ロックビットは何年もの間、ランサムウェアの最高の操作と広く考えられており、しばしば、その想定されているプロ意識と効率性で称賛されていました。しかし、5月のLockbitの4.0アフィリエイトパネルの大幅な漏れは、この幻想を劇的に解体し、混乱、内部紛争、顕著な矛盾に満ちた作戦を明らかにしました。
漏れは、サービスとしてのランサムウェア(RAAS)操作の内部の仕組みに関する前例のない洞察を提供し、日和見的で混oticとした生態系を暴露しました。 Lockbit Affiliatesとその被害者の間の4,000を超えるチャットメッセージ、数千のランサムウェアビルド、内部ユーザータグ、および広範なCryptowalletデータが含まれていました。この一連の情報は、しばしば想像される規律のある犯罪企業から遠く離れた絵を描いており、代わりに断片化された予測不可能な脅威の景観を強調しています。
リークからの重要な啓示は、Lockbit自身の運用規則を広く無視したことでした。アフィリエイトは頻繁に被害者を無視し、障害のある復号化ツールを提供し、プラットフォームへの支払いを回避し、標準の20%の削減を回避しました。 1つの注目すべき例では、アフィリエイトはアンチウイルスソフトウェアの破損したファイルを非難し、「ボスは非常に忙しい」ため、最終的にはコミュニケーションを完全に停止するため、犠牲者に正しい復号化ツールを待つよう指示しました。
おそらく最も驚くべきことに、アフィリエイトはロシアの組織を標的にすることに対するLockbitの明示的な規則に激しく違反しました。 2月、2つのロシア政府機関が攻撃されました。評判の損害を軽減し、放射性降下物を封じ込めるために、Lockbit管理者が介入し、影響を受ける組織に無料の復号化者を提供しました。これらの攻撃を担当するアフィリエイトは、その後中断され、「RUターゲット」でタグ付けされました。
リークによって明らかにされたように、Lockbitの運用の財政的側面は同様に混乱していました。恐torの試みに関連して特定された159のビットコインウォレットのうち、実際に資金を受け取ったのは19のみでした。一部の関連会社はLockbitプラットフォームの外で交渉して手数料をバイパスしたかもしれませんが、身代金を収集するための全体的な成功率は非常に低かったです。たとえば、1人のアフィリエイトがスイスのクラウドプロバイダーから200万ドル以上を強要しましたが、アフィリエイトの大多数は何もなく立ち去り、グループ内の金融リターンの不安定な性質を強調しました。
直感に反して、この固有の混乱はランサムウェアグループの危険性を低下させません。むしろ、それは彼らをより手ごわくし、守ることを挑戦的にします。一貫した構造と運用基準がないため、防御者が予測可能なプレイブックを開発することができません。アフィリエイトの行動の変動は、支援と名誉の協定を提供する可能性があり、別の人がransom後に消えている場合、インシデント対応計画を複製し、身代金を支払う際に認識された価値を損ないます。さらに、盗まれたデータが破壊または秘密にされるという保証はありません。違反からのデータは、数か月後に再浮上する可能性があり、組織が危機が抑えられていると考えてからずっと後に、民間交渉またはセキュリティの脆弱性を暴露する可能性があります。
ロックビット漏れによって示されるアフィリエイトモデルは、無謀さを奨励するように見えます。ブランドの評判はRAAS企業の成功に不可欠であるにもかかわらず、利用規約に違反したアフィリエイトにとって驚くべき影響の欠如を示しました。この説明責任の欠如は、俳優がより大きなリスクを冒し、より大きなランサムを要求し、最小限の結果または結果を伴わずに進むために俳優を巻き起こす可能性があります。
この混oticとした現実を考えると、唯一の合理的な防御は包括的な準備です。これには、堅牢なネットワークセグメンテーション、横方向の動きのための注意深い監視、多因子認証の実装、および既知の脆弱性のタイムリーなパッチングが含まれます。また、身代金が支払われた後でも支援が実現しないかもしれないという重要な仮定を伴うインシデント対応計画のリハーサルが必要です。
lockbit漏れは、孤立した事件である可能性は低いです。法執行機関の圧力が激化し、ランサムウェアの運用に対する財政的インセンティブが潜在的に衰退するにつれて、ランサムウェアグループ内の内紛の増加が予想されます。すでにLockbitの管理者によって疑われるこの内部争いは、セキュリティ研究者に非常に貴重な現実世界のデータを提供する可能性があります。
このような内紛は、著名なブランドグループの減少につながると予想されており、短期間で予測不可能なバーストで活動する不均一な俳優の拡散に取って代わられます。このシフトは、帰属の取り組みを複雑にし、脅威の知能を激しくします。 Raasの風景は、構造化された企業階層ではなく、混雑した不安定な環境にますます似ています。
防御は、Conti、Lockbit、またはBlackcatなどの特定のブランド名を中心にしていることが多く、ブランドを理解することは根本的な脅威を理解することに相当するという誤った感覚を作成します。ただし、これらの名前は多くの場合、可処分可能性であり、もっともらしい否定、技術の利便性、短期的な財政的利益のために設計されています。それらに頼ることは、絶えず進化する脅威の状況において、誤解を招く明快感を提供します。
Lockbit 4.0リークは、ランサムウェアの脅威が一貫して整理されている、一貫して集中化されていない、または完全に予測可能ではないことを強調しており、重要なモーニングコールとして機能します。代わりに、それは断片化され、日和見的であり、その日までに混oticとしています。戦略的準備は、防御を成功させるために最も重要です。準備に失敗した組織は、これらの攻撃者の予測不可能でほとんど説明できない性質のために、間違いなく不確実性の高まりに直面するでしょう。
課題にもかかわらず、楽観主義があります。脅威アクターに対する説明責任の低下は、RAASブランドの成功度が低下する可能性があり、ネットワーク防御が対抗するための技術的戦術、テクニック、手順(TTP)のセットが削減される可能性があります。交渉戦術を研究する研究者は、ブランドに関係なく、脅威アクターの信頼性を評価するための重要なシグナルを提供し、それによって潜在的な損失を最小限に抑えることもできます。最後に、このますます混乱している生態系に対する認識が高まり、ターゲットを絞った防御戦略と組み合わせることで、少なくとも次の方法の進化まで、ランサムウェアビジネスを不採算にする可能性があります。
Source: Lockbit 4.0リークは内部紛争を明らかにします
