Tehdit aktörleri, kendi fidye yazılımı saldırılarını gerçekleştirmek için sızdırılan Lockbit kodunu kullanıyor ve özelleştiriyor.
Lockbit tartışmasız dünyanın lider hizmet olarak fidye yazılımı (RaaS) operasyonu. Geçtiğimiz haziran ayında bu en son sürüm 3 kötü amaçlı yazılımını ortaya çıkardı (“Lockbit Black” olarak da anılır) “fidye yazılımını yeniden mükemmel hale getirme” sözü veriyor. Ve bunu takip etti; en son yineleme, zaten güçlü olan öncüllerine göre önemli ölçüde yükseltildi; en önemlisi, gelişmiş anti-analiz korumaları. Üçüncü Lockbit, o zamandan beri, son saldırıda olduğu gibi büyük kampanyalarda kullanıldı. Japonya’nın en büyük limanı.
Ancak Lockbit saldırılarının tümü Lockbit veya bağlı kuruluşları tarafından gerçekleştirilmez. Bir geliştiriciden sonra Lockbit v3 için oluşturucu kodunun iki sürümü sızdırıldı Geçtiğimiz Eylül ayında, bağlantısız siber suçlular artık siber yeraltının önde gelen kötü amaçlı yazılım oluşturma aracını kendi amaçları için benimsiyor gibi görünüyor.
Veri sorumlusu Roger Grimes, “Diğer bilgisayar korsanlarının, araç kiti veya kaynak sızdırıldıktan sonra fidye yazılımından ve diğer kötü amaçlı yazılım programlarından yararlanmaları çok yaygındır. Bilgisayar korsanlarının çoğu tembeldir ve haksız kazançlar elde etmek için en hızlı, en kısa yolu seçerler” dedi. KnowBe4’teki azimli savunma misyoneri Dark Reading’e gönderilen bir açıklamada.
Lockbit’in Farklı Bir Yüzü
Geçtiğimiz sonbaharda Kaspersky araştırmacıları, bir kuruluşun kritik sistemlerini şifrelemek için Lockbit v3’ün bir çeşidini kullanan bir siber saldırı gözlemledi. Ancak saldırının doğası Lockbit’in MO’su ile hiç uyumlu değildi
Fidye notunda failler kendilerini “Ulusal Tehlike Teşkilatı” olarak tanıttılar. Mesajları genel olarak aynıydı: “Verileriniz şifrelendi”, “Fidyeyi ödemezseniz şirketinize tekrar tekrar saldıracağız” vb. Bir e-posta ve anlık mesajlaşma iletişim bilgilerini eklediler ve 3 milyon dolar ödenmesini talep ettiler. Bitcoin veya Monero. (Lockbit gibi Binbaşı RaaS’ler, kurbanlarla pazarlık yapmak için kendi özel platformlarını kullanıyor.)
Diğer araştırmacılar gözlemledi Lockbit kullanan diğer gruplar bu sıralarda, ancak aşağıdaki düşük dereceli örnekte olduğu gibi, fidye notunda kendi değişiklikleriyle:
Kaspersky araştırmacıları yakın zamanda kaç bağımsız aktörün bunu yaptığını belirlemek için gözlemlenen 396 Lockbit oluşturucu örneğini analiz etti vahşi doğadan. Bunlardan 77’si, Lockbit’e hiç atıfta bulunmadı veya ilgili fidye notlarında farklı iletişim bilgileri kullandı; bu da bağlantısız aktörlerin suçluluğunu gösteriyor.
Siber Saldırganlar Lockbit’i Nasıl Özelleştiriyor?
Kaspersky’ye göre mBirçok Lockbit uygulayıcısı, yerel diskleri veya ağ paylaşımlarını hedef alarak, kötü amaçlı yazılımdaki hizmeti sonlandırmayı, süreci sonlandırmayı, savunucuyu sonlandırmayı, günlükleri silmeyi ve kendi kendini yok etme parametrelerini etkinleştirdi. Çoğu, sistem kapatma parametresini etkinleştirmedi ve çok azı bir komuta ve kontrol sunucusuyla iletişimi kullandı.
Bu oldukça küçük özelleştirmelerin yanı sıra, Lockbit’i benimseyenler kötü amaçlı yazılımın kendisinde de birkaç değişiklik yaptı.
Araştırmacılar, “Algılanan parametrelerin çoğu, inşaatçının varsayılan konfigürasyonuna karşılık geliyor, yalnızca bazıları küçük değişiklikler içeriyor. Bu, örneklerin muhtemelen acil ihtiyaçlar için veya muhtemelen tembel aktörler tarafından geliştirildiğini gösteriyor” diye açıkladı.