Geçtiğimiz birkaç yılda, hizmet olarak fidye yazılımı (RaaS) operasyonu olan LockBit, dünya çapındaki kuruluşları etkileyen çok sayıda güvenlik olayıyla ilişkilendirildi.
Ancak son zamanlarda pek çok lojistik, teknolojik ve itibar sorunu yaşadıkları görülüyor. Bu nedenle LockBit’in harekete geçip kötü amaçlı yazılımlarının çok ihtiyaç duyulan sürümünü geliştirmeye karar vermesi gerekiyordu.
Fidye yazılımının halen geliştirilmekte olan ve LockBit-NG-Dev (Yeni Nesil için NG) olarak tanımlanan yeni sürümü, grup tarafından sonuçta gerçek bir 4.0 sürümü olarak değerlendirilebilir.
Özellikle NCA ve FBI Salı günü, Cronos Operasyonu olarak bilinen kolluk kuvvetleri operasyonunun LockBit’in yönetim sistemini ve altyapısını ele geçirdiğini, karanlık ağ sızıntı sitesini ele geçirdiğini, kaynak koduna eriştiğini, yaklaşık 11.000 alan adı ve sunucuyu ele geçirdiğini ve üye bilgilerini topladı.
300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.
Ücretsiz Demo Talep Edin
Yeni LockBit-NG-Dev Versiyonu
TrendMicro’daki araştırmacılar, LockBit’in en son sürümü olduğuna inandıkları bir örnek elde ettiler. Bu kötü amaçlı yazılım çeşidi diğer sürümlerden farklıdır ve halen geliştirilme aşamasındadır.
Örnek, şifrelenmiş dosyalara “locked_for_LockBit” son ekini eklediğinden, yapılandırmanın bir parçası olarak hala değişikliğe tabi olduğundan bunun gruptan çıkacak, dağıtılmamış bir sürüm olduğuna inanılmaktadır.
LockBit-NG-Dev, mevcut gelişim durumuna göre LockBit 4.0’ın temelini oluşturabilir.
Şu anda LockBit-NG-Dev, CoreRT kullanılarak derleniyor ve NET’te yazılıyor. Bu, .NET ortamıyla birlikte dağıtıldığında kod için ek platform bağımsızlığı sağlar.
“V2 (Kırmızı) ve v3 (Siyah) ile karşılaştırıldığında daha az yeteneğe sahip olsa da, geliştirme devam ettikçe bu ek özelliklerin eklenmesi muhtemeldir. TrendMicro, bu haliyle hâlâ işlevsel ve güçlü bir fidye yazılımı olduğunu belirtiyor.
Bu sürüm, rutinler için işaretler, sonlandırılacak işlemlerin ve hizmet adlarının bir listesini ve kaçınılacak dosya ve klasörleri içeren v3 (Siyah) ile aynı ayarları korur.
Ek olarak, şifrelenmiş dosyaların dosya adlarını rastgele adlarla değiştirmeye devam edebilir.
LockBit Sürümleri
LockBit tarafından geliştirilen fidye yazılımının birden fazla sürümü yayınlandı: LockBit v1 (Ocak 2020), LockBit 2.0 (Haziran 2021), takma adı “Red” ve LockBit 3.0, takma adı “Black” (Mart 2022).
Tehdit aktörü, Linux ve VMware ESXi sistemlerine yönelik saldırılara karşı savunma sağlamak amacıyla Ekim 2021’de LockBit Linux’u piyasaya sürdü. Sonunda, Ocak 2023’te, artık kullanılmayan Conti fidye yazılımından alınmış gibi görünen kodu içeren, “Yeşil” olarak bilinen bir ara sürüm ortaya çıktı.
Ancak bu sürüm yeni bir 4.0 sürümü olarak tanınmadı.
Trend Micro tarafından LockBit-NG-Dev’in eksiksiz bir teknik çalışması yayınlandı ve bu çalışma, LockBit-NG-Dev kurulum parametrelerinin tamamını içeriyor.
Bugün FBI, NCA UK ve EUROPOL, blockchain analiz firması Chainalytic ile işbirliği içinde, fidye yazılımı grubu Lockbit’in mali operasyonlarına ilişkin ayrıntılı bilgileri açıkladı.
Paylaşılan bilgiler, gelir kaynakları, ödeme yerleri ve yasa dışı gelirleri aklamak için kullanılan yöntemler de dahil olmak üzere grubun ağındaki fon akışıyla ilgilidir.
Son sözler
LockBit’in kararlı bir versiyonunun piyasaya sürülmesindeki görünür gecikme ve devam eden teknik zorluklar göz önüne alındığında, grubun en iyi bağlı kuruluşları ne kadar süre kendine çekebileceği ve konumunu koruyabileceği belli değil.
Bu arada LockBit’in, bir organizasyonun başarısız olamayacak kadar büyük olduğu kavramına meydan okuyan bir sonraki önemli grup olacağı umuluyor.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.