LockBit, boyutlarına veya net varlıklarına bakılmaksızın hem küçük hem de büyük kuruluşları hedef alan, 2022’de en yaygın kullanılan fidye yazılımlarından biriydi.
Bu LockBit fidye yazılımını dağıtan tehdit aktörü grubu, dünya çapında anonim olarak çalışan bağlı kuruluşlarla RaaS (hizmet olarak fidye yazılımı) tabanlı bir grup olarak çalışıyordu.
Grubun ayrıca hükümet, tarım, eğitim vb. gibi çeşitli sektörlerde fidye yazılımını dağıtmak için bağlı kuruluşlar edindiği söyleniyor. Grup ayrıca gruplarına daha fazla insan çekmek için tanıtım yaratan bazı gösteriler düzenledi.
CISA’nın (Siber Güvenlik ve Altyapı Güvenliği Ajansı) yakın tarihli raporlarında, grubun Amerika Birleşik Devletleri’nde fidye olarak 91 milyon dolar gelir elde ettiği ve bu da onu tarihin en çok kazanan kötü amaçlı yazılım gruplarından biri haline getirdiği bildirildi.
Saldırı Zaman Çizelgesi
LockBit, 2019 yılında ABCD fidye yazılımındaki bir etkinliğin parçası olarak keşfedildi. 2020 yılında ise Rus dilinde LockBit adlı ilk fidye yazılımı bulundu. Fidye yazılımı, Haziran 2021’de 2. sürüme ve Mart 2022’de 3. sürüme yükseltildi.
Raporlara göre, 1 Nisan 2022 ile 31 Mart 2023 arasında bildirilen fidye yazılımı olaylarının %18’i LockBit fidye yazılımı içerirken, 2022’de Kanada’daki fidye yazılımı raporlarının %22’si aynı fidye yazılımıyla ilgiliydi.
Ayrıca FBI, ABD’de LockBit fidye yazılımı kullanılarak 1700 başarılı saldırı gerçekleştirildiğini bildirdi.
CVE(ler)in istismarı
LockBit fidye yazılımı grubu tarafından işe alınan bağlı kuruluşlar, daha eski ve daha yeni güvenlik açıklarından yararlanıyordu. Üye kuruluşlar tarafından istismar edilen çok yaygın güvenlik açıklarından bazıları şunlardı:
- CVE-2023-0669 – Fortra GoAnywhere Yönetilen Dosya Aktarımı (MFT) Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2023-27350 – PaperCut MF/NG Uygunsuz Erişim Denetimi Güvenlik Açığı
- CVE-2021-44228 – Apache Log4j2 Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2021-22986 – F5 BIG-IP ve BIG-IQ Merkezi Yönetim iControl REST Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2020-1472 – NetLogon Yetki Yükseltme Güvenlik Açığı
- CVE-2019-0708 – Microsoft Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2018-13379 – Fortinet FortiOS Güvenli Yuva Katmanı (SSL) Sanal Özel Ağ (VPN) Yol Geçişi Güvenlik Açığı
Azaltmalar
- Tüm işletim sistemini, donanımı, sabit yazılımı ve yazılımı güncel tutun
- Tüm ağ bağlantılarını kontrol edin ve kısıtlayın
- Uygulamalar için yerel yürütme ilkeleri uygulayın
- Kullanılmayan bağlantı noktalarını devre dışı bırak
- Anormal aktiviteyi ve diğer aktiviteleri araştırın
- Web Filtrelemeyi Kullan
- Verilerin Çevrimdışı yedeklerini koruyun ve bunları şifreleyin
- Bir kurtarma planı oluşturun
İş E-postanızı Hedefleyen Gelişmiş E-posta Tehditlerini Durdurun – Yapay Zeka Destekli E-posta Güvenliğini Deneyin