Kolluk kuvvetleri Şubat ayında LockBit fidye yazılımı operasyonlarını kesintiye uğratarak altyapıya ve web sitesine el koydu.
Ne yazık ki zafer geçici gibi görünüyor. Çetenin önde gelen üyeleri gözaltına alınmadı ve Cronos Operasyonu'nun yenilgisi, grubun birkaç gün içinde toparlanması nedeniyle yalnızca geçici oldu.
Kaldırma işleminden günler sonra LockBit faaliyetlerinde yaşanan artış, çetenin güncellenmiş şifreleme araçlarını kullandığı ve kurbanları yeni sunuculara yönlendirdiği sırada saldırıların yenilendiğine işaret etti.
ANY.RUN'dan araştırmacılar, Etkileşimli Kötü Amaçlı Yazılım Korumalı Alan Aracı Olayın, dağıtılan fidye yazılımı gruplarının geliştirilmiş araçlarla yeniden ortaya çıktığı geçmiş olayları yansıttığı belirtildi. REvil, GandCrab'ın kaldırılmasından kısa bir süre sonra ortaya çıktı ve muhtemelen ikincisinin kaynak kodunu kullanıyordu.
LockBit Hakkında
Kilit Biti fidye yazılımı ve gelişmiş kalıcı tehdit (APT) yetenekleri sunan bir siber suç örgütüdür. Fidye yazılımları, öncelikle Windows'u hedef alan kurban sistemlerini şifreliyor ve ayrıca Linux ve MacOS'u da vurabiliyor.
Hizmet Olarak Fidye Yazılımı (RaaS) olarak çalışan LockBit geliştiricileri, araçlarını ve altyapılarını bağlı kuruluşlara satıyor ve onlar daha sonra saldırıları başlatıyor, bu da onların daha geniş bir saldırgan yelpazesinden yararlanırken anonim kalmalarına olanak tanıyor.
Grup, mağdurlardan zorla 120 milyon doların üzerinde para kopararak çok sayıda yüksek profilli olayın sorumluluğunu üstlendi.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'u ÜCRETSİZ deneyin
Ele geçirilen altyapıyı incelemek ve tehdidin potansiyel gelişimlerine hazırlanmak için geçici kesintilerden yararlanmanın önemini vurguluyor.
Ölümden Dönüş
Buna göre ANY.RUN çalışması Cyber Security News ile paylaşılan bir raporda, korumalı alanımızdaki LockBit tespitlerinin 0'a ulaşması ve ardından yayından kaldırma işleminden birkaç gün sonra artmaya başlamasıyla birlikte bir süre hareketsizlik yaşandığı ve ardından ani bir artış yaşandığı belirtildi.
LockBit fidye yazılımı çetesi saldırılarına devam etti. Artık yeni sunuculara yönlendiren güncellenmiş şifreleyiciler ve fidye notları kullanıyorlar.
ANY.RUN Sandbox Analizine dayanarak LockBit çetesi, yeniden markalaşmak yerine, kolluk kuvvetlerinin tanımlayıcılarına yeniden erişmesini önlemek için gelişmiş altyapı ve güncellenmiş güvenlik önlemleriyle geri dönme sözü verdi.
ANY.RUN'da LockBit'i analiz etmek
Yaygın bir tür olan LockBit fidye yazılımı aktif olarak geliştirilmektedir. Kolluk kuvvetleri tarafından yakın zamanda yayından kaldırılmış olmasına rağmen, yaratıcılarının tespit edilmekten kaçınmak için kodu değiştirmesi muhtemeldir. LockBit enfeksiyonu önemli bir tehdit olmaya devam ettiğinden kuruluşların hazırlıklı olması gerekir.
LockBit'in saldırı modellerini (TTP'ler) ve Tehlike Göstergelerini (IOC'ler) incelemek, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ve Tehdit İstihbaratı Platformu (TIP) sistemleri için, dosya şifreleme gerçekleşmeden önce izinsiz girişleri tespit etmek ve izole etmek açısından çok önemlidir.
En son sürüm olan LockBit 4.0 değişiklikler gösteriyor: artık masaüstü duvar kağıdını değiştirmiyor ve şifre çözme işlemi önemli ölçüde yavaşlıyor. Ayrıca önceki sürümden farklı olarak sürüm 4.0, şifreleme sonrasında kendi kendine silinmiyor.
Öncelikle Windows'u hedef almasıyla bilinen ancak aynı zamanda Linux ve MacOS sistemlerini de tehlikeye atabilen LockBit fidye yazılımı, yakın zamanda gerçekleşen bir yayından kaldırma işleminin ardından güncellenmiş araçlar ve altyapıyla yeniden ortaya çıktı.
Bu kötü şöhretli fidye yazılımı grubu, 2.000 kurbandan zorla 120 milyon dolardan fazla para koparmaktan sorumludur ve LockBit'in saldırı modellerini, taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) anlamakla birlikte Tehlike Göstergelerini (IOC'ler) toplamak, savunma için güvenlik sistemlerini etkili bir şekilde yapılandırmak açısından çok önemlidir.
ANY.RUN nedir?
HERHANGİ BİR ÇALIŞMA kötü amaçlı yazılımların hızlı tespiti (yaklaşık 40 saniye) ve otomatik aile tanımlaması için YARA kurallarını ve Suricata'yı kullanan, güvenlik ekipleri için tehdit analizini hızlandırmak üzere tasarlanmış bulut tabanlı bir kötü amaçlı yazılım korumalı alanıdır.
ANY.RUN, yalnızca otomatikleştirilmiş çözümlerin aksine, bir tarayıcı arayüzü aracılığıyla sanal makineyle gerçek zamanlı etkileşim sunar; bu, sıfırıncı gün açıklarından yararlanmalara ve imza tabanlı algılamayı atlayabilen gelişmiş kötü amaçlı yazılımlara karşı koymak için çok önemlidir.
ANY.RUN'un bulut tabanlı yapısı DevOps ekiplerinin kurulum ve bakım yükünü de ortadan kaldırarak onu işletmeler için uygun maliyetli hale getiriyor.
Sezgisel arayüz, yeni güvenlik personelinin işe alınması için çok uygundur ve kıdemsiz analistlerin bile kötü amaçlı yazılım analizini hızlı bir şekilde kavramasına ve Tehlike Göstergelerini (IOC'ler) çıkarmasına olanak tanır.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.