LockBit hizmet olarak fidye yazılımı (RaaS) planının arkasındaki tehdit aktörleri, 2020’den bu yana çok sayıda ABD kuruluşuna yönelik yüzlerce saldırının ardından zorla 91 milyon dolar elde etti.
Bu, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Federal Soruşturma Bürosu (FBI), Çok Devletli Bilgi Paylaşım ve Analiz Merkezi (MS-ISAC) ve Avustralya, Kanada’dan diğer ortak yetkililer tarafından yayınlanan ortak bir bültene göre. , Fransa, Almanya, Yeni Zelanda ve Birleşik Krallık
Ajanslar, “Hizmet olarak LockBit fidye yazılımı (RaaS), bağlı kuruluşları fidye yazılımı saldırıları yürütmek için LockBit’i kullanmaya çekiyor ve bu da çılgınca değişen saldırılar yürüten büyük bir bağlantısız tehdit aktörleri ağıyla sonuçlanıyor” dedi.
Malwarebytes tarafından geçen hafta paylaşılan istatistiklere göre, ilk kez 2019’un sonlarında ortaya çıkan LockBit, yalnızca Mayıs 2023’te 76 kadar kurbanı hedef alarak yıkıcı ve verimli olmaya devam etti. Rusya bağlantılı kartel, bugüne kadar en az 1.653 fidye yazılımı saldırısının sorumluluğunu üstlendi.
Siber suç operasyonu, finansal hizmetler, gıda ve tarım, eğitim, enerji, devlet ve acil servisler, sağlık hizmetleri, imalat ve ulaşım dahil olmak üzere çok çeşitli kritik altyapı sektörlerine saldırdı.
LockBit şu ana kadar üç önemli yükseltme aldı: LockBit Red (Haziran 2021), LockBit Black (Mart 2022) ve LockBit Green (Ocak 2023), son ile ilgili Hangi artık dağılmış olan Conti çetesinden sızan kaynak koduna dayanmaktadır.
Fidye yazılımı türü o zamandan beri Linux, VMware ESXi ve Apple macOS sistemlerini hedef alacak şekilde uyarlandı ve onu sürekli gelişen bir tehdide dönüştürdü. RaaS operasyonu, insanlara ambleminin dövmelerini yaptırmaları için para ödemesi ve ilk böcek ödül programını başlatmasıyla da dikkat çekiyor.
İş modeli, temel geliştiricilerin warez’lerini gerçek fidye yazılımı dağıtımını ve gaspını gerçekleştiren bağlı kuruluşlara kiralamasını içerir. Ancak bir değişiklikle grup, ana ekibe bir kesinti göndermeden önce bağlı kuruluşların fidye ödemeleri almasına izin verir.
LockBit’i içeren saldırı zincirleri, ilk erişimi elde etmek için Fortra GoAnywhere Yönetilen Dosya Aktarımı (MFT) ve PaperCut MF/NG sunucularındaki yakın zamanda açıklanan kusurların yanı sıra Apache Log4j2, F5 BIG-IP ve BIG-IQ ve Fortinet cihazlarındaki bilinen diğer hataları kullandı. .
Ayrıca, bağlı kuruluşlar tarafından kullanılan üç düzineden fazla ücretsiz yazılım ve ağ keşif, uzaktan erişim ve tünel oluşturma, kimlik bilgileri dökümü ve dosya hırsızlığına izin veren açık kaynaklı araçlar. İzinsiz girişlerin, Metasploit ve Cobalt Strike gibi meşru kırmızı takım yazılımlarını daha fazla kötüye kullandığı tespit edildi.
“LockBit, yenilikçiliği ve grubun yönetim panelindeki sürekli gelişimi (yani, fidye yazılımı dağıtımını daha düşük teknik beceriye sahip olanlar için erişilebilir kılan basitleştirilmiş, işaretle ve tıkla arayüzü), bağlı kuruluş destek işlevleri ve sürekli revizyonu sayesinde başarılı olmuştur. TTP’ler,” ajanslar söyledi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Gelişme, CISA’nın federal kurumlara güvenlik duvarları, yönlendiriciler ve anahtarlar gibi halka açık internete maruz kalan ağ cihazlarını keşiften sonraki 14 gün içinde korumaları ve saldırı yüzeyini en aza indirmek için adımlar atmaları talimatını veren bir Bağlayıcı Operasyonel Direktif 23-02 yayınlamasıyla geldi.
CISA Direktörü Jen Easterly, “Tehdit aktörleri, kurumsal ağlara sınırsız erişim elde etmek için ağ cihazlarını kullanabiliyor ve bu da tam ölçekli bir uzlaşmaya yol açıyor” dedi. “Uygun kontrollerin ve hafifletmelerin gerekli kılınması […] federal sivil teşebbüsün riskini azaltmada önemli bir adımdır.”
Öneriler ayrıca, Baseboard Management Controller (BMC) uygulamalarına yönelik tehditleri vurgulayan ve tehdit aktörlerinin “önyükleme öncesi yürütme potansiyeline sahip bir sahil başı” kurmasını potansiyel olarak sağlayabilecek yeni bir danışma belgesini takip eder.
CISA ve ABD Ulusal Güvenlik Teşkilatı (NSA) ortak bir uyarıda, “Güçlendirilmiş kimlik bilgileri, aygıt yazılımı güncellemeleri ve ağ bölümlendirme seçenekleri sıklıkla göz ardı ediliyor ve bu da savunmasız bir BMC’ye yol açıyor.”
“Ayrıca, kötü niyetli bir aktör, güvenilir platform modülü (TPM) veya UEFI güvenli önyükleme gibi güvenlik çözümlerini devre dışı bırakabilir, herhangi bir bağlı depolama ortamındaki verileri manipüle edebilir veya bir ağ altyapısı boyunca implantları veya yıkıcı talimatları yayabilir.”