Şubat 2024’teki büyük bir kolluk kesintisinin ardından, kötü şöhretli Lockbit Fidye Yazılım Grubu, altıncı yıldönümünü yeni bir sürümün yayınlanmasıyla işaretledi: Lockbit 5.0.
Trend Micro, Windows, Linux ve VMware ESXI için ikili dosyaları tanımladı ve analiz etti ve grubun tüm kurumsal ağları sakatlayabilecek platformlar arası saldırılara odaklanmasını doğruladı.
Bu yeni varyantların Eylül 2025’in başlarında keşfi, fidye yazılımlarının önemli bir evrimine işaret ediyor. Bu son sürüm, grubun aynı anda birden fazla işletim sistemini hedefleme stratejisini sürdürüyor, Lockbit 2.0’ın 2021’de piyasaya sürülmesinden bu yana görülen bir taktik.
Gelişmiş platformlar arası saldırılar
Lockbit 5.0 varyantları, algılamadan kaçınmak ve hasarı en üst düzeye çıkarmak için sofistike teknikler kullanarak hedef işletim sistemlerine göre uyarlanmıştır.
- Windows Varyant: Bu sürüm, analizi karmaşıklaştırmak için DLL yansıması yoluyla kötü amaçlı yükünü yükleyerek ağır gizleme ve paketleme kullanır. Ayrıca, Windows (ETW) API için etkinlik izlemesinin yaması ve 63 farklı güvenlik ile ilgili hizmeti sonlandırma gibi anti-analiz önlemlerini uygular. Windows varyantı ayrıca yeni biçimlendirilmiş ve daha kullanıcı dostu bir yardım menüsüne sahiptir.
- Linux Varyant: Linux sürümü, Windows muadilinin işlevselliğini yansıtıyor ve saldırganlara belirli dizinleri ve dosya türlerini hedeflemek için tutarlı bir komut satırı seçenekleri kümesi sağlıyor. Hangi dosyaların şifrelendiğini ve hangi klasörlerin hariç tutulduğunu göstererek etkinliklerini kaydedebilir.
.webp)
- ESXI Varyant: Özel bir varyant özellikle VMware’in ESXI sanallaştırma altyapısını hedefler. Bu, kritik bir tehdidi temsil eder, çünkü tek bir ESXI ana bilgisayarı tehlikeye atmak, saldırganların düzinelerce hatta yüzlerce sanal makineyi aynı anda şifrelemesine izin vererek büyük bir bozulmaya neden olabilir. ESXI varyantı, sanal makine şifrelemesi için optimize edilmiş parametreleri içerir.
Trend mikro analizi, Lockbit 5.0’ın selefi Lockbit 4.0’ın doğrudan bir evrimi olduğunu göstermektedir. Her iki versiyon da aynı geliştiricilerin mevcut kod tabanları üzerine oluşturduklarını gösteren API çözünürlüğü için aynı karma algoritmalarını ve yöntemlerini paylaşır.
Anahtar davranışlar yeni varyantlarda tutarlıdır. Şifrelenmiş dosyalar, randomize bir 16 karakterlik uzantı ile eklenir, bu da tanımlama ve kurtarmayı daha zor hale getirir.
Fidye yazılımı ayrıca Rusça dil ortamlarına sahip sistemlerde veya Rusya’da coğrafi konumlandırılmış sistemlerde yürütülmekten kaçınmak için kontroller de içerir. Şifreleme işlemi tamamlandıktan sonra, izlerini kapsayacak olay günlüklerini temizler.
Lockbit 5.0’daki teknik iyileştirmeler, önceki sürümlerden önemli ölçüde daha tehlikeli hale getirir. Ağır gizleme, tespit imzalarının gelişimini geciktirirken, sanallaştırılmış ortamlara odaklanma potansiyel etkisini arttırır.
Grubun Cronos Operasyonu’ndan sonra yükseltilmiş bir fidye yazılımı yeniden gruplandırma ve serbest bırakma yeteneği, dayanıklılığını gösterir.
Kuruluşlara proaktif olarak tehditleri avlayarak ve uç nokta ve ağ korumalarını güçlendirerek güvenlik duruşlarını artırmaları tavsiye edilir. Birincil hedef haline geldiği için sanallaştırma altyapısının güvence altına alınmasına özel dikkat gösterilmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
