Bilgisayar korsanları, kurbanların dosyalarını başarılı bir şekilde şifrelemelerine ve şifre çözme anahtarlarını sağlamak için fidye talep etmelerine olanak tanıyan gelişmiş şifreleme işlevleri nedeniyle LockBit 3.0 fidye yazılımından yararlanıyor.
LockBit 3.0’ın gizliliği, saldırı yöntemlerini geliştirerek tehdit aktörlerinin izinsiz olarak sistemlere izinsiz girmelerini sağlayarak fidye yazılımını başarılı bir şekilde dağıtma şansının daha yüksek olmasını sağlar.
Kaspersky Labs’taki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının dünya çapındaki kuruluşlara saldırmak için özelleştirilmiş LockBit 3.0 fidye yazılımını aktif olarak kullandığını keşfetti.
LockBit 3.0 Fidye Yazılımını Özelleştirin
Son zamanlarda tehdit aktörleri, bir olaya müdahale müdahalesi yoluyla şifrelenmemiş yönetici oturum açma bilgilerini elde etme güçlerini gösterdi.
Bu tür kimlik bilgileri, LockBit 3.0 fidye yazılımının en son sürümünü tasarlamak ve oluşturmak için kullanıldı.
Bu özelleştirilmiş kötü amaçlı yazılım, yanal hareket gerçekleştirmek için çalınan parolaları kullandı, Windows Defender’ı kapattı, olay günlüklerini sildi ve son olarak ağdaki verileri şifreledi.
Basitleştirilmiş bir LockBit 3.0 oluşturucu, tehdit aktörlerinin kimliğe bürünme, ağ paylaşımı şifrelemesi, süreç sonlandırma ve PsExec aracılığıyla ağ yayılımı gibi seçenekleri seçmesini kolaylaştırır.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Bu olay, kimlik hırsızlığının içerdiği tehlikenin yanı sıra tehdit aktörlerinin LockBit 3.0 gibi araçları son derece kişiselleştirilmiş ve kaçamak fidye yazılımı tehditlerine nasıl kolaylıkla silahlandırdığını da açıklıyor.
Oluşturucu, saldırganların hedefin ağ mimarisine göre hangi dosyaların, dizinlerin ve sistemlerin şifreleneceğini veya hariç tutulacağını seçerek fidye yazılımını özelleştirmesine olanak tanır.
Teslimat için ana yürütülebilir dosya (LB3.exe), şifre çözücü, parola korumalı değişkenler ve enjeksiyon teknikleri dahil olmak üzere özel kötü amaçlı yazılımlar oluşturulur.
Bu özel yapının çalıştırılması, fidye yazılımının işlevselliğini gösterir, ancak fidyeyi ödemek tavsiye edilmez ve dosyaları kurtarma olasılığı düşüktür.
.webp)
Dosyaların şifresi, araştırmacıların fidye yazılımı örnekleri için kendilerinin oluşturduğu şifre çözücü kullanılarak güvenli bir laboratuvarda başarıyla çözüldü.
Ancak Şubat 2024’te altyapılarına ve şifre çözme anahtarlarına kolluk kuvvetleri tarafından el konulmasıyla sonuçlanan Cronos Operasyonu’nun ardından gerçek LockBit grubu faaliyetlerini geçici olarak durdurdu.
Bunun yanı sıra LockBit, kısa süre içinde faaliyetlerine yeniden başladıklarını açıkladı. check_decryption_id yardımcı programı, kullanıcıların bilinen kurbanlar için doğru anahtarlara sahip olup olmadıklarını doğrulamalarına olanak tanıyacak.
.webp)
check_decrypt aracı şifrenin çözülebilirliğini değerlendirir, ancak sonuç birden fazla koşula bağlıdır ve bu araç yalnızca analiz edilen sistemlerde hangi koşulların karşılandığını kontrol eder.
Şifresi çözülebilir dosyaları listeleyen ve bunları geri yüklemeye ilişkin daha fazla talimat için bir e-posta adresi sağlayan bir CSV dosyası oluşturulur.
Bu araç seti dikkatimizi çekti çünkü birkaç LockBit tehdit vakasını araştırmıştık.
Araştırmacılar, şifre çözme aracı aracılığıyla kurban kimliklerini ve şifrelenmiş dosyaları incelediler, ancak çoğu aynı sonucu gösterdi; “check_decrypt”, bilinen anahtarlar kullanılarak şifre çözmenin imkansız olduğunu doğruladı.
Sızan geliştirici, LockBit rakipleri tarafından Bağımsız Devletler Topluluğu şirketlerini hedeflemek için kullanıldı, LockBit’in BDT vatandaşlarının risklerini önlemek için kuralını ihlal etti ve LockBit operatörlerinin olaya karışmadıklarını açıkladıkları bir karanlık ağ tartışmasını tetikledi.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Güçlü kötü amaçlı yazılım önleme yazılımlarından yararlanın.
- Yönetilen Tespit ve Yanıt’ı (MDR) kullanın.
- Kullanılmayan hizmetleri ve bağlantı noktalarını devre dışı bırakın.
- Tüm sistemleri ve yazılımları güncel tutun.
- Düzenli penetrasyon testleri ve güvenlik açığı taramaları yapın.
- Personel farkındalığı için siber güvenlik eğitimi sağlayın.
- Sık sık yedekleme yapın ve bunları test edin.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.