Lockbit
LockBit Black veya Lockbit 3.0 olarak da bilinen LockBit, dünyanın en büyük Fidye Yazılımı Gruplarından biridir ve çeşitli sektörlerde kapsamlı siber saldırılar düzenlemiş, acımasız ve uyarlanabilir stratejileriyle küresel çapta binlerce kuruluşu etkilemiştir.
Lockbit'in Kökeni
LockBit, Eylül 2019'daki kuruluşundan bu yana, işletmeleri ve altyapıları agresif bir şekilde hedef almak için RaaS modelinden ve "StealBit" malware adresinden yararlanarak siber suç dünyasında kötü bir üne sahip oldu.
LockBit Red'den 3.0'a kadar ilerleyen her sürüm, güvenlik analizi için zorlayıcı sofistike özellikler getirmiştir. 2023 yılında, feshedilmiş Conti fidye yazılımının özelliklerini birleştiren LockBit Green ortaya çıktı ve siber suç çevrelerindeki uyarlanabilirliği gösterdi.
Ancak Şubat 2024'teki Cronos Operasyonu LockBit'in faaliyetlerini sekteye uğratarak güvenilirliğini azalttı ve fidye yazılımlarıyla mücadeleye yönelik uluslararası çabaları açığa çıkardı. Kolluk kuvvetlerinin Lockbit sitelerinin kontrolünü ele geçirmesine rağmen, grubun ısrarcılığını gösteren başka saldırılar da rapor edildi.
Haritacılık: OCD
Hedefler
Lockbit'in Hedefleri
Lockbit tarafından hedeflenen ülkeler
Lockbit'in siyasi tarafsızlık iddialarına rağmen, kurbanlarının önemli bir kısmının NATO üyesi ülkeler ve müttefiklerinden olduğu görülüyor.
LockBit 3.0 türünü içeren saldırıların yaklaşık %50'si Amerika Birleşik Devletleri'ndeki işletmeleri etkilemiştir. Lockbit kullanan bilgisayar korsanları ABD'li kurbanlardan 91 milyon dolardan fazla fidye ödemesi aldı.
Brezilya ve Hindistan da yüksek oranda hedef alınmaktadır.
Kaynak SOCRadar
Lockbit'in Hedeflediği Sektörler
Üretim sektörü LockBit tarafından sık sık saldırıya uğruyor, ancak tek bir sektör sürekli olarak seçilmiyor ve bu da grubun ayrım gözetmeden hedef aldığının altını çiziyor.
Genellikle küçük ve orta ölçekli işletmeleri avlarken, BT devi Accenture gibi büyük firmalar bile LockBit'in erişiminden muaf değil.
Kaynak SOCRadar
Lockbit'in Hedeflediği Sektörler
Üretim sektörü LockBit tarafından sık sık saldırıya uğruyor, ancak tek bir sektör sürekli olarak seçilmiyor ve bu da grubun ayrım gözetmeden hedef aldığının altını çiziyor.
Genellikle küçük ve orta ölçekli işletmeleri avlarken, BT devi Accenture gibi büyük firmalar bile LockBit'in erişiminden muaf değil.
Kaynak SOCRadar
Lockbit'in Kurbanları
Bugüne kadar 1661'den fazla kurban Lockbit'in kötü niyetli faaliyetlerinin kurbanı oldu.
Kaynak: Ransomware.live
Saldırı Yöntemi
Lockbit'in Saldırı Yöntemi
LockBit 3.0 katılımcıları ağlara şu yollarla erişir:
- mevcut hesap kimlik bilgilerinin tehlikeye atılması
- RDP ihlallerinden yararlanma
- kamuya açık sistemlerdeki güvenlik açıklarından yararlanma
- normal tarama sırasında kötü amaçlı web sitelerinde gezinme
- phishing saldırılarının gerçekleştirilmesi
LockBit 3.0, mevcut izinler yetersiz olduğunda daha yüksek erişim seviyeleri elde etmeye çalışır ve ayrıcalıkları yükseltmek için otomatik oturum açma özelliklerini kullanır.
LockBit 3.0, kontrol sunucularıyla iletişimi şifreleyerek ve yürütüldükten sonra kendi kendini silerek etkinliğini gizler ve yalnızca doğru parola sağlandığında şifre çözme işlemine devam eder.
LockBit 3.0, bir ağın içine gömülü kalmak için ele geçirilmiş kullanıcı hesaplarını manipüle eder ve sistemleri otomatik oturum açma için yapılandırır.
LockBit 3.0, LSASS.exe'den işlem belleği içeriğini çıkarmak için Microsoft Sysinternals'ın ProDump'ını kullanır.
LockBit 3.0, SoftPerfect Network Scanner kullanarak ağları tarar, ayrıntılı sistem ve etki alanı verilerini toplar ve belirli dil ayarlarına sahip sistemlere bulaşmayı önler.
Dahili ağa sızma için LockBit 3.0, Splashtop uzak masaüstü yazılımından yararlanır.
LockBit 3.0, FileZilla kullanarak komut ve kontrol kurar ve Windows sistemlerinde Plink aracılığıyla güvenli kabuk etkileşimlerini otomatikleştirir. LockBit 3.0 çalışması sırasında komutları yürütür ve yazılım yönetimi için bir Windows paket yöneticisi olan Chocolatey'i kullanır.
LockBit 3.0, ağlardan veri çekmek için kendi özel aracı Stealbit'i ve popüler bulut hizmetlerini kullanıyor.
LockBit 3.0, günlükleri silerek, geri dönüşüm kutusunu temizleyerek, verileri şifreleyerek, işlemleri ve hizmetleri durdurarak, gölge kopyaları silerek ve bulaştığı sistemin görünümünü kendi görüntüleriyle değiştirerek işlemleri kesintiye uğratır.
İlk Erişim
LockBit 3.0 katılımcıları ağlara şu yollarla erişir:
- mevcut hesap kimlik bilgilerinin tehlikeye atılması
- RDP ihlallerinden yararlanma
- kamuya açık sistemlerdeki güvenlik açıklarından yararlanma
- normal tarama sırasında kötü amaçlı web sitelerinde gezinme
- phishing saldırılarının gerçekleştirilmesi
Ayrıcalık Yükseltme
LockBit 3.0, mevcut izinler yetersiz olduğunda daha yüksek erişim seviyeleri elde etmeye çalışır ve ayrıcalıkları yükseltmek için otomatik oturum açma özelliklerini kullanır.
Savunma Kaçırma
LockBit 3.0, kontrol sunucularıyla iletişimi şifreleyerek ve yürütüldükten sonra kendi kendini silerek etkinliğini gizler ve yalnızca doğru parola sağlandığında şifre çözme işlemine devam eder.
LockBit 3.0, bir ağın içine gömülü kalmak için ele geçirilmiş kullanıcı hesaplarını manipüle eder ve sistemleri otomatik oturum açma için yapılandırır.
Kimlik Bilgileri Erişimi
LockBit 3.0, LSASS.exe'den işlem belleği içeriğini çıkarmak için Microsoft Sysinternals'ın ProDump'ını kullanır.
Keşif
LockBit 3.0, SoftPerfect Network Scanner kullanarak ağları tarar, ayrıntılı sistem ve etki alanı verilerini toplar ve belirli dil ayarlarına sahip sistemlere bulaşmayı önler.
Yanal Hareket
Dahili ağa sızma için LockBit 3.0, Splashtop uzak masaüstü yazılımından yararlanır.
Koleksiyon
Yürütme
LockBit 3.0, FileZilla kullanarak komut ve kontrol kurar ve Windows sistemlerinde Plink aracılığıyla güvenli kabuk etkileşimlerini otomatikleştirir. LockBit 3.0 çalışması sırasında komutları yürütür ve yazılım yönetimi için bir Windows paket yöneticisi olan Chocolatey'i kullanır.
Sızma
LockBit 3.0, ağlardan veri çekmek için kendi özel aracı Stealbit'i ve popüler bulut hizmetlerini kullanıyor.
Etki
LockBit 3.0, günlükleri silerek, geri dönüşüm kutusunu temizleyerek, verileri şifreleyerek, işlemleri ve hizmetleri durdurarak, gölge kopyaları silerek ve bulaştığı sistemin görünümünü kendi görüntüleriyle değiştirerek işlemleri kesintiye uğratır.
MITRE ATT&CK Haritalama
Lockbit tarafından kullanılan TTP'ler
LockBit, BlackMatter ve BlackCat fidye yazılımı aileleriyle ortak özellikleri yansıtan, öncekilerden daha modüler ve kaçamaklı TTP'ler (Taktikler, Teknikler ve Prosedürler) kullanmaktadır.
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1189
Drive-by Compromise
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0005: Defense Evasion
T1480
Execution Guardrails
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1614
System Location Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1072
Software Deployment Tools
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri
Lockbit ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
LockBit fidye yazılımı nedir?
LockBit, bir kuruluşun verilerini şifreleyen ve şifre çözme anahtarı için fidye talep eden bir Hizmet Olarak Fidye Yazılımıdır (RaaS). Gizliliği, hızı ve çifte gasp şeması kullanmasıyla bilinir.
LockBit ağlara ilk erişimi nasıl elde ediyor?
LockBit genellikle uzak masaüstü protokollerinden (RDP) yararlanma, phishing, mızrakphishing ve daha önce ihlal edilmiş hesaplardan kimlik bilgilerini kullanma gibi çeşitli yollarla ilk erişimi elde eder.
LockBit 3.0'ı önceki sürümlerinden farklı kılan nedir?
LockBit 3.0, gelişmiş şifreleme ve saldırı yükünü özelleştirme yeteneği ile daha modüler ve kaçamaklı. BlackMatter ve BlackCat gibi diğer fidye yazılımlarının özelliklerini de içermektedir.
LockBit herhangi bir önemli siber olaya karıştı mı?
Evet, LockBit, çok uluslu büyük şirketlerin dahil olduğu yüksek profilli olaylar da dahil olmak üzere, dünya çapında işletmelere yönelik çok sayıda saldırıdan sorumlu olmuştur.
LockBit fidye işlemini nasıl gerçekleştiriyor?
LockBit genellikle ele geçirilen sistem içinde ödeme talimatlarını içeren bir fidye notu bırakır. Ödeme genellikle kripto para birimi cinsinden talep edilir ve müzakereler bazen karanlık web üzerinden yürütülür.
LockBit'e karşı hangi savunma önlemleri etkili olabilir?
Sistemlerin düzenli olarak güncellenmesi ve yamalanması, sağlam erişim kontrollerinin uygulanması, sık sık güvenlik farkındalığı eğitimlerinin verilmesi, gelişmiş tehdit tespit araçlarının kullanılması ve çevrimdışı yedeklemelerin sürdürülmesi kritik savunmalardır.
LockBit şifrelenmiş dosyalar için şifre çözme araçları mevcut mu?
LockBit'ten etkilendiyseniz, Ulusal Suç Ajansı (NCA ) LockBit'in sitesinden çalınan verilerin şifresinin çözülmesine yardımcı olabilecek 1.000 şifre çözme anahtarı satın almıştır.
Ağım LockBit tarafından tehlikeye atılırsa en iyi hareket tarzı nedir?
Etkilenen sistemleri izole edin, bir olay müdahale planı başlatın ve kolluk kuvvetleri ve siber güvenlik uzmanlarıyla iletişime geçin. Veri kurtarmayı garanti etmediği ve daha fazla suç faaliyetini finanse edebileceği için fidye ödemekten kaçının.
LockBit'in arkasındaki operatörler hakkında ne biliniyor?
Operatörlerin, bir RaaS modeliyle çalışan, gizli kalarak ve anonimliğini koruyarak fidye yazılımını yaymak için bağlı kuruluşları işe alan sofistike bir siber suç grubunun parçası olduğuna inanılıyor.