LockBit fidye yazılımı, fidye ödemesi karşılığında kullanıcıların bilgisayar sistemlerine erişimini engellemek için tasarlanmış kötü amaçlı yazılımdır. LockBit, değerli hedefleri otomatik olarak denetleyecek, enfeksiyonu yayacak ve bir ağdaki tüm erişilebilir bilgisayar sistemlerini şifreleyecektir. Bu fidye yazılımı, kuruluşlara ve diğer kuruluşlara yönelik yüksek oranda hedefli saldırılar için kullanılır. Kendi kendini yöneten bir siber saldırı olarak LockBit saldırganları, aşağıdaki tehditlerden bazılarıyla dünya çapında kuruluşları tehdit ederek iz bırakmıştır:
- Temel işlevlerin aniden durmasıyla operasyonların kesintiye uğraması.
- Bilgisayar korsanının mali kazancı için zorla kullanılması.
- Veri hırsızlığı ve mağdurun uymaması halinde şantaj olarak yasa dışı yayın.
LockBit fidye yazılımı nedir?
LockBit, uzun bir gasp siber saldırı hattında yeni bir fidye yazılımı saldırısıdır. Eskiden “ABCD” fidye yazılımı olarak bilinen bu yazılım, o zamandan beri bu gasp araçları kapsamında benzersiz bir tehdit haline geldi. LockBit, fidye taleplerini şifre çözme karşılığında finansal ödeme etrafında oluşturması nedeniyle ‘kripto virüsü’ olarak bilinen bir fidye yazılımı alt sınıfıdır. Bireylerden çok işletmelere ve devlet kuruluşlarına odaklanır.
LockBit kullanan saldırılar, başlangıçta “.abcd virüsü” olarak adlandırıldığı Eylül 2019’da başladı. Takma ad, bir kurbanın dosyalarını şifrelerken kullanılan dosya uzantısı adına atıfta bulunuyordu. Önemli geçmiş hedefler arasında Amerika Birleşik Devletleri, Çin, Hindistan, Endonezya ve Ukrayna’daki kuruluşlar yer almaktadır. Ek olarak, Avrupa’daki çeşitli ülkeler (Fransa, İngiltere, Almanya) saldırılara uğradı.
Uygulanabilir hedefler, kesinti nedeniyle ağır bir meblağ ödemek için yeterince engellenmiş hissedecek ve bunu yapacak fonlara sahip olacak hedeflerdir. Bu durum, sağlık hizmetlerinden finans kuruluşlarına kadar büyük işletmelere yönelik saldırıların yayılmasına neden olabilir. Otomatik inceleme sürecinde, Rusya’ya veya Bağımsız Devletler Topluluğu içindeki diğer ülkelere yerel sistemlere saldırmaktan da kasıtlı olarak kaçınıyor gibi görünüyor. Muhtemelen bu, bu alanlarda takibat yapmaktan kaçınmak içindir.
LockBit, fidye yazılımı (RaaS) olarak işlev görür. İstekli taraflar, özel kiralama saldırılarının kullanımı için bir depozito yatırır ve bir bağlı kuruluş çerçevesi altında kar eder. Fidye ödemeleri, LockBit geliştirici ekibi ile fidye fonlarının ¾’üne kadar alan saldıran bağlı kuruluşlar arasında bölünür.
Nasıl Çalışır?
LockBit fidye yazılımı, birçok yetkili tarafından “LockerGoga & MegaCortex” kötü amaçlı yazılım ailesinin bir parçası olarak kabul edilir. Bu basitçe, davranışları bu yerleşik hedefli fidye yazılımı biçimleriyle paylaştığı anlamına gelir. Hızlı bir açıklama olarak, bu saldırıların şunlar olduğunu anlıyoruz:
- Manuel yönlendirme gerektirmek yerine bir organizasyon içinde kendi kendine yayılma.
- Spam kötü amaçlı yazılım gibi dağınık bir şekilde yayılmak yerine hedeflenir.
- Windows Powershell ve Sunucu İleti Bloğu (SMB) gibi yayılmak için benzer araçları kullanma.
En önemlisi, kendi kendine yayılma yeteneğidir, yani kendi kendine yayılır. LockBit, programlamasında önceden tasarlanmış otomatik süreçler tarafından yönetilir. Bu, onu, keşif ve gözetimi tamamlamak için ağda bazen haftalarca manuel olarak yaşamakla yönlendirilen diğer birçok fidye yazılımı saldırısından benzersiz kılar.
Saldırgan tek bir ana bilgisayara manuel olarak virüs bulaştırdıktan sonra, diğer erişilebilir ana bilgisayarları bulabilir, onları virüslü olanlara bağlayabilir ve bir komut dosyası kullanarak enfeksiyonu paylaşabilir. Bu, tamamen insan müdahalesi olmadan tamamlanır ve tekrarlanır.
Ayrıca, neredeyse tüm Windows bilgisayar sistemlerinde yerel olan kalıplardaki araçları kullanır. Uç nokta güvenlik sistemleri, kötü niyetli etkinlikleri işaretlemekte zorlanıyor. Ayrıca, yürütülebilir şifreleme dosyasını ortak .PNG görüntü dosyası biçimi olarak gizleyerek gizler ve sistem savunmasını daha da aldatır.
LockBit saldırılarının aşamaları
LockBit saldırıları kabaca üç aşamada anlaşılabilir:
- Faydalanma
- Sızma
- Dağıtma
Aşama 1: Bir ağdaki zayıflıklardan yararlanın. İlk ihlal, diğer kötü niyetli saldırılara çok benzemektedir. Bir kuruluş, saldırganların erişim kimlik bilgileri istemek için güvenilir personel veya yetkililerin kimliğine büründüğü kimlik avı gibi sosyal mühendislik taktikleriyle istismar edilebilir. Bir organizasyonun intranet sunucularına ve ağ sistemlerine kaba kuvvet saldırılarının kullanılması da aynı derecede uygulanabilir. Uygun ağ yapılandırması olmadan, saldırı araştırmalarının tamamlanması yalnızca birkaç gün sürebilir.
LockBit onu bir ağa dönüştürdüğünde, fidye yazılımı sistemi, şifreleme yükünü mümkün olan her cihazda serbest bırakmaya hazırlar. Ancak, bir saldırganın son hamlesini yapmadan önce birkaç ek adımı tamamlamasını sağlaması gerekebilir.
Aşama 2: Gerekirse saldırı kurulumunu tamamlamak için daha derine sızmalısınız. Bu noktadan itibaren LockBit programı tüm faaliyetleri bağımsız olarak yönetir. Saldırıya hazır bir erişim düzeyi elde etmek için artan ayrıcalıklar elde etmek için “post-exploitation” araçlar olarak bilinenleri kullanmak üzere programlanmıştır. Aynı zamanda, hedef canlılığı için veterinere yanal hareket yoluyla zaten mevcut olan erişim yoluyla da kök salmaktadır.
Bu aşamada LockBit, fidye yazılımının şifreleme bölümünü dağıtmadan önce her türlü hazırlık eylemini gerçekleştirecektir. Bu, güvenlik programlarının ve sistem kurtarmaya izin verebilecek diğer altyapıların devre dışı bırakılmasını içerir.
Sızmanın amacı, yardımsız kurtarmayı imkansız hale getirmek veya saldırganın fidyesine yenik düşmenin tek pratik çözüm olduğu kadar yavaşlatmaktır. Kurban, operasyonları normale döndürmek için çaresiz kaldığında, fidye ücretini ödeyeceği zamandır.
Aşama 3: Şifreleme yükünü dağıtın. Ağ, LockBit’in tamamen mobilize olması için hazırlandıktan sonra, fidye yazılımı dokunabileceği herhangi bir makinede yayılmaya başlayacaktır. Daha önce belirtildiği gibi, LockBit’in bu aşamayı tamamlamak için fazla bir şeye ihtiyacı yoktur. Yüksek erişime sahip tek bir sistem birimi, LockBit’i indirmek ve çalıştırmak için diğer ağ birimlerine komutlar verebilir.
Şifreleme kısmı, tüm sistem dosyalarına bir “kilit” yerleştirecektir. Mağdurlar, sistemlerinin kilidini yalnızca LockBit’in tescilli şifre çözme aracı tarafından oluşturulan özel bir anahtarla açabilir. İşlem ayrıca her sistem klasöründe basit bir fidye notu metin dosyasının kopyalarını bırakır. Mağdura sistemlerini geri yükleme talimatları sağlar ve hatta bazı LockBit sürümlerinde tehdit edici şantaj içerir.
Tüm aşamalar tamamlandıktan sonra sonraki adımlar kurbana bırakılır. LockBit’in destek masasıyla iletişime geçip fidyeyi ödemeye karar verebilirler. Ancak, taleplerini takip etmek tavsiye edilmez. Mağdurların, saldırganların pazarlıklarını sonuna kadar takip edeceklerine dair hiçbir garantisi yoktur.
LockBit Tehdit Türleri
En son fidye yazılımı saldırısı olarak LockBit tehdidi önemli bir endişe kaynağı olabilir. Özellikle son zamanlarda uzaktan çalışmadaki artışla birlikte, birçok endüstri ve kuruluşta yaygınlaşma olasılığını göz ardı edemeyiz. LockBit’in türevlerini tespit etmek, tam olarak neyle uğraştığınızı belirlemenize yardımcı olabilir.
Varyant 1 —. abcd uzantısı
LockBit’in orijinal sürümü, dosyaları “.abcd” uzantı adıyla yeniden adlandırır. Ayrıca, her klasöre eklenmiş olan “Restore-My-Files.txt” dosyasında iddia edilen restorasyonlar için talepler ve talimatlar içeren bir fidye notu içerir.
Varyant 2 —. LockBit uzantısı
Bu fidye yazılımının bilinen ikinci sürümü, “.LockBit” dosya uzantısını benimseyerek ona mevcut takma adı verdi. Ancak kurbanlar, bazı arka uç revizyonlarına rağmen bu sürümün diğer özelliklerinin çoğunlukla aynı göründüğünü göreceklerdir.
Varyant 3 —. LockBit sürüm 2
LockBit’in bir sonraki tanımlanabilir sürümü artık Tor tarayıcısının fidye talimatlarında indirilmesini gerektirmiyor. Bunun yerine, kurbanları geleneksel internet erişimi aracılığıyla alternatif bir web sitesine gönderir.
LockBit’te devam eden güncellemeler ve revizyonlar
Son zamanlarda LockBit, idari izin kontrol noktalarını reddetme gibi daha kötü özelliklerle geliştirildi. LockBit, bir uygulama yönetici olarak çalıştırmayı denediğinde kullanıcıların görebileceği güvenlik istemlerini artık devre dışı bırakıyor.
Ayrıca, kötü amaçlı yazılım artık sunucu verilerinin kopyalarını çalmak üzere ayarlandı ve fidye notunda ek şantaj satırları içeriyor. Mağdurun talimatları takip etmemesi durumunda, LockBit şimdi kurbanın özel verilerinin kamuya açıklanmasıyla tehdit ediyor.
LockBit fidye yazılımına karşı nasıl korunursunuz?
Sonuç olarak, kuruluşunuzun herhangi bir fidye yazılımına veya ofsetten gelen kötü niyetli saldırılara karşı dayanıklı olmasını sağlamak için koruyucu önlemler ayarlamanız gerekecektir. Hazırlanmanıza yardımcı olabilecek birkaç uygulama:
- Güçlü şifreler uygulanmalıdır.
- Pek çok hesap ihlali, tahmin edilmesi kolay şifreler veya bir algoritma aracının birkaç gün içinde keşfetmesi için yeterince basit olan şifreler nedeniyle meydana gelir. Güçlü karakter varyasyonlarıyla daha uzun olanları seçmek ve parola oluşturmak için kendi oluşturduğunuz kuralları kullanmak gibi güvenli parola seçtiğinizden emin olun.
- Çok faktörlü kimlik doğrulamayı etkinleştirin.
- İlk parola tabanlı oturum açmalarınızın üstüne katmanlar ekleyerek kaba kuvvet saldırılarını engelleyin. Mümkün olduğunda tüm sistemlerinize biyometrik veya fiziksel USB anahtarı kimlik doğrulayıcıları gibi önlemler ekleyin.
- Kullanıcı hesabı izinlerini yeniden değerlendirin ve basitleştirin.
- Potansiyel tehditlerin yılmadan geçmesini sınırlamak için izinleri daha katı düzeylerle sınırlayın. Yönetici düzeyinde izinlere sahip uç nokta kullanıcıları ve BT hesapları tarafından erişilenlere özellikle dikkat edin. Web etki alanları, işbirliği platformları, web toplantı hizmetleri ve kurumsal veri tabanlarının tümü güvence altına alınmalıdır.
- Eski ve kullanılmayan kullanıcı hesaplarını temizleyin.
- Bazı eski sistemler, geçmiş çalışanlardan hiçbir zaman devre dışı bırakılmamış ve kapatılmamış hesaplara sahip olabilir. Sistemlerinizde bir kontrolün tamamlanması, bu potansiyel zayıf noktaların ortadan kaldırılmasını içermelidir.
- Sistem yapılandırmalarının tüm güvenlik prosedürlerini takip ettiğinden emin olun.
- Bu zaman alabilir, ancak mevcut kurulumları yeniden gözden geçirmek, kuruluşunuzu saldırı riskine sokan yeni sorunları ve güncelliğini yitirmiş ilkeleri ortaya çıkarabilir. Yeni siber tehditlere karşı güncel kalmak için standart operasyon prosedürleri periyodik olarak yeniden değerlendirilmelidir.
- Her zaman sistem genelinde yedekler ve temiz yerel makine görüntüleri hazırlayın.
- Kazalara ve kalıcı veri kaybına karşı tek gerçek koruma çevrimdışı bir kopyadır. Kuruluşunuz, sistemlerinizdeki önemli değişikliklerden haberdar olmak için periyodik olarak yedekler oluşturmalıdır. Bir yedeklemenin kötü amaçlı yazılım bulaşmasıyla lekelenmesi durumunda, temiz bir dönem seçme seçeneği için birden çok dönen yedekleme noktasına sahip olmayı düşünün.
- Kapsamlı bir kurumsal siber güvenlik çözümüne sahip olduğunuzdan emin olun.
- LockBit, korumaları bir birimde bir kez devre dışı bırakmayı deneyebilirken, kurumsal siber güvenlik koruma yazılımı, gerçek zamanlı koruma ile tüm kuruluş genelinde dosya indirmelerini yakalamanıza yardımcı olur.