Hizmet olarak LockBit fidye yazılımı (RaaS) grubu, bu kez Batı Afrika’daki kimliği belirsiz bir kuruluşa karşı karmaşık bir saldırı başlatmak için çalıntı kimlik bilgilerini kullanarak başka bir kurbanı daha vurdu. Saldırganlar LockBit 3.0 oluşturucunun yeni bir versiyonunu kullandılar. 2022’de sızdırıldı.
Kaspersky araştırmacıları, Batı Afrika’daki olaya müdahale ettikten sonra Mart 2024’ün sonunda en son varyantı keşfettiler ve o sırada bunu Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen ve Trojan-Ransom olarak tanımladılar. Win32.Generic. Bu varyantla ilgili özellikle endişe verici olan şey, kendisine karşı savunulması zor, özel, kendi kendine yayılan fidye yazılımları üretebilmesidir.
Saldırı sırasında, yönetici kimliğine bürünen tehdit aktörleri birden fazla ana bilgisayara kötü amaçlı yazılım bulaştırdı ve bunu kurbanın ağına derinlemesine yaymayı amaçladı. Kaspersky’ye göre özelleştirilmiş fidye yazılımı, Windows Defender’ı devre dışı bırakmak, ağ paylaşımlarını şifrelemek ve eylemlerinin keşfedilmesini önlemek için Windows Olay Günlüklerini silmek de dahil olmak üzere çeşitli kötü amaçlı eylemler gerçekleştirdi.
Araştırmacılar, bu varyantın belirli sistemlere doğrudan saldırılar düzenleyebildiğini ve belirli .docx veya .xlsx dosyalarına da bulaşabildiğini keşfetti. Kaspersky olay müdahale uzmanı Cristian Souza, “Sızdırılan ayrıcalıklı kimlik bilgilerinin kullanılması, saldırganların kurbanın altyapısı üzerinde tam kontrol sahibi olmasına ve izlerini örtmesine olanak tanıdığından bu bulgunun niteliği oldukça kritik” diyor.
Souza’ya göre, Batı Afrika’daki yeni LockBit varyantının vurduğu kuruluş, Kaspersky Küresel Acil Durum Müdahale Ekibi’nin (GERT) bugüne kadar bu bölgede karşılaştığı tek kurban oldu. “Ancak diğer bölgelerde sızdırılan inşaatçının kullanıldığı başka olaylar da tespit ettik” diyor.
LockBit 3.0’ın Saldırganlara Çekiciliği
2022’de sızdırıldığından bu yana saldırganlar, özelleştirilmiş sürümler ve varyantlar oluşturmak için LockBit 3.0 oluşturucuyu aktif olarak kullanmaya devam etti. “Bu, ağ yayılma seçeneklerini ve savunmayı öldürme işlevselliğini yapılandırmak mümkün olduğundan, kötü niyetli aktörlerin saldırılarını daha etkili hale getirmeleri için çok sayıda olasılık açıyor.” saldırıyla ilgili araştırma özeti ve Kaspersky tarafından yayınlanan varyantın ayrıntılı bir açıklaması. “Saldırganın hedef altyapıda geçerli ayrıcalıklı kimlik bilgilerine sahip olması daha da tehlikeli hale gelir.”
Trend Micro’nun yakın tarihli bir raporuna göre LockBit grubu, 2023’teki tüm fidye yazılımı saldırılarının en az %25’inden sorumluydu ve 2020’den bu yana binlerce kurbanı hedef aldı. LockBit 3.0 oluşturucu, tehdit aktörleri arasında popüler bir araç çünkü herhangi bir fidye yazılımı gerektirmiyor. ileri programlama becerileri.
Şubat 2024’te uluslararası bir kolluk kuvvetleri grubu olan Cronos Grubu şunu iddia etti: Grubun altyapısını çökertmiştiancak bir haftadan kısa bir süre sonra, LockBit düzeldiğini bildirdi ve işe geri döndü.
LockBit Saldırılarına Karşı Koruma
LockBit’in fidye yazılımı saldırılarında yaygın bir güç olmaya devam edip etmeyeceği konusundaki tartışmalar devam ederken Kaspersky, kuruluşlara herhangi bir gruptan gelecek saldırıları önlemek için atacakları adımların aynısını atmalarını tavsiye ediyor. Bu adımlar arasında, uygun şekilde yapılandırılmış kötü amaçlı yazılımdan koruma ve uç nokta algılama yazılımının kullanılması, yönetilen bir algılama ve yanıt çözümünün uygulanması, güvenlik açığı değerlendirmelerinin ve sızma testlerinin yürütülmesi ve kritik verilerin yedeklerinin gerçekleştirilmesi ve test edilmesi yer alır.
Ayrıca Sousa, ağ yöneticilerinin ağ bölümlemesini kullanmasını, çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmasını, izin verilen uygulamaları beyaz listeye almasını ve “iyi tanımlanmış bir olay müdahale planına sahip olmasını” öneriyor.