.jpg)
LockBit fidye yazılımı grubu, hedeflenen ağlarda yerini yaymak için uzaktan izleme ve yönetim (RMM) yazılımından yararlanıyor.
Kanada merkezli eSentire tarafından 18 Eylül’de yayınlanan bir raporda açıklanan üç yeni saldırı da benzer bir gidişat izliyor: Bir LockBit üyesi ya açığa çıkan RMM örneklerinden yararlandı ya da kendi RMM’lerini partiye getirerek topraktan (LotL) geçinerek partiye getirdi. kurban ağlarındaki temelini sağlamlaştırmak. Bu vakalardan ikisi üreticileri etkiledi ve biri yönetilen hizmet sağlayıcısını (MSP) etkiledi; bu da grubun bazı alt müşterilerden daha fazla taviz vermesine olanak sağladı.
eSentire’ın Tehdit Müdahale Birimi’nde kıdemli tehdit istihbaratı araştırmacısı Keegan Keplinger, “Kötü amaçlı yazılımlardan kaçındıkları karada yaşamaya yönelik genel bir eğilim var. Nokta. İlk erişim için bile” diye açıklıyor. “Geçerli kimlik bilgileri almak istiyorlar ve içeri girmek için bu meşru kimlik bilgilerini kullanmak istiyorlar.”
LockBit RMM’leri Nasıl Kullanır?
Haziran ayında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), LockBit hakkında bir siber güvenlik tavsiyesi yayınladı ve bunun iyi bir nedeni var. Hizmet olarak fidye yazılımı veya başka bir alanda muhtemelen hiçbir siber suçlu ekibi, 2023’te bu kadar üretken olmadı; saldırılar neredeyse her sektörü ve her tür cihazı hedef alıyor ve çoğu zaman büyük paralar kazandırıyor.
Tavsiye belgesi, RMM’lerden yararlanma eğilimi de dahil olmak üzere grubun tercih ettiği taktikleri, teknikleri ve prosedürleri (TTP’ler) ayrıntılarıyla anlatıyor.
Örneğin, Şubat 2022’de bir ev dekoru üreticisine yapılan saldırıda, eSentire’ın tehdit araştırmacıları, korumasız bir makinede yönetici erişimine sahip olan ve RMM AnyDesk aracılığıyla kalıcılık sağlamaya ve diğer bilgisayarlara yayılmaya çalışan bir LockBit bağlı kuruluşunu keşfetti.
Keplinger, bilgisayar korsanlarının ağlar arasında ve içinde nasıl kalıcılık sağladığına ve yayıldığına değinerek, “Özellikle geçen yıl, tehdit aktörleri kötü amaçlı yazılım kullanmamaya yöneldi” diye açıklıyor. “Kötü amaçlı yazılımlar genellikle antivirüs tarafından, tespit edilemese de gelişmiş uç nokta teknolojisi tarafından tespit edilir. Dolayısıyla, halihazırda ortamda bulunan bir yazılımı veya yasal olduğu düşünülen bir yazılımı kullandığınızda, bazı kişiler bunun kötü amaçlı olduğunu hemen fark etmeyebilir.”
LockBit, kendisini RMM ConnectWise’ın müşterisi olarak kabul eden bir depolama malzemeleri üreticisine Haziran ayında düzenlediği saldırıda buna güveniyordu. Bu durumda araştırmacılar, tehdit aktörünün şirketin ConnectWise ortamına giriş yapmak için gerekli kimlik bilgilerini çalamadığı yönünde spekülasyon yaptı. Bunun yerine ağa kendi ikinci ConnectWise örneğini kurdu.
“Oldukça harika çünkü şöyle dediler: ‘ConnectWise’ın bu özel hedef organizasyonda olduğunu zaten biliyoruz. Bu yüzden kendimizinkini getireceğiz ve kimse başka bir örnek olduğunu gerçekten fark etmeyecek.'”
LockBit Tehdidinin Kapsamı
RMM’lerin faydalarından yararlanan kuruluşlar, kötüye kullanımlarını önlemek için uygun güvenlik kontrollerini uygulamadan, yalnızca kendilerini değil ortaklarını ve müşterilerini de ifşa edebilirler; LockBit’in bu Şubat ayındaki MSP ihlalinin gösterdiği gibi.
Söz konusu MSP, ConnectWise oturum açma panelini açık İnternet’e açık bırakmıştı. Araştırmacıların öne sürdüğü gerekçe, müşterilerinin BT yöneticilerinin hizmete erişmesini kolaylaştırmaktı. Ancak saldırganlar, kaba kuvvet kullanarak veya bunları Dark Web’den satın alarak, sızmak için gerekli kimlik bilgilerini elde etti. WSaldırıdan sonraki beş dakika içinde LockBit, fidye yazılımı ikili dosyalarını birden fazla uç noktaya bırakmaya başladı.
Keplinger, “Bu araçlara girdiklerinde hemen hemen hiçbir kısıtlama olmadan içeri girebiliyorlar ve yönetici kimlik bilgilerini alıyorlar” diye yakınıyor. Aslında durdurulmadan önce grup, üretim, ticari hizmetler, konaklama ve ulaşım sektörlerindeki müşterilere ulaşmak için RMM’nin uzaktan erişim yeteneklerini kullanmıştı.
Şirketler, bu güçlü araçlara çok faktörlü kimlik doğrulama ve sıkı erişim kontrolleri uygulayarak bu tür suiistimallere karşı kendilerini güçlendirebilirler. Ve Keplinger şunu ekliyor: “Uç nokta izleme muhtemelen bu saldırıları durduran ve önleyen en büyük farktır.”
Henüz ikna olmayanlar için LockBit konusunda “Çok başarılılar” uyarısında bulunuyor. “Çok yaygın ve çok yıkıcı.”