LockBit fidye yazılımı — nedir ve nasıl güvende kalınır?

LockBit Açıklaması

LockBit fidye yazılımı, kullanıcıların bilgisayar sistemlerine erişimini engellemek ve onları fidye ödemek zorunda bırakmak amacıyla tasarlanan bir kötü amaçlı yazılımdır. LockBit değerli hedefleri otomatik olarak belirler, virüsün yayılmasını sağlar ve ağdaki tüm erişilebilen bilgisayar sistemlerini şifreler. Bu fidye yazılımı, kuruluşlara ve diğer organizasyonlara karşı düzenlenen gelişmiş hedefli saldırılarda kullanılır. Kendini yönlendirebilen bir siber saldırıyı kullanan LockBit saldırganları, küresel boyutta kuruluşlara yönelik aşağıdaki tehditlerle üne kavuştular:

Önemli işlevlerin birden durdurulmasıyla ortaya çıkan operasyon bozulmaları.
Korsanların finansal kazanç edinmesini sağlayan para sızdırma eylemleri.
Kurbanın talep edilenleri yapmaması durumunda veri hırsızlığı ve yasa dışı yayınlamayı şantaj olarak kullanma.

LockBit fidye yazılımı nedir?

LockBit, para sızdırma siber saldırılarında kullanılan uzun kötü amaçlı yazılım dizisindeki en yeni fidye yazılımıdır. Eskiden "ABCD" fidye yazılımı olarak bilinen bu yazılım, kapsamlı para sızdırma araçlarının eklenmesiyle gelişerek benzersiz bir tehdit halini almıştır. LockBit, fidye taleplerinin finansal ödeme karşılığında şifre çözme etrafında oluşturulması nedeniyle "şifre virüs" olarak adlandırılan bir fidye yazılımının alt sınıfıdır. Genellikle bireylere değil kuruluşlara ve devlet kurumlarına odaklanır.

LockBit kullanımıyla gerçekleştirilen saldırılar Eylül 2019'da o günkü adıyla".abcd virus" ile başladı. Kurbanların dosyalarının şifrelenmesinde kullanılan dosya uzantısında bir takma isim bulunuyordu. Yazılım bugüne kadar ABD, Çin, Hindistan, Endonezya ve Ukrayna'daki kuruluşları hedef aldı. Ayrıca Avrupa genelinde birçok ülkede (Fransa, Birleşik Krallık, Almanya) saldırılar görüldü.

Süreçteki aksamaların önemli maliyetler ortaya çıkaracağı ve bu maliyetleri karşılama gücü olan şirketler hedef alındı. Bu bağlamda, saldırılar sağlık kurumlarından finans kuruluşlarına kadar geniş bir yelpazeye yayıldı. Yazılımın otomatik hedef değerlendirme sistemlerinde Rusya veya Bağımsız Devletler Topluluğu'nda yer alan ülkelerin bilinçli olarak hedef alınmadığı görülüyor. Bu durumun söz konusu bölgelerdeki adli takibattan kaçınma amacını taşıdığı tahmin ediliyor.

LockBit, hizmet olarak fidye yazılımı (RaaS) şeklinde hareket eder. Katılmak isteyen taraflar saldırıların kiralanması için bir para öder ve ilgili çerçeve dahilinde kar elde ederler. Fidye ödemeleri LockBit geliştirme ekibi ile fidye parasının 3/4'üne kadar olan kısmını alabilen saldırgan ortaklar arasında bölüşülür.

LockBit fidye yazılımı nasıl çalışır?

LockBit fidye yazılımı, birçok otorite tarafından "LockerGoga ve MegaCortex" kötü amaçlı yazılım ailesinin bir parçası olarak kabul edilir. Bu durum, söz konusu hedefli fidye yazılımı ailelerindeki davranışların paylaşıldığı anlamına gelir. Hızlı bir açıklama yaparsak bu saldırıları şu özellikleriyle tanırız:

Manuel yönlendirmeye ihtiyaç duymadan kuruluş içerisinde hızlı şekilde yayılma.
Spam kötü amaçlı yazılımlarda görülen rastgele saldırılardan farklı olarak hedefli saldırılar düzenleme.
Yayılmak için Windows Powershell ve Server Message Block (SMB) gibi benzer araçları kullanma.

En önemli özelliği müdahale gerektirmeden yayılmasını sağlayacak şekilde kendi kendini çoğaltabilmesidir. LockBit programlaması önceden tasarlanan otomatik süreçler tarafından yönlendirilir. Bu özelliği, izleme ve gözetim görevlerini tamamlamak için bazen haftalar boyunca ağda manuel olarak yönlendirilen diğer fidye yazılımlarından ayrılmasını ve benzersiz olmasını sağlar.

Saldırgan, virüsü tek bir ana bilgisayara manuel olarak bulaştırdıktan sonra diğer erişilebilir ana bilgisayarları görebilir, bunları virüslü ana bilgisayarlara bağlayabilir ve bir dize kullanarak virüsü paylaşabilir. Tüm bu işlemler hiçbir insan müdahalesine gerek duyulmadan tamamlanabilir ve tekrarlanabilir.

Üstelik, araçları neredeyse tüm Windows bilgisayar sistemlerinde doğal olarak bulunan şablonlarla kullanır. Uç nokta güvenlik sistemleri bu kötü amaçlı yazılım etkinliğini belirlemekte zorlanmaktadır. Fidye yazılımı ayrıca yürütülebilir şifreleme dosyasını yaygın kullanılan .PNG görüntü dosyası biçiminde gizleyerek sistem savunmalarını bir kez daha atlatmayı başarır.

LockBit saldırılarının aşamaları

LockBit saldırıları kabaca üç aşamada anlaşılabilir:

Açıklardan Yararlan
Sızma
Kurun

Aşama 1: Ağdaki açıklardan yararlanma. İlk ihlal, diğer kötü amaçlı saldırılarla büyük benzerlik taşır. Saldırganların erişim kimlik bilgilerini talep eden güvenilir personel veya yetkililer gibi davrandığı kimlik avı gibi sosyal mühendislik taktikleriyle kuruluşun güvenlik açıklarından yararlanılır. Benzer seviyede karşılaşılan bir diğer yöntem ise kuruluşun intranet sunucularına ve ağ sistemlerine kaba kuvvet saldırıları gerçekleştirilmesidir. Uygun bir ağ yapılandırması mevcut olmadığında saldırı değerlendirmesi yalnızca birkaç günde tamamlanır.

LockBit ağa giriş yapmayı başardığında, fidye yazılımı sızabildiği tüm cihazlara şifreleme aktarımını gerçekleştirmesini sağlayan sistemi hazırlar. Bununla birlikte, saldırgan son hamlesini gerçekleştirmeden önce birkaç ek adımın tamamlandığından emin olmalıdır.

Aşama 2: Gerektiğinde saldırı kurulumunu tamamlamak için daha derine sızma. Bu noktadan itibaren LockBit programı tüm etkinlikleri bağımsız olarak yönlendirir. Saldırıya hazır olma erişim seviyesi önceliklerini ele geçirmek için "zayıf nokta belirleme sonrası" araçları olarak adlandırılan bileşenleri kullanacak şekilde programlanmıştır. Ayrıca hedef uygunluğunu değerlendirmek için zaten erişim kazanılan hedeflerde yatay hareketler gerçekleştirir.

Bu aşamada LockBit, fidye yazılımının şifreleme kısmını dağıtmadan önce tüm hazırlık eylemlerini uygulamaktadır. Bu eylemler, güvenlik programlarının ve sistemin kurtarılmasına olanak sağlayan tüm diğer altyapıların devre dışı bırakılmasını içerir.

Sızmanın hedefi, yardım olmadan kurtarmayı imkansız hale getirmek veya saldırganın fidye talebine direnmemenin tek pratik çözüm olarak görüleceği kadar yavaşlama sağlamaktır. Kurban, operasyonların normale dönmesi konusunda çaresiz kaldığında fidye ücretini ödeyecektir.

Aşama 3: Şifreleme aktarımını dağıtma. Ağ LockBit yazılımının tam olarak mobil hale gelmesi için hazır olduğunda, fidye yazılımı temas edebildiği tüm makinelerde çoğaltma işlemini başlatır. Daha önce belirtildiği gibi, LockBit bu aşamayı tamamlamak için çok fazla şeye ihtiyaç duymaz. Yüksek erişim önceliğine sahip tek bir sistem ünitesi diğer ağ ünitelerine LockBit yazılımını indirme ve çalıştırma komutunu gönderebilir.

Şifreleme kısmı tüm sistem dosyalarına bir "kilit" yerleştirir. Kurbanlar, sistemlerinin kilidini ancak LockBit'in özel şifre çözme aracı tarafından oluşturulan özel anahtarı kullanarak kaldırabilirler. İşlem ayrıca tüm sistem klasörlerine basit fidye notu metin dosyası kopyaları bırakır. Bu kopya kurbana sistemlerini geri yüklemek için gerekli talimatları iletir ve bazı LockBit sürümlerinde şantaj metinlerini içerebilir.

Tüm aşamalar tamamlandığında sonraki adım kurbanın karar vermesini beklemektir. LockBit destek masasıyla iletişime geçerek fidyeyi ödemeyi seçebilirler. Bununla birlikte, saldırganların taleplerinin yerine getirilmesi önerilmez. Kurbanlar, saldırganların anlaşmanın kendilerine düşen kısmını yerine getireceğine ilişkin hiçbir garantiye sahip değildir.

LockBit tehdidi türleri

Son fidye yazılımı saldırılarıyla birlikte LockBit tehdidi önemli bir endişe kaynağı haline dönüşme potansiyeline kavuşmuştur. Özellikle uzaktan çalışma alanında son zamanlarda yaşanan artış göz önünde bulundurulduğunda, birçok sektör ve kuruluşu ele geçirme olasılığını göz ardı edemeyiz. LockBit çeşitlerinin belirlenmesi karşınızdaki yapının ne olduğunu tam olarak anlamanıza yardımcı olabilir.

Tür 1 —. abcd uzantısı

LockBit'in orijinal sürümünde dosyalar ".abcd" uzantı adıyla yeniden adlandırılır. Ek olarak, tüm klasörlere yerleştirilen ve sözde onarımın gerçekleşmesi için gerekli talepleri ve talimatları bulunduran "Beni Geri Yükle.txt" dosyalarını içerir.

Tür 2 —. LockBit uzantısı

Fidye yazılımının bilinen ikinci sürümü, yazılıma güncel bir takma ad sağlayan ".LockBit" dosya uzantısına uyarlanmıştır. Bununla birlikte, kurbanlar bu sürümün diğer niteliklerinin bazı arka uç revizyonları dışında büyük ölçüde aynı göründüğünü fark etmiştir.

Tür 3 —. LockBit sürüm 2

LockBit'in bir sonraki tanımlanabilen sürümü, fidye yazılımları için Tor tarayıcının indirilmesine gerek duymaz. Bunun yerine kurbanları geleneksel internet erişimi kullanan alternatif bir web sitesine yönlendirir.

LockBit'te gerçekleştirilen sürekli güncellemeler ve revizyonlar

LockBit son zamanlarda kötü amaçlı yönetim izni kontrol noktaları gibi daha kötü özelliklerle geliştirilmiştir. Şu anda LockBit, bir uygulama tarafından yönetici olarak çalıştırma işlemi denendiğinde kullanıcıların görebildiği güvenlik isteklerini devre dışı bırakıyor.

Kötü amaçlı yazılım şimdi ayrıca sunucu verilerinin kopyalarını çalacak ve fidye notuna dahil edilen şantaj satırlarına ek satır ekleme olanağı sunacak şekilde yapılandırılıyor. Kurban talimatlara uygun hareket etmediğinde ise LockBit, kurbanı özel verilerini herkese açık hale getirmekle tehdit ediyor.

LockBit'i kaldırma ve şifre çözme

Virüs kuruluşunuza bulaştıktan sonra yalnızca LockBit fidye yazılımının kaldırılmasıyla dosyalarınıza erişim sağlayamazsınız. Şifreleme kilidinin açılması için bir "anahtara" ihtiyaç duyulduğundan sistemin geri yüklenmesi için bir araç gerekir. Alternatif olarak, virüs bulaşmadan önce yedekleme dosyalarının görüntüsünü zaten oluşturduysanız sistemlerinizi bu görüntüleri kullanarak geri yükleyebilirsiniz.

LockBit fidye yazılımından korunma

Nihai çözüm, kuruluşunuzun fidye yazılımı veya kötü amaçlı saldırılara karşı ilk adımdan itibaren daha dirençli olmasını sağlayan koruyucu önlemleri yapılandırmaktır. Hazırlıklı olmanıza yardımcı olacak birkaç uygulamayı burada bulabilirsiniz:

Güçlü parolalar uygulanmalıdır. Birçok hesap ihlali kolay tahmin edilebilen veya algoritma aracının birkaç gün denetleme sonrasında belirleyebildiği kadar basit parolalardan kaynaklanır. Değişik karakterleri içeren, parolanın düzenlenmesinde sizin tarafınızdan oluşturulan kuralların kullanıldığı güçlü bir parola seçtiğinizden emin olun.
Çok faktörlü kimlik doğrulamasını etkinleştirin. İlk parola tabanlı oturum açma işlemlerine katmanlar ekleyerek kaba kuvvet saldırılarını başarısızlığa uğratın. Mümkün olduğunda tüm sistemlerinize biyometrik veriler veya fiziksel USB anahtarı kimlik doğrulayıcılar gibi önlemler ekleyin.
Kullanıcı hesabı izinlerini tekrar değerlendirin ve basitleştirin. Olası tehditlerin fark edilmeden giriş yapmasını sınırlamak için izinleri daha katı seviyelerle sınırlayın. Yönetici seviyesinde izinlere sahip BT hesapları ve uç nokta kullanıcıları tarafından yapılan erişimlere özellikle dikkat edin. Web etki alanları, iş birliği platformları, web toplantı hizmetleri ve kurumsal veritabanları güvence altına alınmalıdır.
Güncel olmayan veya kullanılmayan kullanıcı hesaplarını temizleyin. Bazı eski sistemlerde eski çalışanlara ait hiç devre dışı bırakılmayan ve kapatılmayan hesaplar bulunabilir. Sistemlerinizde gerçekleştirilen denetimler bu olası zayıf noktaların giderilmesini içermelidir.
Sistem yapılandırmalarının tüm güvenlik prosedürleriyle uyumlu olduğundan emin olun. Bu zaman alıcı olabilir ancak mevcut ayarların tekrar ziyaret edilmesi kuruluşunuzu saldırı riskiyle karşı karşıya bırakabilecek yeni sorunları ve güncel olmayan politikaları ortaya çıkarabilir. Yeni siber tehditlere karşı güncel kalabilmek için standart operasyon prosedürleri periyodik olarak yeniden değerlendirilmelidir.
Her zaman sistem genelinde yedekleme uygulayın ve oluşturulan yerel makine görüntülerini temizleyin. Bu tür olaylar her zaman olasılık dahilindedir ve kalıcı veri kaybına karşı tek gerçek koruma çevrimdışı kopya oluşturmaktır. Kuruluşunuz sistemlerinizdeki önemli değişikliklerle güncel olarak uyumlu kalabilmek için periyodik yedekleme oluşturmalıdır. Yedekleme kötü amaçlı yazılım yayılması nedeniyle bozulduğunda temiz bir dönem belirlemek için birden fazla dönüşümlü yedekleme noktası oluşturmayı göz önünde bulundurun.