Tehnologija

Ransomware: Ono što otkriva propuštanje podataka Lockbit 3.0

anketa.plus
Izvor: anketa.plus
Ransomware: Ono što otkriva propuštanje podataka Lockbit 3.0

Instanca administrativnog sučelja za podružnice franšize Ransomware napadnuta je 29. aprila. Podaci iz njegove SQL baze podataka su izvučeni i otkriveni

Od

  • Valéry Rieß-Marchive,Urednik

Objavljeno: 09. maja 2025. 16:00

Dana 7. maja 2024. godine, za vrijeme MACKBITSUPP-a, i 7. maja 20. maja, poznat i kao LockbitSupp, takođe poznat kao Lockbitsupp, agencije za nacionalnu kriminal u Velikoj Britaniji i operacije njegovih partnera Cronos: Dmitrij Yuryevich Khoroshev.

Godinu dana kasnije, na dan, cijeli sadržaj SQL baze podataka interfejsa web administracije za pridružene pridružene tvrtke. I ne baš bilo gdje – na web lokacijama za franšizu Ransomware. Ironija je – bili su hakirani. Podaci su izvučeni 29. aprila. To se odnosi na sistem koji je osnovan 18. decembra prošle godine.

Rijetka svjetlost

Ovi podaci pružaju neviđenu vidljivost u aktivnostima Lockbit 3.0 Ransomware-a. Datumi kompilacije zlonamjernog softvera za šifriranje omogućavaju prilagođavanje prethodnih procjena datuma pojave napada. U slučaju određenih poznatih žrtava, već su otkrili jaz između do 10 dana između kraja eksiltracije podataka žrtve i pokretanje šifriranja. To podvlači važnost napora za otkrivanje takve exfiltracije.

Ovi se podaci mogu koristiti i za pripisivanje različitih žrtava njihovim napadačima. Ova grupiranje bit će korisna za analizu pregovaračkih metoda i praćenje bilo kakvih otkupnih plaćanja.

Djelatnost podružnica za zaključavanje između 18. decembra 2024. i 29. aprila 2025. – Lemagit

Ova administrativna sučelja za podružnice sadržavalo je 75 korisničkih računa, od kojih su dvije najvjerovatnije koristile samo Lockbitsupp. Nije bilo manje od 35 računa “paused,” od kojih su se dva korištena protiv žrtava u Rusiji. Operator kompanije uvjeren je da je to razlog za njihovo suspenziju.

Ali samo 44 računa zapravo korišteno za generiranje ransumware-a i eventualno pokrenuti cyber napade. Od toga, 30 je bilo aktivno 29. aprila, ali čini se da su se samo sedam bavilo u provođenju napada u to vrijeme.

Lemagit

Kumulativna aktivnost po mjesecu, segmentirala je svjetskom regionom.

Geografski širenje

Istraživanje porijekla žrtava otkriva neobičan trend – u cijeloj vjerojatnosti, azijsko-pacifička regija bila je fokus za 35,5% napora u pitanju, u odnosu na 22% za Europu, a manje od 11% za Sjevernu Ameriku, iza latinske Amerike, iza latinske Amerike, iza latinske Amerike na 12%.

Lemagit

Globalna geografska raspodjela aktivnosti Boncbit 3.0 podružnica od kraja 2024. do kraja aprila 2025. godine.

Ali postoje vrlo izražene razlike između podružnica. Piotrbond, na primjer, koncentriran na azijsko-pacifičku regiju, sa 76% svojih žrtava. Isto se odnosi i na Umarbishop47 (81%). Darraghberg se kladio podjednako (33,3%) na ovom regionu i Afriku-Bliski Istok. Ali Jamescraig je također dao prednost Azijsko-pacifiku (42%).

Ovaj geografski pregled takođe naglašava nedostatak opažljivosti pretnje u ovoj regiji, posebno u Kini, koji je iznosio 51 žrtve u uzorku. Indonezija dolazi bliska sekunda sa 49 žrtava, a slijedi Indija (35).

Lemagit

Geografski slom aktivnosti različitih različitih podružnica u Buncbitu između 18. decembra 2024. i 29. aprila 2025. godine.

Podaci također sugeriraju da je Južna Koreja globalno podzastupljena u promatranoj zlonamjernim aktivnostima.

Ova neobična geografska distribucija može odražavati promjene u profilima koji su regrutirali Lockbit 3.0. Čini se da najaktivniji podružnice ne budu oni koji idu nakon najatraktivnijih žrtava.

Odraz tarnog imidža

Dostupni podaci sugeriraju da oni koji množe svoje žrtve pokušavaju ciljati potencijalno manje zrele ljude od drugih, čak i ako moraju platiti skromne sume, u zemljama po glavi stanovnika širom svjetskog prosjeka.

Pregovori su primijećeni podržavaju ovu analizu, a otkupnine iznose često se traži manje od 20.000 dolara.

Sve u svemu, čini se da je banner lockbit 3.0 trenutno ima samo dva ili tri aktivna visoko-leteća podružnica. Ovo je samo pola iznenađenja – međunarodno pravosudno operacija CRONOS-a udubljena je slika franšize poput mafije. Ako uspije privući bilo koga, njegova žalba je, iznenađujuće, ograničena.

Čak se pitate da li se neke žrtve koje odbijaju platiti otkupnina namerno se ne traže na lokaciji Lockbitove izložbe tako da ne budu još daljnje da se tami.

A ovaj novi curenje vjerovatno neće poboljšati stvari – izložio je TOX šifrirane id-ove e-pošte određenih podružnica, njihovih lozinki (pohranjenih u jasnom tekstu) i pseudonimi s kojima se ne sumnjaju nesumnjivo istražiti – da ne spominjumo privatne ključeve za šifriranje žrtava.

Pročitajte više o hakerima i prevenciji cyberfime-a

  • Superblack Ransomware može imati veze za zaključavanje

    Napisao: Alex Scroxton

  • Pejzaž zauvijek izmijenjen? Zatvarač za zaključavanje jedne godine

    Napisao: Alex Scroxton

  • Funksec banda je u decembru pojavila ransomware toplinu

    Napisao: Alex Scroxton

  • Lockbit Ransomware banda zadirkuje 2025. februara

    Napisao: Alex Scroxton