Kaspersky’deki siber güvenlik araştırmacıları, siber suçlu gruplarının dünya çapındaki kuruluşlara yönelik hedefli saldırılar için ölümcül LockBit 3.0 fidye yazılımını özelleştirdiğine dair kanıtlar ortaya çıkardı.
Bu, tehdit aktörlerinin kötü amaçlı yazılımı belirli hedeflere karşı maksimum etki ve etkinlik sağlayacak şekilde uyarlamasına olanak tanır.
Bulgular, araştırmacının, ilk kez 2022’de yeraltı forumlarında ortaya çıkan, sızdırılmış LockBit 3.0 oluşturucusuna ilişkin analizinden geliyor.
Bu oluşturucu, ağ yayma yetenekleri ve devre dışı bırakılacak savunmalar gibi seçenekleri yapılandırarak suçluların fidye yazılımının özelleştirilmiş sürümlerini oluşturmasına olanak tanır.
Kaspersky Küresel Araştırma ve Analiz Ekibi Direktörü Dmitry Bestuzhev, “Sızdırılan geliştirici, özel fidye yazılımı çeşitleri oluşturma sürecini önemli ölçüde basitleştirdi” dedi. “Bu, özellikle saldırganların hedeflenen ağda ayrıcalıklı kimlik bilgileri elde edebilmesi durumunda yeni bir tehlike düzeyine yol açıyor.”
Özelleştirilmiş Saldırı Yıkım İzi Bırakıyor
Endişe verici bir olay müdahale vakasında araştırmacılar, saldırganların düz metin yönetici kimlik bilgilerini çalmayı başardıklarını tespit etti.
Daha sonra çalınan bu ayrıcalıkları kullanarak ağ genelinde hızla yayılabilen özelleştirilmiş bir fidye yazılımı çeşidi oluşturmak için LockBit oluşturucuyu kullandılar.
Özelleştirilmiş kötü amaçlı yazılım, risk altındaki sistemlerdeki verileri şifrelemeden önce Windows Defender korumalarını öldürdü ve izlerini kapatmak için olay günlüklerini sildi. Bestuzhev bunu “hasarı en üst düzeye çıkarmayı ve kurbanı sakat bırakmayı amaçlayan hassas bir saldırı” olarak nitelendirdi.
Araştırmacılar son aylarda Rusya, İtalya, Gine-Bissau ve Şili’de benzer özelleştirilmiş LockBit saldırıları tespit etti. Çoğu, varsayılan veya biraz değiştirilmiş yapılandırmalara güvense de, çalınan kimlik bilgileriyle ilgili olay, potansiyel yıkımı gösteriyor.
Bestuzhev, “Daha fazla tehdit grubu LockBit oluşturucuya erişim sağladıkça bu eğilimin hızlanmasını bekliyoruz” diye uyardı. “Kötü amaçlı yazılımları belirli hedeflere göre uyarlamak, saldırıları katlanarak daha güçlü hale getiriyor.”
Savunma Tedbirlerinin Arttırılması Çağrısı
Bulgular, siber güvenlik uzmanlarının kuruluşlara savunma duruşlarını ve olaylara müdahale hazırlıklarını radikal bir şekilde geliştirmeleri yönünde çağrıda bulunmasını sağladı. Çok faktörlü kimlik doğrulamayı uygulamak, yamaları hemen yüklemek ve sıkı kimlik bilgileri hijyen politikalarını sürdürmek kritik öneme sahiptir.
Londra’daki CyberSec Consultants CEO’su Emily Pycroft, “Suçluların mevcut korumaları aşacak şekilde fidye yazılımı türlerini özelleştirme yeteneği, oyunun kurallarını değiştiren bir gelişme” dedi. “Bu gelişmiş tehditlere karşı savunma yapmak, yeni bir zihniyet ve proaktif önlemler gerektiriyor.”
LockBit 3.0 yayılmaya devam ederken, siber güvenlik topluluğu, kurumsal savunmalarda delik açmak için tasarlanmış yüksek etkili, hedefli fidye yazılımı saldırılarının tırmanmasına hazırlanıyor. Gelişen tehdidin önünde kalmak için hızlı eylem gerekli olabilir.
Uzlaşma göstergeleri
Ana bilgisayar tabanlı:
- 8138f1af1dc51cde924aa2360f12d650
- decd6b94792a22119e1b5a1ed99e8961
Ağ tabanlı:
- update.centos-yum[.]com (199.231.211)[.]19)
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.