Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Uzmanlar, Sızan LockBit Kodunun Kullanıldığı Rusya da Dahil Olmak Üzere Saldırılarda Artış Görüyor
Mathew J. Schwartz (euroinfosec) •
17 Nisan 2024
Bir Alman sağlık ağı, bir Rus güvenlik şirketi ve Amerikalı bir gelin giyim perakendecisinin ortak noktası nedir?
Ayrıca bakınız: XSIAM Bilgi Grafiği: Bir Devrimden Bahsetmek
Bunların hepsinin son aylarda LockBit kripto kilitleme kötü amaçlı yazılımını kullanan saldırganlar tarafından ele geçirildiği görülüyor. Ancak saldırganların hiçbiri bu adı taşıyan hizmet olarak fidye yazılımı operasyonunun bir parçası gibi görünmüyor.
Bunun nedeni gizemli değil: Eylül 2022’den bu yana, grup lideri LockBitSupp ile arası bozulan önemli bir geliştiricinin sızdırması sayesinde herkes LockBit sürüm 3.0’ı – diğer adıyla Black – oluşturucuyu kullanabildi (bkz.: Kendi Fidye Yazılımı Başarısının Kurbanı: LockBit’in Sorunları Var).
Anlaşmazlıkları paraya odaklanmış gibi görünüyordu ve saldırının büyüklüğüyle ün kazanan kazançlı bir bilgisayar korsanlığı çılgınlığı sırasında patlak verdi. FBI, 2023 ortalarında LockBit’in 2020’den bu yana yalnızca ABD’de 1.700’den fazla kurban topladığını ve fidye ödemelerinden en az 91 milyon dolar kazandığını söyledi.
LockBit, gelirin bir kısmı karşılığında fidye yazılımı oluşturucusuna ve markalı desteğe erişim sözü veren ortaklık programına kimsenin girmesine izin vermedi. Tipik olarak %70’i bağlı kuruluşa, %30’u ise operatöre gitti.
Siber güvenlik firması Trellix bu ayın başındaki bir blog yazısında, “LockBit ortaklık programına katılmak genellikle zordur ve bireylerin erişim kazanmadan önce kendilerini kanıtlamalarını ve itibar kazanmalarını gerektirir.” dedi. Sızan geliştirici, dışarıda kalan fidye yazılımı korsanları için bir fırsattı: Oluşturucuyu edinin ve LockBitSupp ile uğraşmanıza gerek kalmadan markanın adını alın. Black “tehdit aktörlerine hızla olay yerine girme, küçük işletmeleri şifreleme ve bu katı gereklilikleri karşılamadan kar elde etme fırsatı sağladı.”
LockBit sahtekarları arasında, 24 Aralık’ta Alman sağlık ağı Katholische Hospitalvereinigung Ostwestfalen veya KHO içinde fidye yazılımını serbest bırakan ve üç hastanedeki 1.800’den fazla hastane yatağındaki BT hizmetlerini kesintiye uğratan bir grup var gibi görünüyor.
Makine çevirisine göre hastane, saldırıdan birkaç gün sonra yayınlanan bir ihlal güncellemesinde “İlk kontrol bunun muhtemelen LockBit 3.0 tarafından yapılan bir siber saldırı olduğunu gösterdi” dedi. “Güvenlik nedeniyle, haber alınır alınmaz o gece tüm sistemler kapatılarak gerekli tüm kişi ve kurumlara bilgi verildi.”
Bu atıf sonrasında LockBit herhangi bir ilgisi olduğunu hemen reddetti. Özel bir Tox mesajında LockBitSupp söylenmiş Kötü amaçlı yazılım araştırmacısı vx-underground, KHO saldırganlarının hızlı bir maaş günü arayışı içinde sızdırılmış bir inşaatçı ve LockBit olmayan iletişim bilgilerini kullandığını söyledi.
Ocak ayında, saldırganların 5 terabaytlık veriyi çalıp 100 bitcoin fidye talep etmesinden sonra LockBit’e yakalanan Rus güvenlik şirketi AN-Security’e karşı yapılan saldırılar da dahil olmak üzere bazı saldırılar daha kişisel görünüyor. Bu saldırıların değeri 3 milyon doların üzerindeydi.
Trellix tarafından yayınlanan forum mesajlarına göre LockBitSupp bir kez daha olaya karıştığını reddetti ve suçu bir ortaklık programı işleten Clop fidye yazılımı grubunun sahibi ve operatörü olan “Signature”a yükledi. LockBitSupp, Exploit siber suç forumuna gönderdiği bir gönderi aracılığıyla Signature’ın, Exploit’ten nasıl yasaklandığı konusunda intikam almak istediğini iddia etti. LockBitSupp ayrıca şirkete ücretsiz yardım sunmak için AN-Security’ye ulaştığını iddia etti, ancak bundan bir sonuç çıkıp çıkmadığı henüz belli değil.
Trellix, sızdırılan LockBit kodunu kullanan yeni başlatılan fidye yazılımı gruplarının saldırılarında bir artış görüldüğünü ve bunlardan en azından bazılarının eski bağlı kuruluşlar olabileceğini söyledi. Bu yeni gruplar şunları içerir:
- Kanat: Trellix, “Blackhunt” adlı bir tehdit aktörünün Wing fidye yazılımını Ocak ayında RAMP forumu aracılığıyla piyasaya sürdüğünü söyledi. TheShadowHacker adlı forum üyesi, kodu analiz ettikten sonra kodun sızdırılan LockBit oluşturucusunu temel aldığını söyledi.
- Ejder Gücü: Trellix, grubun 2023 yılında sızdırılan LockBit kodunun değiştirilmiş versiyonlarından oluşturulan birden fazla türü kullandığını söyledi.
- Boşluk virgül: Siber güvenlik firması Trend Micro, geçtiğimiz Kasım ayında, bu grubun LockBit’e benzeyen bir veri sızıntısı sitesi işlettiğini, ayrıca grubu taklit etmek için e-postalar ve URL’ler kullandığını ve bunun da “kurbanlara LockBit ile uğraştıkları izlenimini verdiğini” bildirdi.
- Kurt adamlar: Rus siber güvenlik firması FACCT geçtiğimiz Kasım ayında, Kurtadamlar adlı bir grubun Haziran 2023’ten itibaren hem sızdırılan LockBit kodunu hem de sızdırılan Conti kaynak kodunu kullanarak Rusya’daki ve başka yerlerdeki firmaları aktif olarak hedef almaya başladığını bildirmişti. Grup, çalınan verilerin sızdırılmayacağına dair söz karşılığında 1 milyon dolara kadar fidye talep etti.
Bu grupların bazılarının saldırıları, Bağımsız Devletler Topluluğu’nda bulunan mağdurları hedef alarak LockBit’in başını belaya sokma tehdidinde bulundu. Rus siber güvenlik firması Kaspersky bir blog yazısında “LockBit operatörleri bu saldırılarla hiçbir ilgilerinin olmadığını açıklamaya çalıştı” dedi.
Çoğu fidye yazılımı grubunun bulunduğu Rusya’daki öfkeli yetkililerin oluşturduğu tehdit nedeniyle, kripto-kilitleme kötü amaçlı yazılımları genellikle bir BDT ülkesinde yerleşik gibi görünen veya Kiril gibi belirli klavye türlerini kullanan herhangi bir sistemde asla çalıştırılmaz. (Görmek: Rusya’nın Siber Suç Kuralı Hatırlatması: Rusları Asla Hacklemeyin).
Ancak BDT ülkeleri, sızdırılan LockBit kodunu kullanan saldırganların tek hedefi olmaktan çok uzak ve firmalar Kuzey Amerika, Avrupa ve ötesindeki hedeflerin vurulduğunu bildirdi. Kaspersky, “Olaylara müdahale uygulamamızda Rusya, İtalya, Gine-Bissau ve Şili’deki olaylarda sızdırılan geliştiricinin yardımıyla oluşturulan fidye yazılımı örneklerine rastladık” dedi. Saldırganların teknik açıdan ne kadar gelişmiş olabileceği açık bir soru olmaya devam ediyor. LockBit 3.0 oluşturucusu özelleştirilebilse de, “saldırıların çoğunda varsayılan veya biraz değiştirilmiş konfigürasyon kullanıldı” denildi.
LockBit’in kendisi aşağı yönlü bir seyir izliyor. Yeraltı suç örgütünün diğer üyeleri LockBitSupp’un küstahlığından rahatsız oluyor ve bağlı kuruluşlar, altyapısının güvenilmez olduğu ortaya çıkınca gruptan uzak duruyor. Şubat ayında LockBit sunucularına el koyan, bağlı kuruluşları tutuklayan ve grubun karanlık web sitesinin kontrolünü ele geçiren çok uluslu bir emniyet operasyonu olan Cronos Operasyonu elbette büyük bir başarısızlıktı (bkz: LockBit Baskısında Tutuklamalar ve İddialar).
Grup o zamandan bu yana uluslararası saldırıdan sağ kurtulduğunu göstermeye, karanlık ağ varlığını yeniden başlatmaya ve saldırıların sorumluluğunu üstlenmeye kararlı.
Grubun iddia edilen üyelerinin, BT ortamlarına sızmak için ScreenConnect yazılımından yararlanan yakın tarihli bir dizi saldırının arkasında göründüğünü, LockBit’in çekirdek ekibinin ise emniyet teşkilatının sızdığı bağlı kuruluş portalını yeniden inşa etmeye çalıştığını söyleyen Tehdit İstihbaratı Başkanı John Fokker, şunları söyledi: Trellix.
Olaya müdahale edenlerden bazıları, gerçek LockBit grubuna kadar uzanan saldırılarda bir artış gördü, ancak bu, genellikle her biri 1 milyon dolardan az tutarda olmak üzere normalden daha düşük fidye talepleriyle sonuçlandı.
Fokker, bir LinkedIn gönderisinde yine de grubun Cronos Operasyonu sonrası çabalarının, en azından önceki çabaların hacmi, karmaşıklığı ve kapsamı ile karşılaştırıldığında “poptan çok başarısızlık” gibi göründüğünü söyledi. Kendisi, LockBit’in artık büyük başarıları yakalayamayan “zayıf bir çekirdek gruba” indirgenebileceğini söyledi.
Grubun fidye yazılımının eski sürümlerini kullanan saldırganlarla birlikte, yeniden dirilen LockBit, potansiyel kurbanlar için iki kat LockBit sorununa yol açacaktır.