Yıllardır siber güvenlik dünyasında “altın standart” olarak görülen ve profesyonel bir siber suç örgütü imajı çizen LockBit, son sızıntıyla birlikte bu algıyı tamamen değiştirdi. LockBit’in 4.0 sürümüne ait iştirakçi panelinin sızdırılması, bu sözde profesyonel yapının arkasında yatan kaosu, iç çatışmaları ve tutarsızlıkları gözler önüne serdi. Bu gelişme, fidye yazılımı gruplarının disiplinli ve merkezi suç örgütleri olduğu yanılsamasını yıkarak, gerçek tehdidin çok daha parçalı ve öngörülemez olduğunu ortaya koydu.
Mayıs ayında gerçekleşen sızıntı, LockBit iştirakçileri ile kurbanları arasındaki binlerce sohbet mesajını içeriyordu. Bu mesajlar, fidye yazılımı ekosisteminin işleyişindeki fırsatçılığı ve düzensizliği tüm açıklığıyla ortaya koydu. İştirakçilerin kurbanları görmezden geldiği, bozuk şifre çözme araçları sağladığı, platforma ödeme yapmaktan kaçındığı ve hatta Rus devlet kurumları gibi yasaklı hedeflere saldırdığı belirlendi.
7 Mayıs’ta LockBit’in 4.0 iştirakçi paneli ele geçirildi ve yerine 4.000’den fazla sohbet mesajı, binlerce fidye yazılımı yapısı, dahili kullanıcı etiketleri ve kripto para cüzdanı verilerini içeren bir veri dökümü bağlantısı yerleştirildi. Bu olay, Şubat 2022’deki Conti sızıntılarının ardından fidye yazılımı-hizmet olarak (RaaS) operasyonlarının perde arkasına eşi benzeri görülmemiş bir bakış sundu.
Sızıntı, iştirakçi fidye yazılımı ekosisteminin büyük ölçüde fırsatçı ve düzensiz olduğunu gösterdi. İştirakçilerin çok az denetimle çalıştığı ve profesyonelliklerinin büyük farklılıklar gösterdiği anlaşıldı. Bazıları ödemeleri dikkatle müzakere edip şifre çözmeyi tamamlarken, diğerleri fidye ödendiği anda ortadan kayboluyordu. Bir örnekte, bir iştirakçi bozuk dosyaları antivirüs yazılımına atfederek, kurbana doğru şifre çözme aracını beklemesini “patronun çok meşgul” olduğunu söyleyerek talimat verdi. Bu durum, iştirakçinin yanıt vermeyi tamamen bırakmasına kadar devam etti.
LockBit platformunun sözde kuralları bile iştirakçiler tarafından göz ardı edildi. LockBit kuralları, iştirakçilerin Rus kuruluşlarını hedef almaması gerektiğini belirtse de, Şubat ayında iki Rus hükümet kuruluşu saldırıya uğradı. Bu durumun yol açtığı olumsuz sonuçları engellemek için LockBit yöneticileri devreye girerek, itibar kaybetmemek adına ücretsiz şifre çözücüler sundu. Saldırıdan sorumlu iştirakçi askıya alındı ve “ru target” (Rus hedefi) olarak etiketlendi.
Operasyonun ekonomik boyutları da belirsizliğini koruyordu. Fidye girişimleriyle bağlantılı 159 Bitcoin cüzdanından sadece 19’una para aktarıldığı görüldü. Bazı iştirakçiler, platformun %20’lik kesintisini ödememek için LockBit’in platformu dışında müzakereler yürütmüş olabilir. Bir iştirakçi, İsviçreli bir bulut sağlayıcısından 2 milyon dolardan fazla fidye aldı. Ancak çoğu iştirakçi, bu girişimlerden hiçbir kazanç elde edemedi.
Bu düzensizliğin fidye yazılımlarını durdurmayı daha da zorlaştırdığı düşünülüyor. Düzensizlik, bu grupları daha az tehlikeli gibi gösterse de, aslında tam tersi geçerli. Tutarlı bir yapı veya standartlar olmaması, savunmacıların en iyi şekilde hazırlanmalarını sağlayacak öngörülebilir bir strateji geliştirmeyi zorlaştırıyor. Bir iştirakçi destek sunup ödeme anlaşmalarına sadık kalırken, bir diğeri fidye topladıktan sonra ortadan kaybolabiliyor. Bu öngörülemezlik, olay müdahale planlamasını karmaşıklaştırıyor ve fidye ödemenin zaten az olan algılanan değerini daha da azaltıyor.
Ayrıca, çalınan verilerin imha edileceği veya gizli tutulacağı konusunda da hiçbir garanti bulunmuyor. Veri ihlallerinden elde edilen bilgiler aylar sonra ortaya çıkabiliyor, bir kuruluşun özel müzakerelerini veya güvenlik açıklarını, krizin kontrol altına alındığına inanıldıktan sonra bile ifşa edebiliyor. Şaşırtıcı bir şekilde, bu durum iştirakçi modelinin pervasızlığı teşvik ettiğini gösteriyor. Marka itibarı başarılı bir RaaS girişimi için anahtar olsa da, bariz kural ihlalleri dışında, hizmet şartlarını ihlal eden iştirakçilere yönelik herhangi bir yaptırım bulunamadı. Bu durum da aktörlerin daha büyük riskler almaktan, daha fazla para talep etmekten ve minimum veya sıfır sonuçla yoluna devam etmekten çekinmemesine neden olabilir.
Bu bağlamda tek rasyonel savunma müzakere etmek değil, hazırlıklı olmaktır. Bu, ağları bölümlere ayırmak, yan hareketleri izlemek, çok faktörlü kimlik doğrulamayı uygulamak ve bilinen güvenlik açıklarını yamamak anlamına geliyor. Ayrıca, bir fidye ödendikten sonra bile yardımın gelmeyeceği varsayımıyla olay müdahalesini prova etmek de kritik önem taşıyor.
LockBit sızıntısının son olmayacağı kesin. Kolluk kuvvetlerinin baskısı artmaya devam ettikçe ve finansal teşvikler azaldıkça, fidye yazılımı grupları içinde daha fazla iç çatışma görülmesi muhtemel. Bu durum, güvenlik araştırmacılarına paha biçilmez gerçek dünya verileri sağlayacaktır. Bu iç çatışmalar, daha az markalaşmış grupların ortaya çıkmasına ve heterojen aktörlerin kısa süreli operasyonlar yürütmesine yol açacaktır. Attribüsyon zorlaşacak, tehdit istihbaratı bulanıklaşacak ve RaaS ortamı kurumsal bir hiyerarşiden çok, kalabalık ve istikrarsız bir atmosfere benzeyecektir.
Çoğu zaman savunmalar, Conti, LockBit, BlackCat gibi isimler etrafında şekillenir; sanki bir markayla savaşmak, temel tehdidi anlamak anlamına geliyormuş gibi. Ancak bu isimler, inkar edilebilirlik, teknolojik kolaylık ve kısa vadeli kazanç için oluşturulmuş tek kullanımlık kimliklerdir. Onlara sıkıca tutunmak yanlış bir açıklık duygusu sunar. LockBit 4.0 sızıntısı bir uyandırma çağrısı niteliğindedir: Fidye yazılımı tehdidi artık çok düzenli, merkezi veya tutarlı değil. Parçalı, fırsatçı ve her geçen gün daha kaotik hale geliyor. Hazırlıklı olmak, başarılı bir savunmanın temel taşıdır: Hazırlıksız olanlar, saldırganların hesap verebilirliğinin olmamasından kaynaklanan belirsizlikle karşı karşıya kalacaklardır.
Ancak bir umut da var: Daha az hesap verebilirlik, daha az başarılı RaaS markaları anlamına geliyor; bu da ağ savunmalarını bilgilendirmek için daha az sayıda teknik taktik, teknik ve prosedür (TTP) setiyle sonuçlanacak. Müzakere taktiklerini inceleyen araştırmacılar, kayıpları en aza indirmek için markalarından bağımsız olarak bir tehdit aktörünün güvenilirliğini değerlendirmek üzere sinyaller sağlayabilir. Son olarak, bu tehdide yönelik artan farkındalık, daha düzensiz bir ekosistemle birleştiğinde, siber suçluların işlerini karsız hale getirebilir. Tabii ki bir sonraki hamlelerine kadar.
