Güvenlik çözümleriniz LockBit enfeksiyonunu engelleyebilir ancak yine de şifrelenmiş dosyalara sahip olabilirsiniz: Symantec’in tehdit araştırmacılarına göre bazı bağlı kuruluşlar, LockBit’in işaretlenmesi ve engellenmesi durumunda bir geri dönüş seçeneği olarak 3AM fidye yazılımını kullanıyor.
Gece 3’te fidye yazılımı
LockBit, uzun süredir ortalığı kasıp kavuran bilinen bir fidye yazılımı ailesidir.
Peki ya sabahın üçü? Bu şekilde dublajlanmıştır çünkü .öğle vakti Şifrelenmiş dosyalara eklenen uzantıya sahip 3AM, Rust’ta yazılmış yeni bir fidye yazılımı ailesidir.
Araştırmacıların analizine göre virüs bulaştığı bilgisayarda çalışan güvenlik ve yedeklemeyle ilgili yazılımları sonlandırmaya çalışıyor ve hedeflenen dosyaları şifreleyip orijinal dosyaları sildikten sonra Volume Shadow kopyalarını da silmeye çalışıyor.
Araştırmacılar, “Fidye yazılımı bugüne kadar yalnızca sınırlı bir şekilde kullanıldı” dedi; şirketin tehdit avcıları, bunun bir fidye yazılımı yan kuruluşu tarafından yapılan tek bir saldırıda kullanıldığını gördü.
Ayrıca fark edilmeyecek kadar etkili veya gizli görünmüyor. “Saldırganlar bu yazılımı kuruluşun ağındaki yalnızca üç makineye dağıtmayı başardılar ve bu üç bilgisayardan ikisinde engellendi.”
Yine de saldırganlar bir miktar başarı elde etti: Dosyaları şifrelemeye çalışmadan önce dosyaları sızdırdılar, bu da kurban kuruluştan şantaj yapmaya çalışabilecekleri anlamına geliyor.
“Yeni fidye yazılımı aileleri sıklıkla ortaya çıkıyor ve çoğu da aynı hızla ortadan kayboluyor veya hiçbir zaman önemli bir ilgi çekmeyi başaramıyor. Ancak 3AM’in bir LockBit üyesi tarafından geri dönüş olarak kullanılması, saldırganların ilgisini çekebileceğini ve gelecekte tekrar görülebileceğini gösteriyor” diye yorumladı Symantec tehdit avcıları.
Fidye yazılımı dağıtımından önce
Şirket, ilk sistemin nasıl ele geçirildiğini söylemiyor.
“Tehdit aktörünün ilk şüpheli faaliyeti, Greult Belirtilen kullanıcı için bilgisayarda uygulanan ilke ayarlarının dökümünü alma komutu. Saldırgan ayrıca çeşitli Cobalt Strike bileşenlerini çalıştırdı ve PsExec’i kullanarak bilgisayardaki ayrıcalıkları artırmaya çalıştı.” diye paylaştı Symantec tehdit avcıları.
Saldırganlar daha sonra keşif yapmaya başladı ( ben kimim, netstat, suçluVe net pay komutları), atlayabilecekleri diğer sunucuları numaralandırmaya çalıştı (ile suçlu Ve Net görüntü komutları), kalıcılık için yeni bir kullanıcı ekledi ve kurbanların dosyalarını Wput aracı aracılığıyla kendi FTP sunucularına aktardı.
Symantec, güvenlik ihlali göstergeleri sağladı: iki kötü amaçlı yazılım örneği ve Cobalt Strike işaretleri için IP adresleri ve dosya karmaları.