CISA, FBI ve diğerleri tarafından yayınlanan ortak bir danışma belgesi, Malwarebytes tarafından bulunan verilerle uyumlu bazı ilginç istatistikler gösteriyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ve Avustralya, Kanada, Birleşik Krallık, Almanya, Fransa ve Siber Güvenlik yetkilileri Yeni Zelanda (CERT NZ, NCSC-NZ), LockBit hakkında ortak bir Siber Güvenlik Danışma Belgesi yayınladı.
Kuruluşların bu küresel tehdidi ve onun çok sayıda bağlantısız LockBit bağlı kuruluşunu anlamasına ve bunlara karşı savunma yapmasına yardımcı olmak için Fidye Yazılımı Tehdit Aktörlerini Anlamak: LockBit başlıklı danışma belgesi şunları içerir:
- LockBit aktörleri tarafından kullanılan yaklaşık 30 ücretsiz ve açık kaynaklı aracın listesi
- 40’tan fazla TTP’si MITRE ATT&CK ile eşlendi
- Sömürü için kullanılan gözlemlenen yaygın güvenlik açıkları ve riskler (CVE’ler)
- Dünya çapındaki trendler ve istatistiklerle birlikte LockBit RaaS’ın (Hizmet Olarak Fidye Yazılımı) evrimi
- Yazarlık ajanslarından temin edilebilen kaynaklar ve hizmetler ve dünya çapındaki LockBit etkinliğine karşı korunmaya yardımcı olmak için önerilen azaltmalar
Danışma belgesi, 2022’de LockBit’in veri sızıntısı sitesinde iddia edilen kurban sayısı açısından en aktif küresel fidye yazılımı grubu ve RaaS sağlayıcısı olduğuna dikkat çekiyor.
Bu, Malwarebytes’in LockBit’in en aktif Hizmet Olarak Fidye Yazılımı operatörü olduğu yönündeki bulgularını doğrular. Aylık Fidye Yazılımı İncelemelerimizde, Cl0p yakın bir rakip olmasına rağmen, LockBit genellikle kurban sayısında üst sıralarda yer alır. Cl0p, çetenin popüler iş araçlarında bir güvenlik açığı edindiği, bir istismar yöntemi geliştirdiği ve ardından bulabildiği her savunmasız örnekte kullandığı farklı bir çalışma yöntemine geçti. Bu nedenle saldırılar dalgalar halinde gelirken LockBit daha sabittir.
RaaS operatörü olmanın avantajlarından biri, ilk erişim aracılarının (IAB’ler) masaya getirdiği saldırı vektörlerinin çeşitliliğidir. Bazıları malspam konusunda uzmanlaşırken, diğerleri yamaların gerisinde kalan kuruluşlara karşı bilinen güvenlik açıklarını kullanır veya VPN’ler, RDP veya SSH gibi İnternet’e yönelik sistemleri kaba kuvvetle uygulamaya çalışır. Dolayısıyla, bir bağlı kuruluş kötü bir ay geçirdiğinde, diğeri muhtemelen bunu telafi edecektir.
Bu çeşitliliğin savunucular için başka bir dezavantajı var. Danışmanlık şunları belirtir:
“Operasyondaki çok sayıda bağlantısız bağlı kuruluş nedeniyle, LockBit fidye yazılımı saldırıları, gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler) bakımından önemli ölçüde farklılık gösterir. Gözlemlenen fidye yazılımı TTP’lerindeki bu farklılık, ağ güvenliğini sürdürmek ve fidye yazılımı tehdidine karşı koruma sağlamak için çalışan kuruluşlar için dikkate değer bir zorluk teşkil ediyor.”
Bir RaaS modelinin operatörleri için bir dezavantaj, ihtiyaç duyulan karşılıklı güvendir. DarkSide ve Avaddon gibi diğer birçok RaaS operatörünün kapanmasının nedeni büyük olasılıkla bu, olağanüstü bir zorluk olduğunu kanıtlaması gereken isimsiz suçlular arasındaysanız.
IAB’lerin coğrafi dağılımı da bazı dikkate değer farklılıkların gerekçesidir. Katılımcı ülkelerden bazıları, LockBit’in fidye yazılımı saldırılarındaki payı için kendi istatistiklerini sağladı; Avustralya, geçen yıl çetenin bildirilen toplam fidye yazılımı olaylarının %18’ini oluşturduğunu belirtti. Kanada (%22) ve Yeni Zelanda’da (%23), 2022’de her beş saldırıdan birden fazlasından LockBit sorumluydu.
Fransa, 2020’den beri gördüğü saldırıların %11’inin LockBit’i içerdiğini söyledi. Bununla birlikte, ABD’de, hemen hemen her ticari fidye yazılımı grubunun ana hedefi olan LockBit, belediye ve ilçe hükümetleri, kamu yüksek öğrenimi ve K-12 okullarının yanı sıra hayati hizmetler dahil olmak üzere kamu kuruluşlarına yönelik saldırıların %16’sından sorumludur. kolluk.
Danışma belgesi ayrıca LockBit bağlı kuruluşları tarafından dağıtılan meşru araçların, güvenlik açıklarının, taktiklerin ve tekniklerin uzun listelerini sağlar. Belirttiğimiz gibi üye sayısı (100’ün üzerinde) ve çeşitliliği nedeniyle bu listeler uzun ve değişebilir.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE