FBI ve Birleşik Krallık yetkilileri arasındaki koordineli çabayla, kötü şöhretli LockBit fidye yazılımı grubuna agresif bir darbe indirildi. Siber suçlara karşı devam eden mücadeledeki en son gelişme, LockBit’in kolluk kuvvetleri tarafından ele geçirilmesi ve tehdit aktörüyle ilişkili 22 veri sızıntısı web sitesinin kapatılmasıdır.
LockBit sitesine erişmeye çalışan kullanıcılar, artık sitenin FBI ve uluslararası kolluk kuvveti Cronos Operasyonu ile birlikte çalışan Birleşik Krallık Ulusal Suç Ajansı (NCA) tarafından ele geçirildiğini belirten bir mesajla karşılaşıyor. Bu ortak operasyon, özellikle LockBit gibi fidye yazılımı gruplarının oluşturduğu siber tehditlere karşı mücadelede bir dönüm noktasına işaret ediyor.
Bununla birlikte, tehdit aktörü sofistike bir dönüş yapmış gibi görünüyor ve LockBit’in yayından kaldırılmasıyla ilgili bir bildirim mektubu yayınlayarak kullanıcıları olay ve atacağı sonraki adımlar hakkında bilgilendirdi.
LockBit Etki Alanının Kaldırılması: ‘Cronos Operasyonu’ Hakkında Ayrıntılar
11 farklı ülkeden kolluk kuvvetlerinin dahil olduğu LockBit yayından kaldırma operasyonu, LockBit ve bağlı kuruluşlarıyla ilişkili 11.000 alan adının ele geçirilmesiyle sonuçlandı. Bu hamle, grubun altyapısını bozmayı ve fidye yazılımı dağıtım sistemini ortadan kaldırmayı amaçlıyor; bu, hain faaliyetlerini frenlemede kritik bir adımdır.
Web sitesine erişim sağladıklarında kullanıcılar artık alışılagelmiş veri ihlali içeriği yerine şu mesajı görebiliyor: “Bu site artık Birleşik Krallık Ulusal Suç Teşkilatı’nın kontrolü altındadır ve FBI ve uluslararası kolluk kuvvetleriyle yakın işbirliği içinde çalışmaktadır. ekranda ‘Cronos Operasyonu’ görüntüleniyor.
LockBit fidye yazılımı grubu, kurbanların bilgisayarlarındaki dosyaları şifrelemek ve bunların serbest bırakılması için ödeme talep etmekle ünlüdür; bu uygulama, küresel olarak çeşitli sektörlerde hasara neden olmuştur. LockBit tarafından işe alınan üyeler, bu saldırıları gerçekleştirmek için grubun araçlarını ve altyapısını kullanıyor ve LockBit fidye gelirlerinden pay alıyor.
Bu koordineli eyleme katılan ülkeler arasında Kanada, Fransa, Japonya, İsviçre, Almanya, Avustralya, İsveç, Hollanda ve Finlandiya yer alıyor ve bu da siber suçlara karşı gösterilen çabanın uluslararası boyutunu gösteriyor.
LockBit Nöbetinin Teknik Tarafı: Çok Yönlü
EUROPOL, FBI, Birleşik Krallık Ulusal Suç Teşkilatı ve Cronos Operasyonu Yasa Uygulama Görev Gücü dahil olmak üzere kolluk kuvvetleri, LockBit’i kaldırma işlemini başlattı ve Lockbit ile ilişkili en az 22 Tor sitesi ‘Operasyon’ olarak adlandırılan durumdan etkilendi. Cronos’
Ele geçirilen web sitelerindeki bildirimlerde şu ifadeler yer alıyor: “Merhaba Emniyet güçleri, Lockbit platformunun kontrolünü ele geçirdi ve orada tutulan tüm bilgileri ele geçirdi. Bu bilgi Lockbit grubu ve sizinle ve onların bağlı kuruluşuyla ilgilidir.”
Lockbit fidye yazılımı grubunun idari personeli, Tox ve diğer kanallar aracılığıyla yayılan mesajlarla, sunucularının bir PHP güvenlik açığı (CVE-2023-3824) yoluyla tehlikeye atıldığını öne sürerek ele geçirmeyi doğruladı ve X’te vx-underground’u bildirdi (daha önce Twitter)
LockBit paneline erişmeye çalışan üyeler, platform üzerinde kolluk kuvvetlerinin kontrolünü gösteren bildirimlerle ve kurban ayrıntıları, gasp miktarları, çalınan veriler, sohbetler ve daha fazlası dahil olmak üzere kapsamlı veri toplama uyarılarıyla karşılanıyor.
Bu güvenlik açığının, yukarıda bahsedilen PHP güvenlik açığından yararlanılarak bellek bozulmasına veya uzaktan kod yürütülmesine yol açtığı düşünülüyor. Kolluk kuvvetlerinin bu koordineli çabası, siber suçlarla mücadele ve fidye yazılımı operasyonlarını engelleme konusundaki kararlılıklarını vurgulamaktadır.
LockBit’in Yayından Kaldırılmasına Yanıt
LockBit ele geçirmesine yanıt olarak fidye yazılımı grubu, Tox’ta toplu yayın yoluyla bir mektup paylaştı. Durumu özetleyen “Lockbit’ten Önemli Güvenlik Bildirimi – Eylem Gerekli” başlıklı bir bildirim mektubu bağlı kuruluşlara dağıtıldı. Mektup, LockBit ekibi tarafından tespit edilen ve NCA grubu tarafından gerçekleştirildiği iddia edilen yetkisiz erişimi vurguluyor.
İhlal, adlar, e-posta adresleri ve şifrelenmiş parolalar gibi kişisel verileri tehlikeye atma potansiyeli taşıyor ancak mali bilgilere veya sosyal güvenlik numaralarına erişime dair hiçbir kanıt yok. Buna yanıt olarak LockBit güvenlik önlemlerini artırdı, “operatörler ve siber suçlular” ile bir soruşturma başlattı ve etkilenen kişilere 12 ay boyunca ücretsiz kredi izleme olanağı sundu.
Bağlı kuruluşların şifrelerini sıfırlamaları, çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve şüpheli faaliyetlere karşı hesapları izlemeleri önerilir. Daha fazla yardım için bireyler, e-posta ve telefon aracılığıyla LockBit’in müşteri desteğiyle iletişime geçmeye yönlendiriliyor.
LockBit Fidye Yazılımı Grubunun Etkisi
LockBit’in etkisi dünya çapında hissedildi ve istatistikler, farklı bölgelerdeki fidye yazılımı olaylarındaki önemini ortaya koyuyor. CISA’ya göre, örneğin Avustralya’da LockBit, Nisan 2022’den Mart 2023’e kadar bildirilen fidye yazılımı olaylarının %18’ini oluştururken, Kanada’da 2022’de bu tür olayların %22’sinden sorumluydu.
Yeni Zelanda, 2022’de 15 LockBit fidye yazılımı örneği bildirdi; bu, CERT NZ tarafından alınan tüm fidye yazılımı raporlarının %23’ünü temsil ediyor. Benzer şekilde ABD’de LockBit saldırıları, 2022’de eyalet, yerel, kabile ve mahkeme hükümetlerini etkileyen fidye yazılımı olaylarının %16’sını oluşturdu. LockBit’in en çok kullanılan fidye yazılımı türlerinden biri olarak kötü şöhrete kavuşması, siber tehditlerle mücadelede uluslararası işbirliği ihtiyacını vurguluyor.
Son yayından kaldırma operasyonu, devam eden savaşta önemli bir zafere işaret ediyor, ancak aynı zamanda internette cezasız bir şekilde faaliyet gösteren fidye yazılımı gruplarının yarattığı devam eden zorlukları da vurguluyor. Kolluk kuvvetleri bu tür suç ağlarını ortadan kaldırma çabalarını sürdürürken, siber güvenlik dünya çapındaki kuruluşlar için acil bir endişe kaynağı olmaya devam ediyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.