 수있게 해줄 수 있으며, 연구자들이 다른 RAAS 벤처로 확장 할 수있는 역동적 인 역동적입니다.
이 혼란스러운 현실을 감안할 때, 유일한 합리적인 방어는 포괄적 인 준비입니다. 여기에는 강력한 네트워크 세분화, 측면 이동에 대한 경계 모니터링, 다중 인 인증 구현 및 알려진 취약점의 적시 패치가 포함됩니다. 또한 몸값을 지불 한 후에도 지원이 실현되지 않을 수 있다는 비판적 가정으로 리허설 사고 대응 계획이 필요합니다.
Lockbit 누출은 고립 된 사건이 아닐 것입니다. 법 집행 압력이 강화되고 랜섬웨어 운영에 대한 재정적 인센티브가 잠재적으로 쇠약 해짐에 따라 랜섬웨어 그룹 내에서의 투쟁 증가가 예상됩니다. Lockbit 관리자가 이미 의심되는이 내부 투쟁은 보안 연구원에게 귀중한 실제 데이터를 제공 할 수 있습니다.
그러한 침입은 유명하고 예측할 수없는 버스트에서 작동하는 이기종 행위자의 확산으로 대체 된 눈에 띄는 브랜드 그룹의 감소로 이어질 것으로 예상된다. 이러한 변화는 귀속 노력을 복잡하게하고 위협 지능을 더 촉진시킬 것입니다. Raas 환경은 구조화 된 기업 계층이 아닌 혼잡하고 불안정한 환경과 점점 더 비슷할 것입니다.
방어는 너무 자주 Conti, Lockbit 또는 Blackcat과 같은 특정 브랜드 이름을 중심으로 브랜드를 이해하는 것이 기본 위협을 이해하는 것과 동일하다는 잘못된 의미를 만듭니다. 그러나 이러한 이름은 종종 그럴듯한 거부, 기술 편의성 및 단기 재무 이익을 위해 설계된 일회용 정체성입니다. 그들에게 의지하는 것은 끊임없이 진화하는 위협 환경에서 오해의 소지가있는 명확성을 제공합니다.
Lockbit 4.0 누출은 랜섬웨어 위협이 더 이상 (또는 아마도 결코) 지속적으로 구성, 중앙 집중화 또는 전적으로 예측할 수 없음을 강조하는 중요한 모닝콜 역할을합니다. 대신, 그것은 단편화되고 기회 주의적이며 하루 종일 혼란스러워지고 있습니다. 전략적 준비는 성공적인 방어를 위해 가장 중요합니다. 준비하지 못한 조직은 의심 할 여지없이 이러한 공격자들의 예측할 수없고 크게 책임이없는 특성으로 인해 불확실성이 높아질 것입니다.
도전에도 불구하고 낙관론이 있습니다. 위협 행위자에 대한 책임이 감소하면 RAAS 브랜드가 덜 성공할 수있어 네트워크 방어에 대한 기술 전술, 기술 및 절차 (TTP)가 줄어들 수 있습니다. 협상 전술을 연구하는 연구원들은 또한 브랜드에 관계없이 위협 행위자의 신뢰성을 평가하기 위해 중요한 신호를 제공하여 잠재적 손실을 최소화 할 수 있습니다. 마지막으로, 점점 더 무질서한 생태계에 대한 인식이 점점 커지면서 표적 방어 전략과 결합되어 궁극적으로 랜섬웨어 비즈니스를 적어도 다음의 방법의 진화까지 수익성이 없게 만들 수 있습니다.
Source: Lockbit 4.0 누출은 내부 충돌을 보여줍니다
