Güvenlik araştırmacıları, kötü şöhretli LockBit 5.0 fidye yazılımı operasyonuna ilişkin, 205.185.116.233 IP adresi ve grubun en son sızıntı sitesini barındıran karma0.xyz alanı da dahil olmak üzere kritik altyapı ayrıntılarını ortaya çıkardı.
Keşif, siber suç örgütü için önemli bir operasyonel güvenlik başarısızlığını temsil ediyor.
Siber güvenlik araştırmacısı Rakesh Krishnan, yasa dışı faaliyetler için sıklıkla istismar edilen bir ağ olan AS53667 (PONYNET, FranTech Solutions tarafından işletilen) kapsamında barındırılan sunucuyu tanımlayan bulguları ilk kez 5 Aralık 2025’te duyurdu.
Sunucu, fidye yazılımı grubunun operasyonlarındaki doğrudan rolünü doğrulayan “LOCKBITS.5.0” markalı bir DDoS koruma sayfası görüntülüyor.
WHOIS kayıtları, karma0.xyz’nin 12 Nisan 2025’te kaydedildiğini ve son kullanma tarihinin Nisan 2026’da olduğunu gösteriyor.
Alan adı Cloudflare ad sunucularını ve Namecheap gizlilik korumasını kullanıyor ve iletişim konumu olarak Reykjavik, İzlanda’yı listeliyor.
Alan adı durumu, müşteri aktarımının yasak olduğunu gösteriyor ve bu da artan inceleme ortamında kontrolü sürdürme girişimlerini akla getiriyor.
Açığa Çıkan Kritik Güvenlik Açıkları
Güvenlik taramaları, açığa çıkan sunucuda birden fazla açık bağlantı noktası ortaya çıkardı ve bu da önemli güvenlik riskleri oluşturdu.
Bağlantı noktası 21 bir FTP sunucusunu çalıştırırken, bağlantı noktası 80, OpenSSL/3.1.3 ve PHP/8.0.30 ile Apache/2.4.58’i (Win64) çalıştırır.
Bağlantı noktası 3389, WINDOWS-401V6QI adlı bir Windows ana bilgisayarında Uzak Masaüstü Protokolünü (RDP) açığa çıkarır ve yetkisiz erişim için yüksek riskli bir vektör sunar.
Ek açık bağlantı noktaları arasında HTTP ve WinRM için sırasıyla 5000 ve 5985 bulunur; HTTP için bağlantı noktası 47001; ve bir dosya sunucusu için bağlantı noktası 49666.
LockBit 5.0, Windows, Linux ve ESXi sistemlerini destekleyen gelişmiş kötü amaçlı yazılım yetenekleriyle Eylül 2025 civarında ortaya çıktı.
Fidye yazılımı, rastgele dosya uzantılarına, Rus sistemlerini atlayan coğrafi konum tabanlı kaçırmaya ve XChaCha20 algoritmalarını kullanarak hızlandırılmış şifrelemeye sahiptir.
CyberSecurityNews’e göre araştırmacılar, grubun Smokeloader’ı saldırı kampanyalarına dahil ettiğini belirtti.
Güvenlik savunucuları, açığa çıkan IP adresini ve etki alanını derhal engellemelidir. Kuruluşlar olası uzlaşma girişimlerine karşı bu göstergeleri izleyebilir.
Bu ifşa, çok sayıda yasa uygulama kesintisine rağmen LockBit’in kalıcı operasyonel güvenlik hatalarını vurguluyor.
Grup, dünya çapındaki kuruluşları hedef alan aktif fidye yazılımı operasyonlarını sürdürürken dayanıklılık göstermeye devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.