ABD devlet kurumları, kötü şöhretli LockBit 3.0 fidye yazılımıyla ilişkili uzlaşma göstergelerini (IoC’ler) ve taktikleri, teknikleri ve prosedürleri (TTP’ler) detaylandıran ortak bir siber güvenlik danışmanlığı yayınladı.
Yetkililer, “LockBit 3.0 fidye yazılımı operasyonları, bir Hizmet Olarak Fidye Yazılımı (RaaS) modeli olarak işlev görür ve fidye yazılımının önceki sürümleri olan LockBit 2.0 ve LockBit’in devamıdır” dedi.
Uyarı, ABD Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi’nin (MS-ISAC) izniyle geldi.
2019’un sonlarında ortaya çıkmasından bu yana, LockBit aktörleri, kötü amaçlı yazılımını geliştirmek ve ince ayar yapmak için önemli teknik çabalar harcadı ve iki büyük güncelleme yayınladı: 2021’in ortalarında piyasaya sürülen LockBit 2.0 ve Haziran 2022’de piyasaya sürülen LockBit 3.0. sırasıyla LockBit Red ve LockBit Black olarak da bilinir.
Uyarıya göre “LockBit 3.0, yanal hareketteki belirli işlemler ve Güvenli Mod’a yeniden başlatma için ek argümanları kabul eder”. “Bir LockBit bağlı kuruluşunun parolasız LockBit 3.0 fidye yazılımına erişimi yoksa, fidye yazılımının yürütülmesi sırasında bir parola bağımsız değişkeni zorunludur.”
Fidye yazılımı ayrıca yalnızca dil ayarları, Rumence (Moldova), Arapça (Suriye) ve Tatarca’yı (Rusya) içeren bir dışlama listesinde belirtilenlerle örtüşmeyen makinelere bulaşmak üzere tasarlanmıştır.
Kurban ağlarına ilk erişim, uzak masaüstü protokolü (RDP) istismarı, zorla ele geçirme, kimlik avı kampanyaları, geçerli hesapların kötüye kullanılması ve halka açık uygulamaların silah haline getirilmesi yoluyla elde edilir.
Kötü amaçlı yazılım, başarılı bir giriş noktası bulduğunda, şifreleme yordamını başlatmadan önce kalıcılık oluşturmak, ayrıcalıkları yükseltmek, yanal hareket gerçekleştirmek ve günlük dosyalarını, Windows Geri Dönüşüm Kutusu klasöründeki dosyaları ve gölge kopyaları temizlemek için adımlar atar.
Ajanslar, “LockBit bağlı kuruluşlarının izinsiz girişleri sırasında çeşitli ücretsiz ve açık kaynaklı araçlar kullandığı gözlemlendi” dedi. “Bu araçlar, ağ keşfi, uzaktan erişim ve tünel oluşturma, kimlik bilgileri dökümü ve dosya hırsızlığı gibi bir dizi etkinlik için kullanılıyor.”
Saldırıların tanımlayıcı özelliklerinden biri, LockBit grubunun bağlı kuruluşlara çifte gasp amacıyla sağladığı StealBit adlı özel bir sızma aracının kullanılmasıdır.
Fidye yazılımı çetesi, Eylül 2022’nin sonlarında hoşnutsuz bir LockBit geliştiricisinin LockBit 3.0 için oluşturucu kodunu yayınladığında büyük bir darbe aldı ve diğer suçlu aktörlerin durumdan yararlanabileceği ve kendi varyantlarını oluşturabileceği endişelerini artırdı.
Kasım ayında ABD Adalet Bakanlığı, LockBit fidye yazılımı türünün dünya çapında en az 1.000 kurbana karşı kullanıldığını ve operasyondan 100 milyon doların üzerinde yasadışı kar elde ettiğini bildirdi.
Endüstriyel siber güvenlik firması Dragos, bu yılın başlarında LockBit 3.0’ın 2022’nin 4. çeyreğinde kritik altyapıya karşı tespit edilen 189 fidye yazılımı saldırısının %21’inden sorumlu olduğunu ve 40 olaydan sorumlu olduğunu açıkladı. Bu saldırıların çoğu yiyecek-içecek ve imalat sektörlerini etkiledi.
FBI’ın İnternet Suçları Şikayet Merkezi (IC3), en son İnternet Suçları Raporunda, 2022’de kritik altyapıyı mağdur eden ilk üç fidye yazılımı türü olarak LockBit (149), BlackCat (114) ve Hive’ı (87) listeledi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Bu tavsiye, siber güvenlik şirketi Avast’ın Ocak 2023’te ücretsiz bir şifre çözücü yayınlamasından aylar sonra, BianLian fidye yazılımı grubunun odak noktasını kurbanlarının dosyalarını şifrelemekten salt veri hırsızlığı gasp saldırılarına kaydırmasıyla geldi.
İlgili bir gelişmede Kaspersky, Rusya’nın geçen yıl Ukrayna’yı işgal etmesinden sonra sızan ve çekirdek üyeler arasında iç sürtüşmeye yol açan Conti kaynak koduna dayalı bir fidye yazılımı sürümüyle verileri kilitlenen kurbanlara yardımcı olmak için ücretsiz bir şifre çözücü yayınladı.
Intel 471 geçen yıl “LockBit 3.0 ve Conti fidye yazılımı çeşitlerinin karmaşıklığı göz önüne alındığında, bu suç girişimlerini insanların yönettiğini unutmak kolaydır.” “Ve meşru kuruluşlarda olduğu gibi, karmaşık bir operasyonu çözmek veya bozmak için yalnızca bir hoşnutsuz yeterlidir.”