Kötü şöhretli fidye yazılımı grubu Lockbit, yanlışlıkla büyük bir veri ihlali yaşadı ve Hizmet Olarak Fidye Yazılımı (RAAS) operasyonlarının iç işleyişini ortaya koydu.
Aylarca tespit edilmedikten sonra internette ortaya çıkan bu sızıntı, fidye yazılımı yükü oluşturmadan kurbanlar ile müzakere taktiklerine kadar grubun iç süreçlerine paha biçilmez bilgiler sundu.
Lockbit’in altyapısına göz atın
Sızıntıda, fidye yazılımı oluşturma kayıtları, bağlı kuruluşlar ve mağdurlar arasındaki doğrudan iletişim transkriptleri ve konfigürasyon verileri dahil olmak üzere kapsamlı bir hassas veri ortaya çıktı.
.png
)
Bu bilgiler, TOR ağı üzerinden bir Lockbit Soğan URL’sinde barındırıldı ve en aktif ve başarılı siber suçlu varlıklarından birinin operasyonel dinamiklerini anlamak için nadir bir fırsat sağladı.
Açıklanan kayıtlar, Aralık 2024’ten Nisan 2025’e kadar, 4.442’den fazla müzakere mesajını detaylandırıyor ve grubun fidye yazılımı dağıtım için sofistike yöntemlerini ortaya koyuyor.
Her fidye yazılımı yükü titizlikle günlüğe kaydedildi, bağlı kuruluşlar girişlerini bir JSON formatı oluşturucu paneli üzerinden özelleştirebildi.
OnTinue raporuna göre, bu ayrıntı düzeyi, Lockbit’in saldırılarını nasıl yönettiğine ve belirli hedeflere ve operasyonel ihtiyaçlara göre uyarlamaya derin bir dalış sağlıyor.
Lockbit, genellikle bireysel siber suçlular veya küçük kolektifler olan bağlı kuruluşların fidye payı karşılığında grubun fidye yazılımı hizmetlerini kullandığı bir RAAS modelinde çalışır.
Sızan veriler, bağlı kuruluşların çok değişen fidye taleplerinin belirlenmesinden sorumlu olduğunu ve hedeflemelerine stratejik bir yaklaşım olduğunu göstermektedir.
Bazı fidye talepleri, yer tutucular veya test girişleri olabilecek milyonlarca dolar gibi abartılı görünse de, ortalama talepler bu dijital gaspçıların kullandığı ekonomik stratejiler hakkında bilgi verdi.
Satış ortağı sistemi, “Quites_Mode” ve “Delete_decrypter” gibi özelliklerle operasyonel güvenliği sağlayacak şekilde yapılandırılmıştır.
Tor’un sitelerini barındırmak için kullanımı, Lockbit’in kolluk kuvvetlerine karşı anonimlik ve esnekliği koruma taahhüdünün altını çizerek altyapılarını sökmeyi önemli ölçüde zorlaştırıyor.
Siber suçta insan unsurları
Sızıntı ile ortaya çıkan daha insan unsurlarından biri, Lockbit bağlı kuruluşları tarafından kullanılan agresif müzakere taktikleriydi.
Konuşmalar, doğrudan tehditlerden psikolojik manipülasyona kadar uzanıyordu, bağlı kuruluşların fidye ödemeleri için sıkı son tarihler belirlediğini ve talep edilen fiyatla herhangi bir müzakere biçimini reddettiğini gösteriyor.
İlginç bir şekilde, bir bağlı kuruluş, servet ve lüks vaat eden bir mesajla kurbanları penetrasyon testi dünyasına almaya çalıştı ve cezai girişimlerinde benzersiz bir işe alım stratejisi gösterdi.
Lockbit ağını sökmeyi amaçlayan 2024 yılında İngiltere Ulusal Suç Ajansı’nın Cronos Operasyonu gibi önceki aksiliklere rağmen, grup esneklik gösterdi.
Mevcut veri sızıntısı, aynı aktörlerin çoğunun Cronos sırasında listelenen aynı kullanıcı adlarını ve kullanıcı kimliklerini kullanarak Lockbit Banner altında çalışmaya devam ettiğini doğrular.
Bu sızıntı sadece Lockbit’in operasyonel mekaniğini ortaya çıkarmakla kalmaz, aynı zamanda iş benzeri verimlilik ve cezai niyetle çalışan siber suçlu ağlarla mücadelede kolluk kuvvetlerinin karşılaştığı zorlukları da vurgular.
Bu, dünya çapında fidye yazılımı gruplarına karşı devam eden savaşın, uyarlanabilirliklerini ve operasyonlarının sofistike olduğunu gösteren açık bir hatırlatma.
Uzlaşma Göstergeleri (IOC)
http://iyuggdvguyt4f4hdk6eudwcdtlsw3ixi5thzhqb6fpydw6jblf3sxlyd.onionhttp://e4hwk3w4ztqfkyo6l36ss3tfj4bw2jw4ytkmomkx2ugwjgrs4w3lriid.onionhttp://lockbit3753ekiocyo5epmpy6klmejchjtzddoekjlnt6mu3qh4de2id.onion/http://lockbitfskq2fxclyfrop5yizyxpzu65w7pphsgthawcyb4gd27x62id.onion/http://lockbitspomtxfihje6wepecgif7vuqci6zyl7qgenne5b6lxngf4yqd.onion
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!