Interview with LockBit ransomware operator

เปเปอร์ Interview with a LockBit ransomware operator อยู่ในคลัง “ว่าจะอ่าน” ของผมมาตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา มันถูกเลือกมาเก็บไว้จากการ skim จนพอรู้ว่าเนื้อหานี้จะทำให้เราเข้าใจมุมมองหลายมุมมองที่เกิดขึ้นในปฏิบัติการของมัลแวร์เรียกค่าไถ่ หลังจากผ่านมาเกือบ 5 เดือนและกับเวลาไม่กี่ชั่วโมงในการอ่านมันอย่างตื่นเต้น โพสต์นี้ก็เกิดขึ้นเพื่อสรุปความน่าสนใจในเปเปอร์ชิ้นนี้

ผมตัดสินใจจัดกลุ่มประเด็นที่ปรากฎในเอกสารฉบับนี้ตามความพึงพอใจของผมเองเพื่อให้ง่ายต่อการอ่าน และอย่างที่ผมมักจะแสดงความคิดเห็นไว้เสมอ ผมยังคงสนับสนุนให้ผู้ที่สนใจในประเด็นนี้อย่างจริงจังนั้นได้ลองอ่านเอกสารต้นฉบับตัวเต็มด้วยเพื่อมุมมองที่อาจจะแตกต่างจากที่สิ่งที่ผมได้มา

บทความสรุปเอกสาร Interview with a LockBit ransomware operator จะถูกนำเสนอภายใต้การจัดกลุ่มหัวข้อดังนี้ครับ

  • Introduction ว่าด้วยเรื่องของการข้อมูลแวดล้อมทั่วไปของการสัมภาษณ์ การยืนยันตัวเอง ความน่าเชื่อและการออกความเห็น
  • The Actor ข้อมูลพื้นหลังของ Aleks หนึ่งในผู้เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ LockBit
  • Motivation แรงจูงใจซึ่งผลักดันให้ White-hat เปลี่ยนมาทำ Black-hat
  • Target Selection แนวทางการเลือกเป้าหมายในการโจมตีของ LockBit อะไรทำให้บริษัทในบางทวีปน่าสนใจ เลือกเป้าหมายอย่างไรก็ให้มีโอกาสได้ผลตอบแทนที่สูง
  • Operational ประเด็นในเชิงปฏิบัติการของกลุ่มมัลแวร์เรียกค่าไถ่ LockBit
  • Technical ประเด็นในเชิงเทคนิคซึ่งปรากฎในปฏิบัติการของกลุ่มมัลแวร์เรียกค่าไถ่ LockBit รวมไปถึงวิธีการในการโจมตี
  • Tools รายการเครื่องมือที่ใช้ในการโจมตี

Introduction

ทีม Talos จาก Cisco มีการพูดคุยกับหนึ่งในผู้เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ LockBit ในเดือนกันยายน 2020 โดยในฝั่งของผู้เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ LockBit มีการระบุและยืนยันว่าเขาเป็นหนึ่งในผู้ปฏิบัติการระดับสูงที่เกี่ยวข้องโดยตรงกับการโจมตีและจ่ายค่าไถ่ การสัมภาษณ์เริ่มต้นขึ้นจากความต้องการในฝั่งของผู้ปฏิบัติการของ LockBit ภายใต้เหตุผลที่เกี่ยวข้องกับความสนใจและเพื่อการค้นคว้าวิจัยในมุมมองของ White-hat อย่างทีม Talos ที่มีต่อวงการมัลแวร์เรียกค่าไถ่

ในการสัมภาษณ์และพูดคุยกัน ผู้ปฏิบัติการของกลุ่มมัลแวร์เรียกค่าไถ่ LockBit จะใช้ชื่อว่า Aleks

การสัมภาษณ์เกิดขึ้นภายใต้เงื่อนไขหลายอย่าง ไม่ว่าจะเป็นการพิสูจน์และยืนยันตัวตนว่า Aleks เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ LockBit จริง ขั้นตอนและกระบวนการในการพิสูจน์และยืนยันตัวตนนี้ปรากฎในรายงานต้นฉบับในหัวข้อ Initial Contact and Actor Credibility

Initial Contact and Actor Credibility

Talos มีการให้ความเห็นบางส่วนแทรกระหว่างการสัมภาษณ์เอาไว้ ความเห็นโดยส่วนใหญ่ระบุถึงข้อเท็จจริงบางอย่างซึ่งไม่สอดคล้องกับใจความที่ Aleks สื่อถึง ผมจะพยายามแยกความเห็นของ Talos ออกมาให้เห็นอย่างชัดเจนผ่านการแยกประเด็นที่นำเสนอ หรือการระบุว่าส่วนใดของเนื้อหาเป็นความเห็นของ Talos

The Actor

  • Aleks กล่าวว่าเขาศึกษาและหาความรู้เกี่ยวกับการเจาะระบบ, ความปลอดภัยของระบบ รวมไปถึงรวบรวมข่าวกรองเพื่อใช้ในการโจมตีด้วยตนเอง ผ่านการศึกษาจากแหล่งข้อมูลทั่วไปในอินเตอร์เน็ตและในเว็บบอร์ดของเหล่าอาชญากรไซเบอร์
  • ก่อนที่จะเริ่มต้นศึกษาเกี่ยวกับการเจาะระบบ Aleks ศึกษาประเด็นด้านเทคโนโลยีและระบบ การพัฒนาเว็บไซต์ การทำงานของเครือข่ายจนจบการศึกษาและทำงานเกี่ยวกับเทคโนโลยีสารสนเทศได้ อย่างไรก็ตามเขาได้ระบุในการสัมภาษณ์ถึงความผิดหวังหลายอย่างจากการทำงาน ยกตัวอย่างเช่น การถูกเพิกเฉยและละเลยจากการแจ้งเตือนปัญหาหรือช่องโหว่ของระบบ
  • Aleks ยังมีการให้ความเห็นถึงแนวทางของ Bug bounty program ที่ถูกออกแบบมาให้มีการตอบแทนผู้ที่ค้นพบช่องโหว่ โดยเขามองว่า Bug bounty program ถูกออกแบบมาเพื่อหลอกผู้หาช่องโหว่ให้เชื่อว่าช่องโหว่ได้รับแจ้งแล้วและตอบแทนเพื่อให้ลืมประเด็นดังกล่าวไป
    • อย่างไรก็ตาม Talos ให้ความเห็นไปในอีกแนวทางหนึ่งโดยอ้างการสำรวจจากสิ่งที่เกิดขึ้นในวงการ Bug bounty program ว่าสิ่งที่ Aleks กล่าวถึงนั้นอาจไม่เป็นความจริง และยังมีการให้ความเห็นเพิ่มเติมอีกว่า Aleks อาจมองในมุมของผู้ที่ไม่มีประสบการณ์ในการทำ Bug bounty หรือภายใต้คำบอกเล่าที่ไม่ถูกต้องจากบุคคลอื่น

Motivation

  • แรงจูงใจในการโจมตีด้วยมัลแวร์เรียกค่าไถ่มาจากความต้องการในการหารายได้ให้กับครอบครัว
  • ทีม Talos มีการให้ความเห็นเพิ่มเติมในประเด็นของแรงจูงใจในการโจมตีว่ามีความเกี่ยวข้องกับปัญหาที่เขาพบในการทำงาน การถูกเพิกเฉยและละเลยจากการแจ้งเตือนปัญหาหรือช่องโหว่ของระบบเป็นแรงผลักดันสำคัญที่ทำให้ Aleks เริ่มต้นในการเป็นอาชญากร ความคิดเห็นในประเด็นนี้ถูกสนับสนุนโดย Aleks เองว่าการโจมตีด้วยมัลแวร์เรียกค่าไถ่เป็นโอกาสที่เขาจะแสดงให้เหยื่อเห็นถึงสิ่งที่จะเกิดขึ้นหากเหยื่อไม่สนใจในประเด็นด้านความปลอดภัยไซเบอร์

Target Selection

Target Selection

  • Aleks ระบุอย่างชัดเจนของความมีอิทธิพลจากความชาตินิยมต่อเขา ซึ่งส่งผลต่อการเลือกเป้าหมายในการโจมตี ตัวอย่างเช่น คำกล่าวว่า “for a cybercriminal, the best country is Russia” หรือการเลือกที่จะไม่โจมตีประเทศซึ่งเคยอยู่ภายใต้สหภาพโซเวียตหรือเคยเป็นพันธมิตรกันอย่างประเทศจีน
    • Talos ให้ความเห็นในประเด็นของการเลือกเป้าหมายของ Aleks ว่ามีปัจจัยในเรื่องความปลอดภัยเข้ามาเกี่ยวข้องด้วย เนื่องจากมีความเป็นไปได้สูงว่าหากหน่วยงานหรือบริษัทในรัสเซียตกเป็นเป้าหมายในการโจมตีของ LockBit อาจเกิดความพยายามในการแก้แค้นจากกลุ่มมัลแวร์เรียกค่าไถ่กลุ่มอื่น
  • Aleks ยังระบุและย้ำอย่างชัดเจนว่า LockBit หลีกเลี่ยงที่จะโจมตีกลุ่มซึ่งให้บริการทางสาธารณสุข, ด้านการศึกษาและสหภาพแรงงาน และยังแสดงความไม่เห็นด้วยอย่างชัดเจนถึงแนวทางของมัลแวร์เรียกค่าไถ่กลุ่มอื่นที่มีแนวคิดของการเลือกเป้าหมายที่แตกต่างกัน
    • Talos มีการระบุและให้ความเห็นในประเด็นนี้ว่าแม้ Aleks จะระบุถึงเงื่อนไขในการเลือกเหยื่อในการโจมตีอย่างชัดเจน แต่ Aleks ก็อาจมีส่วนเกี่ยวข้องกับการโจมตีเหยื่อในกลุ่มนี้อ้างอิงจากข้อมูลที่มีการพูดคุยกับทาง Talos ซึ่งเป็นข้อมูลที่หากไม่เป็นผู้เกี่ยวข้องแล้วก็คงไม่อาจจะรู้ได้

Just because you are a criminal, doesn’t mean you have to stop being a human being

  • Aleks เลือกมักจะเลือกเป้าหมายเป็นบริษัททางด้านเทคโนโลยีสารสนเทศภายใต้ความคิดเห็นว่าบริษัทเหล่านี้ควรสนใจการรักษาความปลอดภัยให้มากกว่านี้
  • Aleks ระบุว่ากลุ่มประเทศในตะวันออกกลางนั้นเป็นเป้าหมายที่โจมตีได้ง่ายเนื่องจาก “weak cybersecurity”
  • การเกิดขึ้นธุรกิจประกันภัยไซเบอร์ในมุมของ Aleks นั้นเป็นประโยชน์ต่ออาชญากรไซเบอร์ เพราะเหยื่อยินดีที่จะจ่ายค่าไถ่เมื่อรู้ว่าตนมีโอกาสจะได้รับเงินชดเชยจากการทำประกันภัย
  • แม้กลุ่มมัลแวร์เรียกค่าไถ่หลายกลุ่มจะออกมาประกาศถึงเจตนารมณ์ของการไม่โจมตีบริษัทหรือหน่วยงานในบางกลุ่ม อาทิ หน่วยงานรัฐฯ, สถานศึกษาหรือหน่วยงานที่ให้บริการทางด้านสาธารณสุข กลุ่มมัลแวร์เรียกค่าไถ่หลายกลุ่มก็ยังคงเลือกที่จะผิดคำพูดในประเด็นนี้หากเป้าหมายในดังกล่าวเป็นเป้าหมายที่ง่ายในการโจมตีและมีโอกาสได้ผลตอบแทนที่สูง
  • โรงพยาบาลเป็นเหยื่อของกลุ่มมัลแวร์เรียกค่าไถ่ที่ได้รับความนิยม เนื่องจากในกรณีส่วนใหญ่ ระบบของโรงพยาบาลมีความเสี่ยงสูงและง่ายต่อการโจมตี ในขณะเดียวกันหากโจมตีสำเร็จแล้ว เป้าหมายอย่างโรงพยาบาลก็มีแนวโน้มที่จะจ่ายค่าไถ่ด้วยความจำเป็นด้วย
  • การประกาศใช้กฎหมายด้านข้อมูลส่วนบุคคลอย่าง GDPR มีส่วนช่วยในปฏิบัติการของมัลแวร์เรียกค่าไถ่อย่างอ้อม ๆ เนื่องจากเป้าหมายที่ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่และอยู่ภายใต้ GDPR มักเลือกจะจ่ายค่าไถ่เพื่อปิดข่าวการโจมตีมากกว่าการไม่จ่ายซึ่งจะทำให้ข่าวของการโจมตีถูกเผยแพร่สู่สาธารณะและนำมาสู่ประเด็นทางด้านกฎหมาย
  • แม้องค์กรและหน่วยงานในสหรัฐฯ จะเป็นเป้าหมายที่สร้างผลตอบแทนสูงในกรณีของการโจมตีโดยมัลแวร์เรียกค่าไถ่ การเกิดขึ้นของข้อบังคับและกฎหมายซึ่งบังคับให้เหยื่อที่ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ต้องมีการประกาศสู่สาธารณะก็ส่งผลต่ออัตราค่าไถ่ที่ได้เพราะผู้โจมตีจะมีข้อต่อรองที่น้อยลงในประเด็นของการข่มขู่ว่าจะเปิดเผยข้อมูลที่เกี่ยวข้องกับการโจมตี
    • Talos ให้ความเห็นในทางตรงกันข้ามในประเด็นของอัตราค่าไถ่ โดย Talos มองว่าแม้การประกาศแจ้งต่อสาธารณะถึงการโจมตีอาจจะมีผลทำให้อัตราของค่าไถ่ในลักษณะ double extortion ลดลง แต่เหยื่อหลายรายก็อาจจะยังคงจ่ายด้วยอัตราเท่าเดิมเพื่อป้องกันไม่ให้ข้อมูลรั่วไหล

Operational

  • Aleks ให้ความเห็นว่าการสร้างความเชื่อใจกับเหยื่อเป็นสิ่งที่สำคัญ การสร้างความเชื่อใจนั้นสามารถทำได้ผ่านการรักษาคำพูด เช่น ประเด็นของการลบข้อมูลของเหยื่อหลังจากที่มีการจ่ายค่าไถ่แล้ว และการไม่นำข้อมูลของเหยื่อไปเผยแพร่ที่อื่น นอกเสียจากเหยื่อจะไม่ทำตามเงื่อนไขของการข่มขู่เสียเอง
  • Aleks ให้ความเห็นว่าเกี่ยวกับการเข้าร่วมการโจมตีกับกลุ่มเอาไว้ในหลายประเด็น อาทิ Aleks มีความเห็นว่าอัตราส่วนแบ่งของกลุ่มมัลแวร์เรียกค่าไถ่ Maze นั้นไม่ยุติธรรมต่อผู้ปฏิบัติการที่ไม่ได้อยู่กับ Maze เอง ส่วนหนึ่งอาจเป็นเพราะ Maze มีการเรียกค่าไถ่เป็นจำนวนมากด้วย Aleks ยังมีความเห็นว่ากลุ่มมัลแวร์เรียกค่าไถ่อย่าง REvil นั้นอาจจะทำให้ไฟล์พังในกระบวนการเข้ารหัส ในขณะเดียวกันกลุ่ม Netwalker ก็มักจะทำระบบช้าระหว่างโจมตี
  • Aleks ระบุว่าเขามักจะทำงานคนเดียว ภายใต้การประสานงานกับบุคคลอื่นในเว็บบอร์ดใต้ดินที่อาจมีประโยชน์ในปฏิบัติการในลักษณะหุ้นส่วนทางธุรกิจ ซึ่งรวมไปถึงผู้ที่รับผิดชอบด้านการพัฒนามัลแวร์หรีอผู้ที่เกี่ยวข้องกับการหาข้อมูลเป้าหมาย เป็นต้น
  • กลุ่มผู้โจมตีและแพร่กระจายมัลแวร์เรียกค่าไถ่ยังคงเลือกระบบที่มีช่องโหว่ด้านความปลอดภัยและไม่มีการติดตั้งแพตช์ด้านความปลอดภัยอย่างเหมาะสมเพื่อเป็นช่องทางในการเข้าถึงระบบภายใน ปัญหาในเรื่องการติดตั้งและอัปเดตแพตช์อย่างสม่ำเสมอรวมไปถึงความยากในการแก้ปัญหานี้อย่างมีประสิทธิภาพต่างเป็นปัญหาที่รู้กันดีทั้งในมุมของผู้ดูแลระบบ ผู้เชี่ยวชาญด้านความปลอดภัยและในฝั่งของกลุ่มผู้โจมตีและแพร่กระจายมัลแวร์เรียกค่าไถ่ได้
  • การโจมตีเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ส่วนใหญ่ไม่ได้เกิดขึ้นจากช่องโหว่ที่พึ่งถูกค้นพบ แต่กลับเกิดขึ้นจากช่องโหว่ที่ถูกค้นพบมานานแล้ว เนื่องจากช่องโหว่ที่พึ่งถูกค้นพบนั้นอาจยังขาดการศึกษาและพัฒนาโค้ดสำหรับใช้เพื่อโจมตี ในทางกลับกันช่องโหว่ที่ถูกค้นพบมานานแล้วนั้นมีแนวโน้มมากกว่าที่จะมีการเผยแพร่โค้ดสำหรับโจมตีอย่างแพร่หลาย กลุ่มผู้โจมตีและแพร่กระจายมัลแวร์เรียกค่าไถ่จึงมีแนวโน้มมากว่าที่จะระบุหาว่าความบกพร่องในการแพตช์ช่องโหว่เก่าเพื่อใช้เป็นโอกาสในการโจมตี

Technical

Target Selection

  • การเปลี่ยนแปลงลักษณะในการปฏิบัติการทั้งในมุมทั่วไปและในมุมทางเทคนิคนั้นส่วนหนึ่งขึ้นอยู่กับการเปลี่ยนแปลงและพัฒนาในด้านความปลอดภัยไซเบอร์ ปัจจัยของการเปลี่ยนแปลงและพัฒนาที่ส่งผลต่อลักษณะในการปฏิบัติการนั้นทำให้ผู้ที่เกี่ยวข้องกับขบวนการต้องติดตามข่าวสารอยู่เสมอ รวมไปถึงมีการทดลองเทคนิคในการโจมตีที่พึ่งมีการค้นพบใหม่เพื่อใช้ในการโจมตีในอนาคต
  • Aleks ระบุถึงความได้เปรียบซึ่งมักถูกใช้ในการโจมตีที่มีมาจากช่องหว่างระหว่างการเปิดเผยข้อมูลช่องโหว่หรือเทคนิคการโจมตีใหม่กับการอิมพลีเมนต์แนวทางในตรวจจับ ป้องกันและตอบสนองช่องโหว่ใหม่หรือเทคนิคการโจมตีใหม่เหล่านั้น โดยระบุว่า “We use white hat research against them”
  • กลุ่มมัลแวร์เรียกค่าไถ่มักจะศึกษาเป้าหมายก่อนโดยอ้างอิงจากข้อมูลซึ่งปรากฎในเว็บบอร์ดใต้ดิน เนื่องจากในบางครั้งเว็บบอร์ดใต้ดินก็มีการขายข้อมูลที่เกี่ยวข้องกับเป้าหมายซึ่งมาจากการโจมตีครั้งก่อนหน้าหรือมาจาก Insider threat ขององค์กรนั้นเอง
  • เมื่อจะทำการโจมตี LockBit ศึกษาเป้าหมายในทุกมุมมอง อาทิ โดเมนที่เกี่ยวข้อง, ข้อมูลจาก AS, บล็อคของหมายเลขไอพีแอดเดรสที่เป้าหมายใช้และอื่น ๆ พยายามมองหาช่องทางในการเข้าถึงระบบเป้าหมายให้ได้มากที่สุด
  • การศึกษาเกี่ยวกับเป้าหมายเกิดขึ้นผ่านเซิร์ฟเวอร์ VPS และ bulletproof hosting ในรัสเซีย เนื่องจากผู้ให้บริการในรัสเซียมาจะเพิกเฉยเมื่อมีการแจ้งเตือนและประสานงานหากเซิร์ฟเวอร์ที่ให้บริการถูกนำมาใช้ในการโจมตี
  • การเข้าถึงที่ประสบความสำเร็จส่วนใหญ่มักเกิดจากการเปิดช่องทางให้เข้าถึงผ่านอินเตอร์เน็ตเอาไว้ และการใช้ข้อมูลในการพิสูจน์ตัวตนที่ถูกยึดครองแล้ว (หรือที่รู้จักกันในชื่อเทคนิค credential stuffing) เพื่อเข้าสู่ระบบ ข้อมูลพิสูจน์ตัวตนเหล่านี้มักมีขายอยู่ใน Dark web และเว็บบอร์ดใต้ดิน
  • ผู้ปฏิบัติการมักจะมีการติดตั้งช่องทางลับเอาไว้เพื่อใช้ในการควบคุมระบบเป้าหมาย ซอฟต์แวร์ที่มักถูกใช้ในการดำเนินการนี้คือ Cobalt Strike และ C3 ช่องทางลับหรือโทรจันมักจะถูกป้องกันการตรวจจับโดยการใช้เครื่องมืออย่าง Artifact Kit หรือ Shelter Pro
  • ผู้ปฏิบัติการจะพยายามไม่สร้างไฟล์ซึ่งเป็นหลักฐานในการโจมตี (fileless attack) ในกรณีของการติดตั้งช่องทางลับ โค้ดของมัลแวร์จะทำงานเฉพาะในหน่วยความจำเท่านั้น
  • เพื่อให้การควบคุมเป้าหมายผ่าน Coblat Strike หรือ C3 ไม่ถูกตรวจจับ ผู้โจมตีหรือผู้ปฏิบัติการจะมีการเพิ่มพารามิเตอร์เข้าไปในการทำ C&C หลายรายการเพื่อให้ทราฟิกของ C&C กลมกลืนไปกับระบบ รวมไปถึงการฟีเจอร์อย่าง Mallebale C2 เพื่อให้มีลักษณะคล้ายกับทราฟิกของเซอร์วิสหรือโปรแกรมทั่วไป
  • ยกระดับสิทธิ์ผ่านช่องโหว่ที่มีอยู่แล้วในระบบ ใช้ซอฟต์แวร์โอเพนซอร์สอย่าง winPEAS และ linPEAS ในการหาช่องโหว่นั้น เมื่อยกระดับสิทธิ์ได้ สิ่งที่จะทำต่อไปคือการปิดฟีเจอร์ด้านความปลอดภัยที่มีอยู่ในระบบ
  • เมื่อได้สิทธิ์ที่สูงในระบบ ผู้ปฏิบัติการจะพยายามเข้าถึงระบบอื่น ๆ ต่อ วิธีการโจมตีอย่างการพุ่งเป้าไปที่โปรโตคอล LLMNR และ NBT-NS มักถูกใช้ในกรณีเพื่อให้ได้มาซึ่งแฮชของรหัสผ่านของผู้ดูแลระบบ แฮชของรหัสผ่านจะถูกนำไปแคร็กโดยใช้ระบบข้างนอก อาทิ เซอร์วิสสำหรับแคร็กใน Dark web หรือผ่านบริการอย่าง Google Colab และ Colabcat
  • ผู้โจมตีหรือผู้ปฏิบัติการจะมีการซอฟต์แวร์อย่าง BloodHound ในการค้นหาข้อมูลภายในของระบบเป้าหมาย รวมไปถึงการระบุหาจุดในเครือข่าย/ระบบที่จะสร้างความเสียหายได้สูงสุดหากมีการติดตั้งมัลแวร์เรียกค่าไถ่

Tools

อาชญากรทางไซเบอร์โดยส่วนใหญ่ยังคงพึ่งพาการใช้ซอฟต์แวร์โอเพนซอร์สซึ่งสามารถดาวโหลดมาใช้งานได้จากอินเตอร์เน็ตในการโจมตี จากการวิเคราะห์ของผม การเลือกใช้ชอฟตแวร์โอเพนซอร์สที่มีอยู่แล้วในอินเตอร์เน็ตมีข้อดีต่อการทำอาชญากรรมทางไซเบอร์ในหลายประเด็น เช่น

  • ลดการลงทุนเพื่อพัฒนาซอฟต์แวร์หรือเครื่องมือในการโจมตีใหม่ ทำให้ return on invesment ของกลุ่มมัลแวร์เรียกค่าไถ่นั้นเกิดขึ้นได้จากต้นทุนที่ต่ำ (ประเด็นนี้เคยมีการพูดถึงไปแล้วในบทความเกี่ยวกับกลุ่ม FIN7)
  • สร้างความกลมกลืนไปกับภูมิทัศน์ของการทำอาชญากรรมไซเบอร์โดยกลุ่มผู้โจมตีอื่น หากกลุ่มอาชญากรไซเบอร์มีการใช้ซอฟต์แวร์หรือเครื่องมือที่เฉพาะ การระบุตัวตนและติดตามย่อมเกิดขึ้นได้โดยง่าย ในทางกลับกันหากกลุ่มอาชญากรมไซเบอร์มีการใช้ซอฟต์แวร์และเครื่องมือที่เหมือนกันหมด การระบุตัวตนและติดตามย่อมมีความยากตามไปด้วย

รายการซอฟต์แวร์ เครื่องมือและบริการที่ถูกใช้ในปฏิบัติการของ LockBit มีตามรายการดังนี้

  • Masscan
  • Shodan
  • Cobalt Strike และ Artifact Kit
  • Mimikatz
  • PowerShell
  • ZoomInfo
  • Nmap
  • RustScan
  • winPEAS
  • linPEAS
  • C3
  • Shelter Pro
  • Google Colab
  • Colabcat
  • BloodHound