Srijeda 19. februara 2025. obilježila je prvu godišnjicu operacije Cronos, multinacionalni Cyber-ovi djelovanje za provođenje zakona koje je vodila u Velikoj Britanijskoj agenciji za zločinu (NCA) s podrškom globalnih partnera, koja je poremetila zloglasnu posadu za rinsBit u ciljanoj operaciji koja ima imao trajan uticaj na ekonomiju ransomware.
Gledajući se na 2023. i ranije, učinkovitost i uticaj Lockbita ne mogu se podcijeniti. Prema kontransferskoj jedinici (CTU) (CTU) na Secureworks-u, sada dio Sophosa, napadi zaključavanja činili su 25% svih nabrojanih žrtava na web lokacijama za propuštanje u prepuštanju u toku, a u to vrijeme sa svojim najbližim konkuretom, alplja / blackcat, upravljajući samo 12% .
Organizacije za zaključavanje širom Britanije i širom svijeta, sa svojim vjerojatno najistaknutijim žrtvama u Velikoj Britaniji, koja je odbacila pokušaj iznude veći od 60 miliona funti – opisanog u to vrijeme kao “apsurdni” – nakon što su garsomarni sustavi srušili na njemu Heathrow Worldwide Distribution Center u januaru 2023. godine, paraliziraju međunarodne isporuke već sedmicama.
Milost
Razmišljajući o uspjehu operacije Cronos, Securworks CTU Senior Istraživač Tim Mitchell rekao je: “Kada smo koordinirali naše istraživanje, zajedno sa zaplijenitim zaplestim za oduzimanje LACKBIT-a, 1924. godine, znali smo da je to značajan trenutak u borbi protiv borbe protiv Cyber zločinci.
“Bio je to prvi korak u stalnom maršu operacija protiv ransomware-a, široko su joj omogućili i cyber kriminal više. A najočitiji rezultat je oznaka koji je ostavljen na pejzažu, a podružnica rasipanja novim shemama ili se okreću u neovisne operacije. “
Paul Foster, šef jedinice za cyber kriminal NCA, rekao je da je tokom istrage koja vodi do operacije Cronos, i on imao poseban osjećaj da je Agencija bila na rubu značajnog udara za Grâce.
“Znali smo, u kontekstu ransomware-a, imali smo jedinstvenu priliku da značajno utječe na prijetnju”, rekao je on za kompjuterski tjednik. “Koliko često dobijate priliku da pogledate pejzaž prijetnji i kažete da vjerovatno možemo izvaditi – ako to učinimo dobro i desno – 25% te prijetnje?”
Greg Linares, sada glavni analitičar prijetnje na američkoj pružaocu sigurnosnog platforme zasnovanu zaštitu lovštva, ali u to vrijeme rade drugdje, također se sjeća događaja od 19. februara jasno. “Imali smo osećaj da će se to pojaviti”, rekao je. “Imali smo kontakte u FBI-u sa kojima smo radili … Ali nismo znali koliko će biti veliko. I to je bila masovna operacija, zaista je bila dobro izvršena. “
Ali naravno da je hitna akcija bila samo dio priče i mnogo zglobovi dostavljanja pravih udaraca u pravo vrijeme kako bi se maksimizirao nadaju rezultate – da ne učine, ne bi riskirao stvari koje bi se postigle.
Da biste dobili najbolje rezultate, NCA je izabrana da bi značajno proširila opseg svoje aktivnosti protiv bande.
“Mogli smo sve staviti na pokušaj da otkrijemo ko je iza Lockbit-a i efikasno izvadio Kingpin”, rekao je Foster.
“Slično tome, mogli smo otići na tehničku rutu i skinuti mjesto curenja, njihove prskajuće stranice, etcera. Alternativno, mogli smo izaći i otvoriti puno ljudi i pokušali da uhapsimo širom svijeta i optužili ljude i sankcionišu ljude.
“Zapravo, to je bila kombinacija svih onih stvari koje se isporučuje na sekvenciran način, u kombinaciji s vrlo jasnom javnom artikulacijom onoga što smo učinili i da su zajedno donijeli značajan razorni efekat.”
Udaranje također izdvaja rad partnera NCA-e, sigurnosnih istraživača, šire industrije privatnog sektora, pa čak i tehnologije i nacionalnih medija čiji su novinari preplavili priču, i čak izgradnju na njemu.
“Sve je to zajedno reklo da su kvalitetne operacije cyber kriminala u budućnosti trebaju biti višestruke, a ne linearne. Mislim da je to bila višestruka priroda operacija Cronos koji je bio jedan od ključnih razloga zašto je bilo tako uspješno. “
Držati pritisak
Nakon prvog uzbuđenja, i vijesti su počele spuštati pogled s Google pretraživanja, operacije Cronos nastavio je da se drži, s NCA i drugima – posebno svojim američkim partnerima – zakon o konstantnom nivou zakon za borbu protiv ransuma izvršna aktivnost.
Tokom 2024. godine daljnje najave, optužnice, pa čak i hapšenja, napravljene su protiv Lockbita i njegovih podružnica. Značajno su istražitelji nazvani-i-prekriveni lonchit ringleader lockbitsupp kao ruski nacionalni po imenu Dmitrij Khoroshev.
Vlasti su pokazale i dugoumnjane veze između bande i ruske vlade nakon demonstriranja veza između LockbitSUPP-a i zlih korpora Maksima Yakubeta, koji su vjerojatno imali pristup visokim Kremljnim zvaničnicima, a bivšeg čovjeka, i maju čak su dobili zadatak iz ruskih špijunskih agencija.
Ostale operacije su također ciljali operatere za propuštanje i pranje novca koji su pomogli sličima Lockbit-a da opere svoje zlostavljane dobitke. Nedavno je u februaru 2025. godine, britanska vlada najavila sankcije pružatelja usluga ruske infrastrukture Zservera i njenog predstavnika u Velikoj Britaniji, Xhost, “Bullet Otporni” uslugu hostinga koji su navodno olakšali napade zaključavanja u Velikoj Britaniji.
“Najočitiji rezultat je oznaka koji je ostavljen na pejzažu, a podružnica rasipanja novim shemama ili se okreću u neovisne operacije”, rekao je Mitchell u Sigurworks-u.
“Sa ovim poremećajima na status quo, dodao je trenje i povećao troškove za cyber zločince, što u konačnici čini takve operacije izazovnije za uspješno izvršavanje. Što više suradnja vidimo širom industrije i sa provođenjem zakona dovest će da se teže otežava cyber zločinci. “
Foster je dodao: “Naša ukupna procjena pejzaža prijetnji za ransomware je u tome što je to povećavalo, ali nije smanjeno. To su dobre vesti, jer se ubrzavalo u nekom stopi. U pokretanju do našeg poremećaja zaključavanja bilo je nedvosmisleno istinito da je prijetnja od ransumware-a kretala gore i gore. “
Da su ransomware napadi u njihovoj količini nisu samo posledica operacije Cronos, rekao je Foster, ali i odraz drugih operacija provedenih prošle godine i značajno povećana svijest o pretnjama za ransumware u relevantnim zainteresovanim zajednicama, što znači, Među cisosom i drugima su osnažili da poduzmu korake za rješavanje prijetnje.
Međutim, rekao je Foster: “Zabrinut sam se to [the ransomware threat] i dalje će rasti u budućnosti, a mislim da bismo to razumno očekivali ako ne možemo održavati svoj razorni utjecaj i razorni efekat, što znači više ovih operacija, u osnovi zasnovane na zajedničkoj saradnji i dijeljenju informacija, sa vladinim partnerima [and] između javnosti i privatnog sektora.
“Ovo nikada nije jedna organizacija misija, bez sumnje. To je svima izazov. I mislim da ako to možemo zadržati, nadam se da možemo nastaviti suzbiti prijetnju. “
Dokazi izbačeni putem Secureworks-ove telemetrije podržava volumen napada na ransomware napada, ali to takođe otkriva da je iako Lockbitova smrt izazvala usporavanje šireg krajolika, decembra i januara sa 61% u odnosu na 61% u odnosu na godinu dana Povećanje broja žrtava navedenih na web lokacijama propuštanja u decembru, a u januaru je 80%.
Takođe je značajno povećanje broja operativnih bandi, rekao je Mitchell. Pa, šta se događa ovde?
Prvih mjeseci u godini su uvijek vidjeli objavljivanje izvještaja o višestrukim godišnjim prijetnjama i ransomware iz sigurnosnih dobavljača – koji obično kažu potpuno ista stvar – Mitchell je objasnio, a početkom 2025. godine ukazala je na fragmentaciju ekosustava, kojim pjesmama Sa idejom da su mnogi pojedinci povezani sa Lockbitom rasipali na četiri vjetra.
“Povećanje tokom godine u broju operacija shema ukazuje na tu fragmentaciju u pejzažu. I važno je zapamtiti da je žrtva imenovan na mjestu propuštanja kada nisu platili otkupninu, pa bi se povećao brojevi žrtava mogao značiti da se broj žrtava koji plaćaju zapravo opada “, rekao je on.
Bande za ransomware pokazuju svoju otpornost
Na flipsiju, Linares na Hunomiji je rekla da je, nažalost, Lockbit također dokazao i prkosniji i otporniji nego što se mnogi nadali.
“Zanimljivo je kako je Lockbit obradio ovaj zadavač. To [Operation Cronos] Bio je vrlo uspješan, ali kao što svi znamo, Lockbit nije otišao “, rekao je. “Ponovo su se vratili zajedno. Reformirali su i ostali budni i uporni.
“To je testament koliko dobro mogu obavljati svoje aktivnosti. Za razliku od mnogih drugih grupa, dobro su organizirani i to nije njihov prvi rodeo. “
Rekao je i druge bande, poput Ransomhub, igranja, pa čak i CL0P, svi su ugrađivali elemente Lockbitove knjige u svoje i naučili lekcije iz njegove pad. Jedan značajan efekat toga je vjerovatno široko promatrani pad boravka u boravku, količinu između vremena između otpadnih softvera prvo pristupi mreži budućeg žrtava i kada izvrši svoj napad.
“Imamo [also] Vidjeli su da grupe čak iskazuju i iz ransomware-a u potpunosti i samo idite na ravnu iznudu, jer saznaju da se uhvate na nivou kada ispuštaju ransomware. Lockbit je apsolutno potaknuo neke od tih trendova “, rekao je Linares.
Pridomite u NCA je sanguine na činjenici da se lovačka banda – ili ljudi koji tvrde da su povezani s njima – još uvijek se pojavljuju redovito, često pokušavajući suzbiti na pripovijest NCA-e, a nedavno zadirkivati povratak na “posao” i Novi ormar za zlonamjernog softvera, Lockbit 4.0.
“Kad smo to učinili, znali smo da nikada nećemo moći u potpunosti izbrisati Lockbit zbog toga, postoji naslijeđeni kod, nakon što je nešto na mreži, u određenoj mjeri, i vrlo je jednostavno da ljudi usvoje marku ili pokušaju Pronađite nove stvari koje su mogli staviti tamo. Prihvatamo činjenicu da će uvijek biti malo zaostavštine lockbita koji pluta oko sistema “, rekao je.
“Mislim da je ono što je jasno da je sve što je ostalo od Locbita, kroz cyber kriminalni objektiv, ima vrlo malo vjerodostojnosti ako ih ima. To se igra u onome što vidimo u izvještavanju o žrtvi, svakako u Velikoj Britaniji.
“Razumijem da je Lockbit nedavno pokrenuo novu verziju pre nekoliko nedelja. Ne vidimo nikakav efekat iz toga. Nije bilo poznato, prijavljeno napad Locbit u Velikoj Britaniji već više od četiri mjeseca, a naši međunarodni partneri vide slične trendove “, dodao je.
To ne znači da se ne odvijaju napadi za otpatke za zaključavanje. Linares je rekao da je vjerodostojnost NCA operacija oštetila vjerodostojnost lockbit-a i lockbitsupp-a, čak i sada još uvijek ima neke aktivnosti bande.
“Uglavnom smo ih videli u vladi i bolnicama”, rekao je. “Jedna stvar koja se dogodila post-njihova zadava je da su počeli ići samo nakon ciljeva koji su bili mnogo veći – da pomognu njihovoj vjerodostojnosti i da im pomognu da im pomognu da pobijede novac i izgubili prihod.”
Prije par tjedana, rekao je, Hunoruc je počela vidjeti dokaze o prethodno vučenoj verziji Lockbit 4.0, sada nazvan lockbit zeleno – lockbit 4.0 crna verzija može biti dostupna i u skladu s nekim izvorima.
“Počinjemo da tamo videmo neke aktivnosti. Dakle, verujem dok [Operation Cronos] Pomogao je diskreditirati Lockbitsupp … nažalost, još uvijek otkucaju ljude “, rekao je Linares.
Ransomware ne ide
Žiri je još uvijek napoljuje da li je Lockbit 4,0 teška prijetnja, ali sigurna rada Mitchell je rekla da se moramo sjetiti šire prijetnje za otpad.
“Daleko od toga”, rekao je. “Iako se uticaj takvih napada na pojedine žrtve može smanjiti, doživljavajući incident za ransomware još uvek je vrlo loš dan u kancelariji.
“Organizacije bi trebale biti prioritetne osnove, uključujući redovno zakrpajući internetske uređaje, implementirajući multi-faktorsku provjeru identiteta otpornog na phishing [MFA] Kao dio politike uvjetnog pristupa i praćenje mreže i krajnjih točaka za zlonamjerne aktivnosti.
“Organizacije bi također trebale imati plan odgovora na incident, redovno se testirati u borbi kako bi se osiguralo da su spremni odgovoriti na cyber napad brzinom i preciznošću”, rekao je.
Foster takođe poziva branitelje da daju prioritet vlastitim cyber otpornošću i planovima odgovora za otkucavanje, opisujući sprovođenje zakona kao samo jednim oružjem u borbi, iako vrlo važan.
“Nikada nećemo paziti na zaključavanju, to bi bilo naivno, ali postoje i drugi sojevi za otkupničare koji su mi u ovom trenutku i ja daleko više zabrinuti u ovom trenutku”, zaključuje se.