LockBit fidye yazılımı, kullanıcıların bilgisayar sistemlerine erişimini engellemek ve onları fidye ödemek zorunda bırakmak amacıyla tasarlanan bir kötü amaçlı yazılımdır. LockBit değerli hedefleri otomatik olarak belirler, virüsün yayılmasını sağlar ve ağdaki tüm erişilebilen bilgisayar sistemlerini şifreler. Bu fidye yazılımı, kuruluşlara ve diğer organizasyonlara karşı düzenlenen gelişmiş hedefli saldırılarda kullanılır. Kendini yönlendirebilen bir siber saldırıyı kullanan LockBit saldırganları, küresel boyutta kuruluşlara yönelik aşağıdaki tehditlerle üne kavuştular:
LockBit, para sızdırma siber saldırılarında kullanılan uzun kötü amaçlı yazılım dizisindeki en yeni fidye yazılımıdır. Eskiden "ABCD" fidye yazılımı olarak bilinen bu yazılım, kapsamlı para sızdırma araçlarının eklenmesiyle gelişerek benzersiz bir tehdit halini almıştır. LockBit, fidye taleplerinin finansal ödeme karşılığında şifre çözme etrafında oluşturulması nedeniyle "şifre virüs" olarak adlandırılan bir fidye yazılımının alt sınıfıdır. Genellikle bireylere değil kuruluşlara ve devlet kurumlarına odaklanır.
LockBit kullanımıyla gerçekleştirilen saldırılar Eylül 2019'da o günkü adıyla".abcd virus" ile başladı. Kurbanların dosyalarının şifrelenmesinde kullanılan dosya uzantısında bir takma isim bulunuyordu. Yazılım bugüne kadar ABD, Çin, Hindistan, Endonezya ve Ukrayna'daki kuruluşları hedef aldı. Ayrıca Avrupa genelinde birçok ülkede (Fransa, Birleşik Krallık, Almanya) saldırılar görüldü.
Süreçteki aksamaların önemli maliyetler ortaya çıkaracağı ve bu maliyetleri karşılama gücü olan şirketler hedef alındı. Bu bağlamda, saldırılar sağlık kurumlarından finans kuruluşlarına kadar geniş bir yelpazeye yayıldı. Yazılımın otomatik hedef değerlendirme sistemlerinde Rusya veya Bağımsız Devletler Topluluğu'nda yer alan ülkelerin bilinçli olarak hedef alınmadığı görülüyor. Bu durumun söz konusu bölgelerdeki adli takibattan kaçınma amacını taşıdığı tahmin ediliyor.
LockBit, hizmet olarak fidye yazılımı (RaaS) şeklinde hareket eder. Katılmak isteyen taraflar saldırıların kiralanması için bir para öder ve ilgili çerçeve dahilinde kar elde ederler. Fidye ödemeleri LockBit geliştirme ekibi ile fidye parasının 3/4'üne kadar olan kısmını alabilen saldırgan ortaklar arasında bölüşülür.
LockBit fidye yazılımı, birçok otorite tarafından "LockerGoga ve MegaCortex" kötü amaçlı yazılım ailesinin bir parçası olarak kabul edilir. Bu durum, söz konusu hedefli fidye yazılımı ailelerindeki davranışların paylaşıldığı anlamına gelir. Hızlı bir açıklama yaparsak bu saldırıları şu özellikleriyle tanırız:
En önemli özelliği müdahale gerektirmeden yayılmasını sağlayacak şekilde kendi kendini çoğaltabilmesidir. LockBit programlaması önceden tasarlanan otomatik süreçler tarafından yönlendirilir. Bu özelliği, izleme ve gözetim görevlerini tamamlamak için bazen haftalar boyunca ağda manuel olarak yönlendirilen diğer fidye yazılımlarından ayrılmasını ve benzersiz olmasını sağlar.
Saldırgan, virüsü tek bir ana bilgisayara manuel olarak bulaştırdıktan sonra diğer erişilebilir ana bilgisayarları görebilir, bunları virüslü ana bilgisayarlara bağlayabilir ve bir dize kullanarak virüsü paylaşabilir. Tüm bu işlemler hiçbir insan müdahalesine gerek duyulmadan tamamlanabilir ve tekrarlanabilir.
Üstelik, araçları neredeyse tüm Windows bilgisayar sistemlerinde doğal olarak bulunan şablonlarla kullanır. Uç nokta güvenlik sistemleri bu kötü amaçlı yazılım etkinliğini belirlemekte zorlanmaktadır. Fidye yazılımı ayrıca yürütülebilir şifreleme dosyasını yaygın kullanılan .PNG görüntü dosyası biçiminde gizleyerek sistem savunmalarını bir kez daha atlatmayı başarır.
LockBit saldırıları kabaca üç aşamada anlaşılabilir:
Aşama 1: Ağdaki açıklardan yararlanma. İlk ihlal, diğer kötü amaçlı saldırılarla büyük benzerlik taşır. Saldırganların erişim kimlik bilgilerini talep eden güvenilir personel veya yetkililer gibi davrandığı kimlik avı gibi sosyal mühendislik taktikleriyle kuruluşun güvenlik açıklarından yararlanılır. Benzer seviyede karşılaşılan bir diğer yöntem ise kuruluşun intranet sunucularına ve ağ sistemlerine kaba kuvvet saldırıları gerçekleştirilmesidir. Uygun bir ağ yapılandırması mevcut olmadığında saldırı değerlendirmesi yalnızca birkaç günde tamamlanır.
LockBit ağa giriş yapmayı başardığında, fidye yazılımı sızabildiği tüm cihazlara şifreleme aktarımını gerçekleştirmesini sağlayan sistemi hazırlar. Bununla birlikte, saldırgan son hamlesini gerçekleştirmeden önce birkaç ek adımın tamamlandığından emin olmalıdır.
Aşama 2: Gerektiğinde saldırı kurulumunu tamamlamak için daha derine sızma. Bu noktadan itibaren LockBit programı tüm etkinlikleri bağımsız olarak yönlendirir. Saldırıya hazır olma erişim seviyesi önceliklerini ele geçirmek için "zayıf nokta belirleme sonrası" araçları olarak adlandırılan bileşenleri kullanacak şekilde programlanmıştır. Ayrıca hedef uygunluğunu değerlendirmek için zaten erişim kazanılan hedeflerde yatay hareketler gerçekleştirir.
Bu aşamada LockBit, fidye yazılımının şifreleme kısmını dağıtmadan önce tüm hazırlık eylemlerini uygulamaktadır. Bu eylemler, güvenlik programlarının ve sistemin kurtarılmasına olanak sağlayan tüm diğer altyapıların devre dışı bırakılmasını içerir.
Sızmanın hedefi, yardım olmadan kurtarmayı imkansız hale getirmek veya saldırganın fidye talebine direnmemenin tek pratik çözüm olarak görüleceği kadar yavaşlama sağlamaktır. Kurban, operasyonların normale dönmesi konusunda çaresiz kaldığında fidye ücretini ödeyecektir.
Aşama 3: Şifreleme aktarımını dağıtma. Ağ LockBit yazılımının tam olarak mobil hale gelmesi için hazır olduğunda, fidye yazılımı temas edebildiği tüm makinelerde çoğaltma işlemini başlatır. Daha önce belirtildiği gibi, LockBit bu aşamayı tamamlamak için çok fazla şeye ihtiyaç duymaz. Yüksek erişim önceliğine sahip tek bir sistem ünitesi diğer ağ ünitelerine LockBit yazılımını indirme ve çalıştırma komutunu gönderebilir.
Şifreleme kısmı tüm sistem dosyalarına bir "kilit" yerleştirir. Kurbanlar, sistemlerinin kilidini ancak LockBit'in özel şifre çözme aracı tarafından oluşturulan özel anahtarı kullanarak kaldırabilirler. İşlem ayrıca tüm sistem klasörlerine basit fidye notu metin dosyası kopyaları bırakır. Bu kopya kurbana sistemlerini geri yüklemek için gerekli talimatları iletir ve bazı LockBit sürümlerinde şantaj metinlerini içerebilir.
Tüm aşamalar tamamlandığında sonraki adım kurbanın karar vermesini beklemektir. LockBit destek masasıyla iletişime geçerek fidyeyi ödemeyi seçebilirler. Bununla birlikte, saldırganların taleplerinin yerine getirilmesi önerilmez. Kurbanlar, saldırganların anlaşmanın kendilerine düşen kısmını yerine getireceğine ilişkin hiçbir garantiye sahip değildir.
Son fidye yazılımı saldırılarıyla birlikte LockBit tehdidi önemli bir endişe kaynağı haline dönüşme potansiyeline kavuşmuştur. Özellikle uzaktan çalışma alanında son zamanlarda yaşanan artış göz önünde bulundurulduğunda, birçok sektör ve kuruluşu ele geçirme olasılığını göz ardı edemeyiz. LockBit çeşitlerinin belirlenmesi karşınızdaki yapının ne olduğunu tam olarak anlamanıza yardımcı olabilir.
LockBit'in orijinal sürümünde dosyalar ".abcd" uzantı adıyla yeniden adlandırılır. Ek olarak, tüm klasörlere yerleştirilen ve sözde onarımın gerçekleşmesi için gerekli talepleri ve talimatları bulunduran "Beni Geri Yükle.txt" dosyalarını içerir.
Fidye yazılımının bilinen ikinci sürümü, yazılıma güncel bir takma ad sağlayan ".LockBit" dosya uzantısına uyarlanmıştır. Bununla birlikte, kurbanlar bu sürümün diğer niteliklerinin bazı arka uç revizyonları dışında büyük ölçüde aynı göründüğünü fark etmiştir.
LockBit'in bir sonraki tanımlanabilen sürümü, fidye yazılımları için Tor tarayıcının indirilmesine gerek duymaz. Bunun yerine kurbanları geleneksel internet erişimi kullanan alternatif bir web sitesine yönlendirir.
LockBit son zamanlarda kötü amaçlı yönetim izni kontrol noktaları gibi daha kötü özelliklerle geliştirilmiştir. Şu anda LockBit, bir uygulama tarafından yönetici olarak çalıştırma işlemi denendiğinde kullanıcıların görebildiği güvenlik isteklerini devre dışı bırakıyor.
Kötü amaçlı yazılım şimdi ayrıca sunucu verilerinin kopyalarını çalacak ve fidye notuna dahil edilen şantaj satırlarına ek satır ekleme olanağı sunacak şekilde yapılandırılıyor. Kurban talimatlara uygun hareket etmediğinde ise LockBit, kurbanı özel verilerini herkese açık hale getirmekle tehdit ediyor.
Virüs kuruluşunuza bulaştıktan sonra yalnızca LockBit fidye yazılımının kaldırılmasıyla dosyalarınıza erişim sağlayamazsınız. Şifreleme kilidinin açılması için bir "anahtara" ihtiyaç duyulduğundan sistemin geri yüklenmesi için bir araç gerekir. Alternatif olarak, virüs bulaşmadan önce yedekleme dosyalarının görüntüsünü zaten oluşturduysanız sistemlerinizi bu görüntüleri kullanarak geri yükleyebilirsiniz.
Nihai çözüm, kuruluşunuzun fidye yazılımı veya kötü amaçlı saldırılara karşı ilk adımdan itibaren daha dirençli olmasını sağlayan koruyucu önlemleri yapılandırmaktır. Hazırlıklı olmanıza yardımcı olacak birkaç uygulamayı burada bulabilirsiniz:
İlgili Makaleler: