LockBit fidye yazılımının yeni sürümünün arkasındaki kişiler, güvenlik sektörü verilerine göre ağustos ayına göre dörtte bir oranında artış gösteren fidye yazılımı saldırılarındaki daha büyük artışın ortasında, Eylül ayında hedeflemelerini önemli ölçüde genişletti.
NCC Group’un en son aylık raporu Tehdit darbesi Rapor, saldırı hacimlerinin altı ay içinde ilk kez %28 artışla 421 gözlemlenen ve bildirilen olaya yükseldiğini ortaya koyuyor. Bu tüm zamanların en yüksek seviyesi olmasa da firmanın tehdit ekibi, bunun bayram sezonu yaklaşırken yeni bir yükselişin sinyalini verebileceğini söyledi.
NCC tehdit istihbaratı başkanı Matt Hull, “Eylül ayında saldırılardaki artış, son zamanlarda gördüğümüz düşüşün artık sona erdiğinin bir işareti olabilir” dedi.
“Saldırganların yoğun sezonuna (Kara Cuma ve Noel hızla yaklaşırken) yaklaşırken, kuruluşlar kayıtsız kalamaz. Özellikle ulaştırma ve perakende sektörüne yönelik son saldırılar, kesintinin ne kadar ciddi olabileceğini gösterdi.
“Kuruluşların güçlü üçüncü taraf risk yönetimine, olaylara hızlı müdahaleye ve proaktif güvenlik stratejilerine sahip olduklarından emin olmaları gerekiyor” dedi.
Ancak NCC’nin raporu şu anda duruma hakim olanın Qilin, Akira ve INC Ransom operasyonları olduğunu söylese de Check Point’ten gelen istihbarat, LockBit’in genel operatörlerinin Amerika, Asya ve Avrupa’daki kuruluşlara LockBit 5.0 Chuongdong varyantıyla saldırdığını ve Eylül ayında en az bir düzine kurban topladığını ortaya koyuyor.
Bir zamanlar NCC’nin veri kümelerindeki en baskın hizmet olarak fidye yazılımı (RaaS) ekibi olan LockBit, Birleşik Krallık Ulusal Suç Teşkilatı tarafından Cronos Operasyonu adı verilen koordineli, çok uluslu bir operasyonla ortadan kaldırıldı. Bu operasyon, 18 ay kadar önce Şubat 2024’te gerçekleşti. Çete, o dönemde tüm veri sızıntısı sitesi kurban ilanlarının üçte birinden sorumluydu.
Bununla birlikte, siber suç yeraltında büyük bir kesintiye neden olan oldukça etkili bir şekilde ortadan kaldırmaya rağmen, LockBit’in yöneticisi LockBitSupp (kamuoyunda Rus uyruklu Dmitry Khoroshev olarak anılıyor) takipçileriyle alay etmeye devam etti ve Ağustos ayında grubun işe geri döndüğünü ilan etmek için RAMP forumunu kullandı.
Check Point’in istihbarat ekibine göre LockBitSupp, RAMP üzerinde yeni bir ilgi kazanmakla kalmıyor, aynı zamanda yasaklandığı rakip XSS forumunda yeniden görev almaya çalışarak harap olmuş itibarını onarmaya çalışıyor. Check Point’in söylediğine göre bu girişim başarısız oldu; bu durum, sakinlerinin, kolluk kuvvetlerinin kendi dünyalarına nüfuz etme kapsamına ilişkin artan ihtiyatlılığını yansıtıyor olabilir.
Check Point’e göre LockBit 5.0, dolabın verimliliğini, güvenliğini ve gizliliğini geliştirmek için dört temel güncelleme sunuyor. Artık Windows, Linux ve ESXi sistemlerini hedefleyen yapılarla çoklu platform desteğine, araştırmacıların işlerini zorlaştıran gelişmiş anti-analiz özelliklerine, daha hızlı şifrelemeye ve tespitten kaçınmak için rastgele 16 karakterlik dosya uzantılarına sahiptir.
Bu arada, bağlı kuruluş kontrol paneli, RaaS kullanıcılarına gelişmiş bir yönetim arayüzü sağlıyor ve ortak programına katılmak ayrıca Bitcoin olarak 500 ABD doları (375 £) peşinat gerektiriyor.
Check Point ekibi şunları söyledi: “LockBit’in yeniden ortaya çıkışı, grubun dayanıklılığının ve gelişmişliğinin altını çiziyor.” “Yüksek profilli kolluk kuvvetleri eylemlerine ve kamuoyundaki aksaklıklara rağmen, grup bir kez daha faaliyetlerini yeniden canlandırmayı, bağlı kuruluşları işe almayı ve şantajı sürdürmeyi başardı.
“Olgun RaaS modeli, platformlar arası erişimi ve siber suçlular arasındaki kanıtlanmış itibarıyla LockBit’in geri dönüşü, tüm sektörlerdeki kuruluşlar için yenilenmiş bir tehdidi temsil ediyor. Eylül ayındaki enfeksiyon dalgası muhtemelen daha büyük bir kampanyanın yalnızca başlangıcına işaret ediyor – ve Ekim ayındaki gönderiler grubun tam operasyonel iyileşmesini doğrulayabilir.”