根据 黑暗读,Lockbit 4.0会员面板在5月被妥协,暴露了勒索软件即服务组内的操作不一致,揭示了混乱的内部实践,并提供了前所未有的观点,以表明lansomware Ecosystem的不受监管的性质。
洛克比特(Lockbit)多年来被认为是勒索软件景观中高度专业,高效的犯罪组织。这种看法将小组描绘成一个复杂的实体,类似于结构良好的技术创业公司。但是,最近洛克比特(Lockbit)4.0会员小组的接触对这一既定观点提出了质疑,而是揭示了以混乱,内部冲突和严重的操作不一致为特征的操作。该事件表明,勒索软件威胁的现实比以前所理解的更为分散和不可预测,这与纪律严明的企业型模型背道而驰。
5月发生的泄漏涵盖了大量数据,包括在Lockbit分支机构及其受害者之间交换了数千个聊天消息。这些数据还包含众多勒索软件构建,内部用户标签和加密货币信息。妥协 Lockbit的4.0 会员面板的替换为标志,它用指导到此综合数据转储的链接进行了替换。此事件为勒索软件即服务(RAAS)Ventures的运营动力学提供了广泛的幕后动态,此后在2022年2月从Conti泄漏获得了类似的见解,这也阐明了勒索软件帮派的运营。
对泄漏材料的分析表明,会员勒索软件生态系统主要以机会性和混乱的基础运行。分支机构表现出不同程度的专业水平,通常从中央洛克比特平台的监督下运行。一些分支机构与受害者进行了仔细的谈判过程,并在付款后始终提供解密工具。相反,其他分支机构将在获得赎金付款后立即停止通信。一种特定的交互记录了一个会员,将损坏的文件归因于防病毒软件,并指示受害者等待正确的解密工具,并指出:“老板很忙。”这种沟通最终在没有解决受害者的情况下停止了。
管理Lockbit平台的既定规则经常被其分支机构忽略。 Lockbit的运营指南明确禁止针对俄罗斯组织。尽管禁令,但两个俄罗斯政府实体在2月仍受到袭击。为了减轻影响并保留小组的声誉,Lockbit管理员直接进行了干预,为受影响的组织提供了免费的解密者。造成这些特定攻击的会员随后被暂停,并指定了内部标签“ Ru Target”,表明他们违反了有关俄罗斯目标的规则。
泄漏所揭示的洛克比特运营的财务方面也表现出缺乏清晰度和一致性。对与各种勒索尝试相关的159个比特币钱包的检查表明,其中只有19个钱包实际上收到了资金。这种差异表明,某些分支机构可能已经在官方Lockbit平台之外进行了谈判和交易,这可能会规避该平台对赎金支付的20%佣金。一个会员成功地从瑞士云提供商那里勒索了超过200万美元。但是,大多数参与勒索尝试的分支机构最终没有从其运营中获得任何资金。
在这些群体中观察到的混乱并没有减少他们的威胁,而是使防御策略变得复杂。分支机构中缺乏一致的结构或标准化的操作程序,使后卫很难开发可预测的响应剧本。会员行为的差异可以提供支持和荣誉协议,而另一个人在付款后消失,在事件响应计划中引入了明显的不可预测性。这种不一致也减少了支付赎金的感知价值,因为不能保证成功的结果,例如提供有效的解密或停止数据暴露。
