Elégetlen a LockBit zsarolóvírus vállalkozás vezetősége a saját partneri alvállalkozói hálózatukban (affiliate network) tevékenykedők "munkához" való hozzáállásával. A lusta vagy tehetségtelen kártevő terjesztő partnerek a vezetés szerint túl kevés pénzt fizetnek be a központi kasszába, és sokszor ezek az összegek jóval alacsonyabbak az előírt központi elvárásokhoz képest is.
Tíz évvel vagyunk túl a CryptoLocker feltűnése után, ami az új generációs zsarolóvírusok nulla kilométerköve volt 2013-ban. Erős és egyedi titkosítással kódolta el a felhasználók adatait, titkosított C&C szerverrel irányították a fertőzött gépeket, és Bitcoin formájában követeltek váltságdíjat az állományok feloldásáért. Azóta egész iparág szerveződött erre a jól kitalált és halálos konstrukcióra.
A jelentősebb szereplők azóta már RaaS, azaz szolgáltatásként bérelhető módon is árusítják a ransomware támadás lehetőségét, valamint közvetlen pénzkereseti lehetőséget is kínálnak azoknak a terjesztőknek, akik ezzel mint külső partnerek kívánnak foglalkozni. Emellett persze további káoszt okoztak a kiszivárgott ransomware forráskódok is, amelyek szintén megsokszorozták a szereplőket a támadói oldalon.
A LockBit egyike azon hírhedt orosz hátterű bűnözői csapatoknak, akik már számos címlapra kerülő támadást indítottak különféle célpontok ellen. 2022-ben 78 GB érzékeny bizalmas adatot zsákmányoltak például az olasz adóhivataltól, de 2019. óta sok további akció köthető a nevükhöz.
Ami még emlékezetes lehet, hogy a 2.0-ás verzió megjelenésekor már direktben toboroztak olyan sértett munkavállalókat, akik bosszúból vagy pénzért adnak el bizalmas céges adatokat, belsős munkahelyi hozzáféréseket, jelszavakat.Az ajánlataikban ezért szép summát és "garantált" anonimitást kínáltak cserébe. A 3.0-ás változat még tovább ment, egyenesen BugBounty programot indított 1000 és 1 millió dollár közötti jutalomért a felfedezett hibákért.
Ezúttal pedig a bűnbanda vezetői úgy látják, hogy túlságosan felhígult az alvállalkozói kör, és a tapasztalatlan partnerek nagyban rontják az üzletüket: rosszul tárgyalnak az áldozatokkal, túl korán túl sok kedvezményt kínálnak fel számukra az eredeti váltságdíjhoz képest és sok esetben még árulkodó nyomokat is hagynak maguk után.
A LockBit szerint sokan alapból 90%-os kedvezménnyel nyitnak, csak hogy minél hamarabb valamennyi pénzhez jussanak. Emiatt akárcsak egy valódi klasszikus vállalkozásnál, itt is előírásokat és elvárásokat fogalmaztak meg a cégvezetők, többek közt arról, hogy mekkora lehet a maximálisan felajánlható engedmény, és hogy a kezdeti váltságdíjhoz képest mekkora összegről indulhatnak meg a tárgyalások az áldozatokkal.
Mostantól az ilyen szerződött alvállalkozói partnerek - akik maguk is bűnözők - vagy tartják magukat az eredeti központilag megszabott feltételekben előírt összegekhez, vagy meghatározott irányelvek mentén kell intézniük a zsarolást. A megtámadott intézmény éves árbevételéhez igazodó minimális váltságdíjat kell alkalmazniuk, és 2023. október 1-től már szigorúan tilos az eredetileg kért összeg 50%-át meghaladó kedvezményt adniuk a megtámadott céggel folytatott levelezésben a tárgyalási folyamat során. Ha pedig azt látják, hogy az áldozat vállalat rendelkezik kiberbiztosítással, úgy ne is engedjenek az alkudozásnak.
Valamint azt is részletesen előírták számukra, hogy pontosan hogyan kell meghatározniuk a kezdeti váltságdíj összeget az áldozat intézmény éves bevételével arányosan. Általában azért ritka, hogy ennyire sikerül belelátni az ellenoldali ügyek részletes menetébe.
Zárásképpen pedig egy hozzájuk kapcsolódó korábbi másik érdekesség, ami 2023. tavaszán történt. Ekkor a vezetők szintén elégetlenek voltak egyik saját partnerükkel. A kanadai SickKids gyermekkórház elleni ransomware támadás kapcsán élesen elítélték az egyik szerződött bűnözői partnerük akcióját arra hivatkozva, hogy ezzel a cselekményükkel etikailag megsértették a megállapodási feltételeket, és ekkor közvetlenül beleavatkozva az eseményekbe elnézést kértek, majd ingyenes helyreállító kulcsot küldtek a pórul járt egészségügyi intézménynek, illetve felbontották a szerintük szabályt sértő alvállalkozóval az együttműködést.
Innentől akár jöhet hozzájuk a blokkoló óra, az előírt félórás ebédszünet, termelési értekezletek és a havi Zoomos teljesítményértékelés is...