.jpg)
LockBit çetesi, yeni mimariler için fidye yazılımı geliştiriyor, Windows’tan vazgeçiyor ve yol boyunca potansiyel olarak kurbanları için tamamen yeni sorunlar ortaya çıkarıyor.
22 Haziran’da yayınlanan bir blogda, Kaspersky araştırmacıları, içinde bir sürü LockBit kötü amaçlı yazılım örneği bulunan bir .ZIP dosyasına “rastladıklarını” anlatıyorlar. Örnekler, LockBit’in VMWare ESXi hipervizörlerini hedefleyen önceki şifreleyici varyasyonlarından türetilmiş gibi görünüyor.
Örnekler, fidye yazılımı aktörleri arasında giderek artan bir trend olan FreeBSD ve Linux’un yanı sıra ARM, MIPS, ESA/390 ve PowerPC gibi CPU’lar için komut seti mimarisi (ISA) ürün yazılımı ve bir ARM olan Apple M1 gibi çeşitli gömülü teknolojileri hedef aldı. Mac ve iPad cihazlarında kullanılan çip tabanlı sistem (SoC).
Kaspersky, “Örneğin, macOS örneği imzasız olduğundan, olduğu gibi yürütülemez. Ayrıca, dizi şifreleme yöntemi basitti: bir baytlık XOR” olduğundan, örneklerin açıkça devam eden bir çalışma olduğunu belirtti.
Ancak, GuidePoint Security’de tehdit istihbaratı analisti olan Jason Baker, bu yeni fidye yazılımı varyantlarının, eninde sonunda ortaya çıkmaları halinde, konuyla ilgili kalmaya çalışan LockBit için faydalı olabileceğini söylüyor. “Yetenek ve hedefler için rekabet eden, giderek kalabalıklaşan RaaS pazarında, bu tür farklılaştırıcı davranışlar, ek maliyetlere ve daha düşük hedef hacmine rağmen nihayetinde LockBit’e fayda sağlayabilir.”
LockBit Gömülü Fidye Yazılımı Sağlayabilir mi?
Özellikle Conti’nin dağılmasından sonra, LockBit muhtemelen dünyanın önde gelen fidye yazılımı çetesi unvanını aldı. Ancak geçen ay, etkinliğinde dikkate değer bir düşüş getirdi. Fidye yazılımı endüstrisi bir bütün olarak yükselirken, LockBit bir önceki aya göre %30 daha az kurban aldı.
Belki de geçmişe bakıldığında, yeni kötü amaçlı yazılımını geliştirmek için fazladan zaman ve kaynak ayırıyordu. Veya belki de yeni kötü amaçlı yazılım, düşüşüne bir yanıttır.
Her iki durumda da, yeni yönü savunucuları endişelendiriyor. Güvenlik analistleri, 2021’de Android SoC’lerde, 2022’de Apple M1’de alarm verdi ve bu yılın başlarında popüler AMI SoC’lerde çok sayıda güvenlik açığı ortaya çıktı.
MITRE’nin proje lideri Adam Pennington, “Son zamanlarda kalıcılık için kullanılan gömülü cihazlarla ilgili raporların arttığını görüyoruz,” diyor, ancak büyük saldırılar henüz vahşi ortamda kanıtlanmadı.
Critical StartActually siber tehdit araştırma kıdemli yöneticisi Callie Guenther, LockBit’in bu cam tavanı aşmak için engellerle karşılaşacağını açıklıyor. “Geleneksel işletim sistemlerinden farklı olarak, gömülü sistemler ve IoT cihazları genellikle kaynak kısıtlamalarına, sınırlı işlem gücüne ve belirli donanım yapılandırmalarına sahiptir. SoC’ler için tasarlanan fidye yazılımlarının bu sınırlamalara göre uyarlanması ve özel ortama uyarlanması gerekir” diye belirtiyor.
“Ayrıca,” diye devam ediyor, “SoC’ler genellikle, yük teslimi, yürütme ve kaçırma teknikleri açısından farklı bir yaklaşım gerektirebilecek özel ürün yazılımı veya özelleştirilmiş işletim sistemleri çalıştırır. SoC’leri hedefleyen fidye yazılımlarının, ürün yazılımı içindeki belirli güvenlik açıklarından veya zayıflıklardan yararlanmaları gerekebilir. veya cihaz üzerinde kontrol elde etmek ve verilerini şifrelemek için sistem mimarisi.”
Baker, meydan okumanın LockBit’in çekiciliğinin bir parçası olabileceğini tahmin ediyor. “Apple silikon gibi diğer gruplar tarafından hedeflenmeyen SoC’leri hedeflemenin en olası nedeni, marka gücü ve prestijidir. LockBit gibi daha büyük, daha gelişmiş gruplar, şirket içi uzmanlığa ve kullanabilecekleri kaynaklara sahiptir. Bu sorun setinde ve başka yerde bulunmayan benzersiz bir yetenek geliştirmek, grubun hizmet olarak fidye yazılımı (RaaS) ekosisteminde öncü olduğunu öne çıkarmaya devam edecektir” diyor.
Katıştırılmış Kötü Amaçlı Yazılımların Kullanımdan Kaldırılması Neden Zor?
Pennington, gömülü teknolojiler için fidye yazılımı konusunda endişelenmenin nedeninin, bunun yalnızca yeni ve keşfedilmemiş olması olmadığını açıklıyor. Aynı zamanda, bu teknolojileri gözden kaçırmak daha kolay ve bazen korumak daha zordur.
Pennington, “Çoğu kuruluş, tamamen aynı ağları işgal eden diğer çeşitli sunucu ve gömülü işletim sistemlerine rağmen, güvenlik çabalarını ağırlıklı olarak Windows’a odaklıyor. Diğer nedenlerin yanı sıra, bu alternatif platformları hedeflemek, mevcut savunmalardan kurtulmanın gerçekten etkili bir yolu olabilir.”
“Bir fidye yazılımının veya başka bir aktörün bir ağa bulaştığı, savunucuların görünürlük ve sistemleri görmek ve yönetmek için araçlara sahip oldukları sistem türlerini temizledikleri ve ardından aylar sonra geride böyle bir şeye bir implant bırakıldığını keşfettikleri bir senaryo ortaya koyuyor. bu diğer mimarilerden birinde çalışan Linux tabanlı bir güvenlik kamerası.”
Pennington, saldırganların bu üstünlüğü ele geçirmesini önlemek için, “kuruluşların yalnızca Windows sistemlerini değil, kendilerini de güvenceye alırken çeşitli işletim sistemlerini ve mimarileri dikkate almaları gerektiğini” söylüyor.
“Neredeyse herkes, farkında olmasalar bile, bu tür işletim sistemleri ve yongalarla bir dizi sistem çalıştırıyor” diye vurguluyor.