Lockbit
LockBit Black veya Lockbit 3.0 olarak da bilinen LockBit, dünyanın en büyük Fidye Yazılımı Gruplarından biridir ve çeşitli sektörlerde kapsamlı siber saldırılar düzenlemiş, acımasız ve uyarlanabilir stratejileriyle küresel çapta binlerce kuruluşu etkilemiştir.
Lockbit'in Kökeni
LockBit, Eylül 2019'daki kuruluşundan bu yana, işletmeleri ve altyapıları agresif bir şekilde hedef almak için RaaS modelinden ve "StealBit" malware adresinden yararlanarak siber suç dünyasında kötü bir üne sahip oldu.
LockBit Red'den 3.0'a kadar ilerleyen her sürüm, güvenlik analizi için zorlayıcı sofistike özellikler getirmiştir. 2023 yılında, feshedilmiş Conti fidye yazılımının özelliklerini birleştiren LockBit Green ortaya çıktı ve siber suç çevrelerindeki uyarlanabilirliği gösterdi.
Ancak Şubat 2024'teki Cronos Operasyonu LockBit'in faaliyetlerini sekteye uğratarak güvenilirliğini azalttı ve fidye yazılımlarıyla mücadeleye yönelik uluslararası çabaları açığa çıkardı. Kolluk kuvvetlerinin Lockbit sitelerinin kontrolünü ele geçirmesine rağmen, grubun ısrarcılığını gösteren başka saldırılar da rapor edildi.
Lockbit tarafından hedeflenen ülkeler
Lockbit'in siyasi tarafsızlık iddialarına rağmen, kurbanlarının önemli bir kısmının NATO üyesi ülkeler ve müttefiklerinden olduğu görülüyor.
LockBit 3.0 türünü içeren saldırıların yaklaşık %50'si Amerika Birleşik Devletleri'ndeki işletmeleri etkilemiştir. Lockbit kullanan bilgisayar korsanları ABD'li kurbanlardan 91 milyon dolardan fazla fidye ödemesi aldı.
Brezilya ve Hindistan da yüksek oranda hedef alınmaktadır.
Lockbit'in Hedeflediği Sektörler
Üretim sektörü LockBit tarafından sık sık saldırıya uğruyor, ancak tek bir sektör sürekli olarak seçilmiyor ve bu da grubun ayrım gözetmeden hedef aldığının altını çiziyor.
Genellikle küçük ve orta ölçekli işletmeleri avlarken, BT devi Accenture gibi büyük firmalar bile LockBit'in erişiminden muaf değil.
Kaynak SOCRadar
Lockbit'in Kurbanları
Bugüne kadar 1999 kurban Lockbit'in kötü niyetli faaliyetlerinin kurbanı olmuştur.
Lockbit'in Saldırı Yöntemi
LockBit 3.0 katılımcıları ağlara şu yollarla erişir:
- mevcut hesap kimlik bilgilerinin tehlikeye atılması
- RDP ihlallerinden yararlanma
- kamuya açık sistemlerdeki güvenlik açıklarından yararlanma
- normal tarama sırasında kötü amaçlı web sitelerinde gezinme
- phishing saldırılarının gerçekleştirilmesi
LockBit 3.0, mevcut izinler yetersiz olduğunda daha yüksek erişim seviyeleri elde etmeye çalışır ve ayrıcalıkları yükseltmek için otomatik oturum açma özelliklerini kullanır.
LockBit 3.0, kontrol sunucularıyla iletişimi şifreleyerek ve yürütüldükten sonra kendi kendini silerek etkinliğini gizler ve yalnızca doğru parola sağlandığında şifre çözme işlemine devam eder.
LockBit 3.0, bir ağın içine gömülü kalmak için ele geçirilmiş kullanıcı hesaplarını manipüle eder ve sistemleri otomatik oturum açma için yapılandırır.
LockBit 3.0, LSASS.exe'den işlem belleği içeriğini çıkarmak için Microsoft Sysinternals'ın ProDump'ını kullanır.
LockBit 3.0, SoftPerfect Network Scanner kullanarak ağları tarar, ayrıntılı sistem ve etki alanı verilerini toplar ve belirli dil ayarlarına sahip sistemlere bulaşmayı önler.
Dahili ağa sızma için LockBit 3.0, Splashtop uzak masaüstü yazılımından yararlanır.
LockBit 3.0, FileZilla kullanarak komut ve kontrol kurar ve Windows sistemlerinde Plink aracılığıyla güvenli kabuk etkileşimlerini otomatikleştirir. LockBit 3.0 çalışması sırasında komutları yürütür ve yazılım yönetimi için bir Windows paket yöneticisi olan Chocolatey'i kullanır.
LockBit 3.0, ağlardan veri çekmek için kendi özel aracı Stealbit'i ve popüler bulut hizmetlerini kullanıyor.
LockBit 3.0, günlükleri silerek, geri dönüşüm kutusunu temizleyerek, verileri şifreleyerek, işlemleri ve hizmetleri durdurarak, gölge kopyaları silerek ve bulaştığı sistemin görünümünü kendi görüntüleriyle değiştirerek işlemleri kesintiye uğratır.
LockBit 3.0 katılımcıları ağlara şu yollarla erişir:
- mevcut hesap kimlik bilgilerinin tehlikeye atılması
- RDP ihlallerinden yararlanma
- kamuya açık sistemlerdeki güvenlik açıklarından yararlanma
- normal tarama sırasında kötü amaçlı web sitelerinde gezinme
- phishing saldırılarının gerçekleştirilmesi
LockBit 3.0, mevcut izinler yetersiz olduğunda daha yüksek erişim seviyeleri elde etmeye çalışır ve ayrıcalıkları yükseltmek için otomatik oturum açma özelliklerini kullanır.
LockBit 3.0, kontrol sunucularıyla iletişimi şifreleyerek ve yürütüldükten sonra kendi kendini silerek etkinliğini gizler ve yalnızca doğru parola sağlandığında şifre çözme işlemine devam eder.
LockBit 3.0, bir ağın içine gömülü kalmak için ele geçirilmiş kullanıcı hesaplarını manipüle eder ve sistemleri otomatik oturum açma için yapılandırır.
LockBit 3.0, LSASS.exe'den işlem belleği içeriğini çıkarmak için Microsoft Sysinternals'ın ProDump'ını kullanır.
LockBit 3.0, SoftPerfect Network Scanner kullanarak ağları tarar, ayrıntılı sistem ve etki alanı verilerini toplar ve belirli dil ayarlarına sahip sistemlere bulaşmayı önler.
Dahili ağa sızma için LockBit 3.0, Splashtop uzak masaüstü yazılımından yararlanır.
LockBit 3.0, FileZilla kullanarak komut ve kontrol kurar ve Windows sistemlerinde Plink aracılığıyla güvenli kabuk etkileşimlerini otomatikleştirir. LockBit 3.0 çalışması sırasında komutları yürütür ve yazılım yönetimi için bir Windows paket yöneticisi olan Chocolatey'i kullanır.
LockBit 3.0, ağlardan veri çekmek için kendi özel aracı Stealbit'i ve popüler bulut hizmetlerini kullanıyor.
LockBit 3.0, günlükleri silerek, geri dönüşüm kutusunu temizleyerek, verileri şifreleyerek, işlemleri ve hizmetleri durdurarak, gölge kopyaları silerek ve bulaştığı sistemin görünümünü kendi görüntüleriyle değiştirerek işlemleri kesintiye uğratır.
Lockbit tarafından kullanılan TTP'ler
Lockbit ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
LockBit fidye yazılımı nedir?
LockBit, bir kuruluşun verilerini şifreleyen ve şifre çözme anahtarı için fidye talep eden bir Hizmet Olarak Fidye Yazılımıdır (RaaS). Gizliliği, hızı ve çifte gasp şeması kullanmasıyla bilinir.
LockBit ağlara ilk erişimi nasıl elde ediyor?
LockBit genellikle uzak masaüstü protokollerinden (RDP) yararlanma, phishing, mızrakphishing ve daha önce ihlal edilmiş hesaplardan kimlik bilgilerini kullanma gibi çeşitli yollarla ilk erişimi elde eder.
LockBit 3.0'ı önceki sürümlerinden farklı kılan nedir?
LockBit 3.0, gelişmiş şifreleme ve saldırı yükünü özelleştirme yeteneği ile daha modüler ve kaçamaklı. BlackMatter ve BlackCat gibi diğer fidye yazılımlarının özelliklerini de içermektedir.
LockBit herhangi bir önemli siber olaya karıştı mı?
Evet, LockBit, çok uluslu büyük şirketlerin dahil olduğu yüksek profilli olaylar da dahil olmak üzere, dünya çapında işletmelere yönelik çok sayıda saldırıdan sorumlu olmuştur.
LockBit fidye işlemini nasıl gerçekleştiriyor?
LockBit genellikle ele geçirilen sistem içinde ödeme talimatlarını içeren bir fidye notu bırakır. Ödeme genellikle kripto para birimi cinsinden talep edilir ve müzakereler bazen karanlık web üzerinden yürütülür.
LockBit'e karşı hangi savunma önlemleri etkili olabilir?
Sistemlerin düzenli olarak güncellenmesi ve yamalanması, sağlam erişim kontrollerinin uygulanması, sık sık güvenlik farkındalığı eğitimlerinin verilmesi, gelişmiş tehdit tespit araçlarının kullanılması ve çevrimdışı yedeklemelerin sürdürülmesi kritik savunmalardır.
LockBit şifrelenmiş dosyalar için şifre çözme araçları mevcut mu?
LockBit'ten etkilendiyseniz, Ulusal Suç Ajansı (NCA ) LockBit'in sitesinden çalınan verilerin şifresinin çözülmesine yardımcı olabilecek 1.000 şifre çözme anahtarı satın almıştır.
Ağım LockBit tarafından tehlikeye atılırsa en iyi hareket tarzı nedir?
Etkilenen sistemleri izole edin, bir olay müdahale planı başlatın ve kolluk kuvvetleri ve siber güvenlik uzmanlarıyla iletişime geçin. Veri kurtarmayı garanti etmediği ve daha fazla suç faaliyetini finanse edebileceği için fidye ödemekten kaçının.
LockBit'in arkasındaki operatörler hakkında ne biliniyor?
Operatörlerin, bir RaaS modeliyle çalışan, gizli kalarak ve anonimliğini koruyarak fidye yazılımını yaymak için bağlı kuruluşları işe alan sofistike bir siber suç grubunun parçası olduğuna inanılıyor.