LockBit fidye yazılımı saldırıları, hedeflere bulaşmak için çok çeşitli tekniklerin kullanılması ve aynı zamanda uç nokta güvenlik çözümlerini devre dışı bırakmak için adımlar atılmasıyla sürekli olarak gelişmektedir.
Cybereason güvenlik analistleri Loïc Castel ve Gal Romano, “LoïcBit’in hizmetlerini kullanan bağlı kuruluşlar, saldırılarını tercihlerine göre gerçekleştiriyor ve amaçlarına ulaşmak için farklı araçlar ve teknikler kullanıyor.” söz konusu. “Saldırı, öldürme zinciri boyunca ilerledikçe, farklı vakalardan gelen faaliyetler benzer faaliyetlere yaklaşma eğilimindedir.”
Çoğu grup gibi bir hizmet olarak fidye yazılımı (RaaS) modeli üzerinde çalışan LockBit, ilk olarak Eylül 2019’da gözlemlendi ve o zamandan beri bu yıl en baskın fidye yazılımı türü olarak ortaya çıktı ve diğer tanınmış grupları geride bıraktı. Conti, kovanve Kara kedi.
Bu, araçlarını ve altyapısını kullanma karşılığında saldırıları gerçekleştiren ve kurbanlardan alınan her başarılı fidye ödemesinin %80’ini kazanan bağlı kuruluşlara erişim lisansı veren kötü amaçlı yazılım yazarlarını içerir.
LockBit ayrıca, hedefin varlıklarını şifrelemeden önce büyük miktarda veriyi sızdırmak için popüler çifte gasp tekniğini kullanır ve Mayıs 2022 itibariyle siber suçlu sendikasını veri sızıntısı sitesinde en az 850 kurbanı netleştirir.
Saldırı Yaşam Döngüsü – Vaka Çalışması 1 |
Saldırı Yaşam Döngüsü – Örnek Olay 2 |
göre sızıntı sitesi veri analizi Palo Alto Networks Unit 42 tarafından LockBit, 2022’nin ilk çeyreği için fidye yazılımıyla ilgili tüm ihlal olaylarının %46’sını oluşturdu. Yalnızca Haziran ayında grup, 44 saldırıyla bağlantılıonu en aktif fidye yazılımı türü yapıyor.
LockBit fidye yazılımı saldırılarının ilk bulaşma için birkaç yol kullandığı bilinmektedir: Herkese açık RDP bağlantı noktalarını kullanmak, kötü amaçlı yükleri indirmek için kimlik avı e-postalarına güvenmek veya bağlı kuruluşların hedeflenen ağa uzaktan erişim elde etmesine izin veren yamalanmamış sunucu kusurlarından yararlanmak.
Bu adımı takiben, aktörlerin ağ üzerinde yanlamasına hareket etmesine, kalıcılık oluşturmasına, ayrıcalıkları yükseltmesine ve fidye yazılımını başlatmasına olanak tanıyan keşif ve kimlik bilgisi hırsızlığı faaliyetleri gelir. Buna ayrıca, yedeklemeleri silmek ve güvenlik duvarları ve antivirüs yazılımı tarafından algılamayı bozmak için çalışan komutlar eşlik eder.
LockBit’in sahneye çıkmasından bu yana geçen üç yıl içinde, tehdit aktörlerinin LockBit 2.0’ı Haziran 2021’de piyasaya sürmesi ve hizmetin üçüncü taksitini başlatmasıyla RaaS şeması iki önemli yükseltme aldı. Kilit Biti 3.0geçen ay Zcash kripto para birimi ödeme seçenekleri desteği ve bir fidye yazılımı grubu için ilk hata ödül programı ile.
Girişim, web sitesinde ve soyunma yazılımında güvenlik kör noktalarının bulunması, parlak fikirlerin sunulması, çetenin bağlı kuruluş programının başkanının suçlanması veya web sitesini barındıran sunucunun IP’sini açığa çıkarabilecek yöntemlerin belirlenmesi için 1 milyon dolara kadar ödül sunacağını iddia ediyor. TOR ağında.
Hata ödül programı, hacker gruplarının giderek daha fazla işlev gördüğünün bir başka işaretidir. meşru BT işletmeleriİK departmanlarını, düzenli özellik yayınlarını ve hatta zorlu sorunları çözmek için ikramiyeleri bir araya getiriyor.
Ancak belirtiler şu şekilde Kilit Biti 3.0LockBit Black olarak da bilinen başka bir fidye yazılımı ailesinden esinlenmiştir. karamaddeDarkSide’ın Kasım 2021’de kapatılan yeniden markalı bir versiyonu.
Emsisoft araştırmacısı Fabian Wosar, “Kodun büyük bölümleri doğrudan BlackMatter/Darkside’dan kopyalandı” söz konusu Bu hafta başlarında bir tweet’te. “Sanırım LockBit’in kirli ellerini başka bir grubun koduna bulaştırdığı açık.”