Not: 10.10.2021 Tarihi itibariyle aşırı derece yayıldı ve aşırı derece saldırgan oldular. Kurumsal ve Bireysel Firmaların önlemlerini artırmaları gerekmektedir. DeÄŸerli MüÅŸterilerimizin bilgisine sunarız.

LockBit Açıklaması

LockBit fidye yazılımı, kullanıcıların bilgisayar sistemlerine eriÅŸimini engellemek ve onları fidye ödemek zorunda bırakmak amacıyla tasarlanan bir kötü amaçlı yazılımdır. LockBit deÄŸerli hedefleri otomatik olarak belirler, virüsün yayılmasını saÄŸlar ve aÄŸdaki tüm eriÅŸilebilen bilgisayar sistemlerini ÅŸifreler. Bu fidye yazılımı, kuruluÅŸlara ve diÄŸer organizasyonlara karşı düzenlenen geliÅŸmiÅŸ hedefli saldırılarda kullanılır. Kendini yönlendirebilen bir siber saldırıyı kullanan LockBit saldırganları, küresel boyutta kuruluÅŸlara yönelik aÅŸağıdaki tehditlerle üne kavuÅŸtular:

• Önemli iÅŸlevlerin birden durdurulmasıyla ortaya çıkan operasyon bozulmaları.


• Korsanların finansal kazanç edinmesini saÄŸlayan para sızdırma eylemleri.


• Kurbanın talep edilenleri yapmaması durumunda veri hırsızlığı ve yasa dışı yayınlamayı ÅŸantaj olarak kullanma.


•  

LockBit fidye yazılımı nedir?

LockBit, para sızdırma siber saldırılarında kullanılan uzun kötü amaçlı yazılım dizisindeki en yeni fidye yazılımıdır. Eskiden "ABCD" fidye yazılımı olarak bilinen bu yazılım, kapsamlı para sızdırma araçlarının eklenmesiyle geliÅŸerek benzersiz bir tehdit halini almıştır. LockBit, fidye taleplerinin finansal ödeme karşılığında ÅŸifre çözme etrafında oluÅŸturulması nedeniyle "ÅŸifre virüs" olarak adlandırılan bir fidye yazılımının alt sınıfıdır. Genellikle bireylere deÄŸil kuruluÅŸlara ve devlet kurumlarına odaklanır.

LockBit kullanımıyla gerçekleÅŸtirilen saldırılar Eylül 2019'da o günkü adıyla".abcd virus" ile baÅŸladı. Kurbanların dosyalarının ÅŸifrelenmesinde kullanılan dosya uzantısında bir takma isim bulunuyordu. Yazılım bugüne kadar ABD, Çin, Hindistan, Endonezya ve Ukrayna'daki kuruluÅŸları hedef aldı. Ayrıca Avrupa genelinde birçok ülkede (Fransa, BirleÅŸik Krallık, Almanya) saldırılar görüldü.

Süreçteki aksamaların önemli maliyetler ortaya çıkaracağı ve bu maliyetleri karşılama gücü olan ÅŸirketler hedef alındı. Bu baÄŸlamda, saldırılar saÄŸlık kurumlarından finans kuruluÅŸlarına kadar geniÅŸ bir yelpazeye yayıldı. Yazılımın otomatik hedef deÄŸerlendirme sistemlerinde Rusya veya Bağımsız Devletler TopluluÄŸu'nda yer alan ülkelerin bilinçli olarak hedef alınmadığı görülüyor. Bu durumun söz konusu bölgelerdeki adli takibattan kaçınma amacını taşıdığı tahmin ediliyor.

LockBit, hizmet olarak fidye yazılımı (RaaS) ÅŸeklinde hareket eder. Katılmak isteyen taraflar saldırıların kiralanması için bir para öder ve ilgili çerçeve dahilinde kar elde ederler. Fidye ödemeleri LockBit geliÅŸtirme ekibi ile fidye parasının 3/4'üne kadar olan kısmını alabilen saldırgan ortaklar arasında bölüÅŸülür.

LockBit fidye yazılımı nasıl çalışır?

LockBit fidye yazılımı, birçok otorite tarafından "LockerGoga ve MegaCortex" kötü amaçlı yazılım ailesinin bir parçası olarak kabul edilir. Bu durum, söz konusu hedefli fidye yazılımı ailelerindeki davranışların paylaşıldığı anlamına gelir. Hızlı bir açıklama yaparsak bu saldırıları ÅŸu özellikleriyle tanırız:

• Manuel yönlendirmeye ihtiyaç duymadan kuruluÅŸ içerisinde hızlı ÅŸekilde yayılma.


• Spam kötü amaçlı yazılımlarda görülen rastgele saldırılardan farklı olarak hedefli saldırılar düzenleme.


• Yayılmak için Windows Powershell ve Server Message Block (SMB) gibi benzer araçları kullanma.

En önemli özelliÄŸi müdahale gerektirmeden yayılmasını saÄŸlayacak ÅŸekilde kendi kendini çoÄŸaltabilmesidir. LockBit programlaması önceden tasarlanan otomatik süreçler tarafından yönlendirilir. Bu özelliÄŸi, izleme ve gözetim görevlerini tamamlamak için bazen haftalar boyunca aÄŸda manuel olarak yönlendirilen diÄŸer fidye yazılımlarından ayrılmasını ve benzersiz olmasını saÄŸlar.

Saldırgan, virüsü tek bir ana bilgisayara manuel olarak bulaÅŸtırdıktan sonra diÄŸer eriÅŸilebilir ana bilgisayarları görebilir, bunları virüslü ana bilgisayarlara baÄŸlayabilir ve bir dize kullanarak virüsü paylaÅŸabilir. Tüm bu iÅŸlemler hiçbir insan müdahalesine gerek duyulmadan tamamlanabilir ve tekrarlanabilir.

Üstelik, araçları neredeyse tüm Windows bilgisayar sistemlerinde doÄŸal olarak bulunan ÅŸablonlarla kullanır. Uç nokta güvenlik sistemleri bu kötü amaçlı yazılım etkinliÄŸini belirlemekte zorlanmaktadır. Fidye yazılımı ayrıca yürütülebilir ÅŸifreleme dosyasını yaygın kullanılan .PNG görüntü dosyası biçiminde gizleyerek sistem savunmalarını bir kez daha atlatmayı baÅŸarır.

LockBit saldırılarının aşamaları

LockBit saldırıları kabaca üç aÅŸamada anlaşılabilir:

1. Açıklardan Yararlan


2. Sızma


3. Kurun

AÅŸama 1: AÄŸdaki açıklardan yararlanma. Ä°lk ihlal, diÄŸer kötü amaçlı saldırılarla büyük benzerlik taşır. Saldırganların eriÅŸim kimlik bilgilerini talep eden güvenilir personel veya yetkililer gibi davrandığı kimlik avı gibi sosyal mühendislik taktikleriyle kuruluÅŸun güvenlik açıklarından yararlanılır. Benzer seviyede karşılaşılan bir diÄŸer yöntem ise kuruluÅŸun intranet sunucularına ve aÄŸ sistemlerine kaba kuvvet saldırıları gerçekleÅŸtirilmesidir. Uygun bir aÄŸ yapılandırması mevcut olmadığında saldırı deÄŸerlendirmesi yalnızca birkaç günde tamamlanır.

LockBit aÄŸa giriÅŸ yapmayı baÅŸardığında, fidye yazılımı sızabildiÄŸi tüm cihazlara ÅŸifreleme aktarımını gerçekleÅŸtirmesini saÄŸlayan sistemi hazırlar. Bununla birlikte, saldırgan son hamlesini gerçekleÅŸtirmeden önce birkaç ek adımın tamamlandığından emin olmalıdır.

AÅŸama 2: GerektiÄŸinde saldırı kurulumunu tamamlamak için daha derine sızma. Bu noktadan itibaren LockBit programı tüm etkinlikleri bağımsız olarak yönlendirir. Saldırıya hazır olma eriÅŸim seviyesi önceliklerini ele geçirmek için "zayıf nokta belirleme sonrası" araçları olarak adlandırılan bileÅŸenleri kullanacak ÅŸekilde programlanmıştır. Ayrıca hedef uygunluÄŸunu deÄŸerlendirmek için zaten eriÅŸim kazanılan hedeflerde yatay hareketler gerçekleÅŸtirir.

Bu aÅŸamada LockBit, fidye yazılımının ÅŸifreleme kısmını dağıtmadan önce tüm hazırlık eylemlerini uygulamaktadır. Bu eylemler, güvenlik programlarının ve sistemin kurtarılmasına olanak saÄŸlayan tüm diÄŸer altyapıların devre dışı bırakılmasını içerir.

Sızmanın hedefi, yardım olmadan kurtarmayı imkansız hale getirmek veya saldırganın fidye talebine direnmemenin tek pratik çözüm olarak görüleceÄŸi kadar yavaÅŸlama saÄŸlamaktır. Kurban, operasyonların normale dönmesi konusunda çaresiz kaldığında fidye ücretini ödeyecektir.

AÅŸama 3: Åžifreleme aktarımını dağıtma. AÄŸ LockBit yazılımının tam olarak mobil hale gelmesi için hazır olduÄŸunda, fidye yazılımı temas edebildiÄŸi tüm makinelerde çoÄŸaltma iÅŸlemini baÅŸlatır. Daha önce belirtildiÄŸi gibi, LockBit bu aÅŸamayı tamamlamak için çok fazla ÅŸeye ihtiyaç duymaz. Yüksek eriÅŸim önceliÄŸine sahip tek bir sistem ünitesi diÄŸer aÄŸ ünitelerine LockBit yazılımını indirme ve çalıştırma komutunu gönderebilir.

Åžifreleme kısmı tüm sistem dosyalarına bir "kilit" yerleÅŸtirir. Kurbanlar, sistemlerinin kilidini ancak LockBit'in özel ÅŸifre çözme aracı tarafından oluÅŸturulan özel anahtarı kullanarak kaldırabilirler. Ä°ÅŸlem ayrıca tüm sistem klasörlerine basit fidye notu metin dosyası kopyaları bırakır. Bu kopya kurbana sistemlerini geri yüklemek için gerekli talimatları iletir ve bazı LockBit sürümlerinde ÅŸantaj metinlerini içerebilir.

Tüm aÅŸamalar tamamlandığında sonraki adım kurbanın karar vermesini beklemektir. LockBit destek masasıyla iletiÅŸime geçerek fidyeyi ödemeyi seçebilirler. Bununla birlikte, saldırganların taleplerinin yerine getirilmesi önerilmez. Kurbanlar, saldırganların anlaÅŸmanın kendilerine düÅŸen kısmını yerine getireceÄŸine iliÅŸkin hiçbir garantiye sahip deÄŸildir.

LockBit tehdidi türleri

Son fidye yazılımı saldırılarıyla birlikte LockBit tehdidi önemli bir endiÅŸe kaynağı haline dönüÅŸme potansiyeline kavuÅŸmuÅŸtur. Özellikle uzaktan çalışma alanında son zamanlarda yaÅŸanan artış göz önünde bulundurulduÄŸunda, birçok sektör ve kuruluÅŸu ele geçirme olasılığını göz ardı edemeyiz. LockBit çeÅŸitlerinin belirlenmesi karşınızdaki yapının ne olduÄŸunu tam olarak anlamanıza yardımcı olabilir.

Tür 1 —. abcd uzantısı

LockBit'in orijinal sürümünde dosyalar ".abcd" uzantı adıyla yeniden adlandırılır. Ek olarak, tüm klasörlere yerleÅŸtirilen ve sözde onarımın gerçekleÅŸmesi için gerekli talepleri ve talimatları bulunduran "Beni Geri Yükle.txt" dosyalarını içerir.

Tür 2 —. LockBit uzantısı

Fidye yazılımının bilinen ikinci sürümü, yazılıma güncel bir takma ad saÄŸlayan ".LockBit" dosya uzantısına uyarlanmıştır. Bununla birlikte, kurbanlar bu sürümün diÄŸer niteliklerinin bazı arka uç revizyonları dışında büyük ölçüde aynı göründüÄŸünü fark etmiÅŸtir.

Tür 3 —. LockBit sürüm 2

LockBit'in bir sonraki tanımlanabilen sürümü, fidye yazılımları için Tor tarayıcının indirilmesine gerek duymaz. Bunun yerine kurbanları geleneksel internet eriÅŸimi kullanan alternatif bir web sitesine yönlendirir.

LockBit'te gerçekleÅŸtirilen sürekli güncellemeler ve revizyonlar

LockBit son zamanlarda kötü amaçlı yönetim izni kontrol noktaları gibi daha kötü özelliklerle geliÅŸtirilmiÅŸtir. Åžu anda LockBit, bir uygulama tarafından yönetici olarak çalıştırma iÅŸlemi denendiÄŸinde kullanıcıların görebildiÄŸi güvenlik isteklerini devre dışı bırakıyor.

Kötü amaçlı yazılım ÅŸimdi ayrıca sunucu verilerinin kopyalarını çalacak ve fidye notuna dahil edilen ÅŸantaj satırlarına ek satır ekleme olanağı sunacak ÅŸekilde yapılandırılıyor. Kurban talimatlara uygun hareket etmediÄŸinde ise LockBit, kurbanı özel verilerini herkese açık hale getirmekle tehdit ediyor.

LockBit'i kaldırma ve ÅŸifre çözme

Virüs kuruluÅŸunuza bulaÅŸtıktan sonra yalnızca LockBit fidye yazılımının kaldırılmasıyla dosyalarınıza eriÅŸim saÄŸlayamazsınız. Åžifreleme kilidinin açılması için bir "anahtara" ihtiyaç duyulduÄŸundan sistemin geri yüklenmesi için bir araç gerekir. Alternatif olarak, virüs bulaÅŸmadan önce yedekleme dosyalarının görüntüsünü zaten oluÅŸturduysanız sistemlerinizi bu görüntüleri kullanarak geri yükleyebilirsiniz.

LockBit fidye yazılımından korunma

Nihai çözüm, kuruluÅŸunuzun fidye yazılımı veya kötü amaçlı saldırılara karşı ilk adımdan itibaren daha dirençli olmasını saÄŸlayan koruyucu önlemleri yapılandırmaktır. Hazırlıklı olmanıza yardımcı olacak birkaç uygulamayı burada bulabilirsiniz:

1. Güçlü parolalar uygulanmalıdır. Birçok hesap ihlali kolay tahmin edilebilen veya algoritma aracının birkaç gün denetleme sonrasında belirleyebildiÄŸi kadar basit parolalardan kaynaklanır. DeÄŸiÅŸik karakterleri içeren, parolanın düzenlenmesinde sizin tarafınızdan oluÅŸturulan kuralların kullanıldığı güçlü bir parola seçtiÄŸinizden emin olun.


2. Çok faktörlü kimlik doÄŸrulamasını etkinleÅŸtirin. Ä°lk parola tabanlı oturum açma iÅŸlemlerine katmanlar ekleyerek kaba kuvvet saldırılarını baÅŸarısızlığa uÄŸratın. Mümkün olduÄŸunda tüm sistemlerinize biyometrik veriler veya fiziksel USB anahtarı kimlik doÄŸrulayıcılar gibi önlemler ekleyin.


3. Kullanıcı hesabı izinlerini tekrar deÄŸerlendirin ve basitleÅŸtirin. Olası tehditlerin fark edilmeden giriÅŸ yapmasını sınırlamak için izinleri daha katı seviyelerle sınırlayın. Yönetici seviyesinde izinlere sahip BT hesapları ve uç nokta kullanıcıları tarafından yapılan eriÅŸimlere özellikle dikkat edin. Web etki alanları, iÅŸ birliÄŸi platformları, web toplantı hizmetleri ve kurumsal veritabanları güvence altına alınmalıdır.


4. Güncel olmayan veya kullanılmayan kullanıcı hesaplarını temizleyin. Bazı eski sistemlerde eski çalışanlara ait hiç devre dışı bırakılmayan ve kapatılmayan hesaplar bulunabilir. Sistemlerinizde gerçekleÅŸtirilen denetimler bu olası zayıf noktaların giderilmesini içermelidir.


5. Sistem yapılandırmalarının tüm güvenlik prosedürleriyle uyumlu olduÄŸundan emin olun. Bu zaman alıcı olabilir ancak mevcut ayarların tekrar ziyaret edilmesi kuruluÅŸunuzu saldırı riskiyle karşı karşıya bırakabilecek yeni sorunları ve güncel olmayan politikaları ortaya çıkarabilir. Yeni siber tehditlere karşı güncel kalabilmek için standart operasyon prosedürleri periyodik olarak yeniden deÄŸerlendirilmelidir.


6. Her zaman sistem genelinde yedekleme uygulayın ve oluÅŸturulan yerel makine görüntülerini temizleyin. Bu tür olaylar her zaman olasılık dahilindedir ve kalıcı veri kaybına karşı tek gerçek koruma çevrimdışı kopya oluÅŸturmaktır. KuruluÅŸunuz sistemlerinizdeki önemli deÄŸiÅŸikliklerle güncel olarak uyumlu kalabilmek için periyodik yedekleme oluÅŸturmalıdır. Yedekleme kötü amaçlı yazılım yayılması nedeniyle bozulduÄŸunda temiz bir dönem belirlemek için birden fazla dönüÅŸümlü yedekleme noktası oluÅŸturmayı göz önünde bulundurun.