Lockbit
LockBit Black veya Lockbit 3.0 olarak da bilinen LockBit, dünyanın en büyük Fidye Yazılımı Gruplarından biridir ve çeşitli sektörlerde kapsamlı siber saldırılar düzenlemiş, acımasız ve uyarlanabilir stratejileriyle küresel çapta binlerce kuruluşu etkilemiştir.
Lockbit'in Kökeni
LockBit'in kökenleri, LockBit'in öncülü olarak kabul edilen "ABCD" fidye yazılımının bilinen ilk faaliyetinin gözlemlendiği Eylül 2019'a kadar uzanmaktadır. Ocak 2020'ye gelindiğinde LockBit, Rusça siber suç forumlarında şu anki adıyla görünmeye başlamıştı. Bu başlangıç noktasından itibaren, özel bir sızıntı sitesi (DLS) ve bir fidye müzakere portalı içeren bir Hizmet Olarak Fidye Yazılımı (RaaS) modelini benimseyerek hızla siber suç dünyasının en önde gelen fidye yazılımı ailelerinden biri haline geldi. İştirakçiler LockBit'in fidye yazılımı oluşturucularını kullanmak için kaydolur, DLS aracılığıyla yeni kurbanları yönetir ve ayrıca daha sonraki LockBit sürümlerinde yerleşik bir bilgi çalma aracı olan "StealBit" i kullanabilir.
Haziran 2021 'de LockBit 2.0 'ın (genellikle LockBit Red olarak anılır) piyasaya sürülmesiyle önemli bir dönüm noktası yaşandı. LockBit'in popülaritesi ve etkisi zaten artmaktayken, bu sürüm grubun görünürlüğünü önemli ölçüde artırdı. Ekim 2021'de LockBit Linux-ESXi Locker sürüm 1.0 ortaya çıktı ve LockBit'in hedefleme yeteneklerini Linux ve VMware ESXi sistemlerine genişletti. Fidye yazılımı operatörleri ürünlerini geliştirmeye Mart 2022 'de, BlackMatter ve Alphv (BlackCat) fidye yazılımlarıyla kod benzerliklerini paylaşan yeni birvaryant olan LockBit Black olarak da adlandırılan LockBit 3.0'ın ortaya çıkmasıyla devam etti. İlk ortaya çıkışı Mart 2022'de bildirilmiş olsa da, birçok kişi LockBit 3.0'ın yaygın olarak benimsendiği önemli bir başlangıç tarihi olarak Haziran 2022'yi işaret etmektedir. LockBit Red (yeniden markalanan LockBit 2.0) çoğu iştirak için varsayılan oluşturucu olarak kalırken, LockBit Black 2,5 milyon ABD dolarının üzerinde fidye talep eden iştirakler için ayrılmıştı. Bu sürüm aynı zamanda belirli süreçleri öldürme ya da dosya ve cihaz izin listelerini tanımlama gibi gelişmiş işlevler de sunuyordu ve 10 milyon ABD dolarına kadar ödüller sunan bir hata ödül programı içeriyordu.
Eylül 2022'de, bir LockBit 3.0 kurucusunun sızıntısı LockBit üyesi olmayan kuruluşların LockBit yükleri oluşturmasını sağlayarak yayılmasını hızlandırdı. Fidye yazılımının bir sonraki yinelemesi olan LockBit Green' in Ocak 2023'te ortaya çıktığı ve sızdırılan Conti sürüm 3 kaynak kodunu içerdiği bildirildi. LockBit Black'in aksine, LockBit Green büyük fidye talepleri için kanıt gerektirmiyordu, bu da onu daha geniş bir siber suç operatörü yelpazesi için daha kapsayıcı bir teklif haline getiriyordu. Dört ay sonra, Nisan 2023'te, açık kaynaklı malware depolarında LockBit'in Linux/ESXi sürümünün işlevselliğini büyük ölçüde yansıtan ve grubun mümkün olduğunca çok platforma bulaşma çabasının altını çizen yeni bir LockBit macOS varyantı ortaya çıktı.
LockBit'e yönelik kolluk kuvvetleri baskısı, Şubat 2024 'te "Cronos Operasyonu"nun - koordineli çok uluslu bir çaba - DLS ve bağlı portalının geçici olarak ele geçirilmesiyle sonuçlanmasıyla yoğunlaştı. LockBit hizmetleri beş gün sonra eski haline getirilse de, Mayıs 2024'teki diğer eylemler, baş geliştirici ve yönetici olarak tanımlanan bir Rus vatandaşı da dahil olmak üzere grubun kilit üyelerinden birkaçını hedef alan iddianamelere ve yaptırımlara yol açtı. Aralık 2024'te LockBit bu aksiliklere karşı şunları yayınladı LockBit 4.0özellikle LockBit Red yükleri oluşturma seçeneğini kaldırdı. Devam eden aksaklıklara rağmen LockBit, tekliflerini düzenli olarak güncelleyerek ve RaaS çerçevesi aracılığıyla iştiraklerini çekmeye devam ederek zorlu bir fidye yazılımı gücü olarak konumunu korumuştur.
Kaynaklar: CISA & Crowdstrike
Lockbit tarafından hedeflenen ülkeler
Lockbit'in siyasi tarafsızlık iddialarına rağmen, kurbanlarının önemli bir kısmının NATO üyesi ülkeler ve müttefiklerinden olduğu görülüyor.
LockBit 3.0 türünü içeren saldırıların yaklaşık %50'si Amerika Birleşik Devletleri'ndeki işletmeleri etkilemiştir. Lockbit kullanan bilgisayar korsanları ABD'li kurbanlardan 91 milyon dolardan fazla fidye ödemesi aldı.
Brezilya ve Hindistan da yüksek oranda hedef alınmaktadır.
Lockbit'in Hedeflediği Sektörler
Üretim sektörü LockBit tarafından sık sık saldırıya uğruyor, ancak tek bir sektör sürekli olarak seçilmiyor ve bu da grubun ayrım gözetmeden hedef aldığının altını çiziyor.
Genellikle küçük ve orta ölçekli işletmeleri avlarken, BT devi Accenture gibi büyük firmalar bile LockBit'in erişiminden muaf değil.
Kaynak SOCRadar
Lockbit'in Kurbanları
Bugüne kadar 1999 kurban Lockbit'in kötü niyetli faaliyetlerinin kurbanı olmuştur.
Lockbit'in Saldırı Yöntemi
LockBit 3.0 katılımcıları ağlara şu yollarla erişir:
- mevcut hesap kimlik bilgilerinin tehlikeye atılması
- RDP ihlallerinden yararlanma
- kamuya açık sistemlerdeki güvenlik açıklarından yararlanma
- normal tarama sırasında kötü amaçlı web sitelerinde gezinme
- phishing saldırılarının gerçekleştirilmesi
LockBit 3.0, mevcut izinler yetersiz olduğunda daha yüksek erişim seviyeleri elde etmeye çalışır ve ayrıcalıkları yükseltmek için otomatik oturum açma özelliklerini kullanır.
LockBit 3.0, kontrol sunucularıyla iletişimi şifreleyerek ve yürütüldükten sonra kendi kendini silerek etkinliğini gizler ve yalnızca doğru parola sağlandığında şifre çözme işlemine devam eder.
LockBit 3.0, bir ağın içine gömülü kalmak için ele geçirilmiş kullanıcı hesaplarını manipüle eder ve sistemleri otomatik oturum açma için yapılandırır.
LockBit 3.0, LSASS.exe'den işlem belleği içeriğini çıkarmak için Microsoft Sysinternals'ın ProDump'ını kullanır.
LockBit 3.0, SoftPerfect Network Scanner kullanarak ağları tarar, ayrıntılı sistem ve etki alanı verilerini toplar ve belirli dil ayarlarına sahip sistemlere bulaşmayı önler.
Dahili ağa sızma için LockBit 3.0, Splashtop uzak masaüstü yazılımından yararlanır.
LockBit 3.0, FileZilla kullanarak komut ve kontrol kurar ve Windows sistemlerinde Plink aracılığıyla güvenli kabuk etkileşimlerini otomatikleştirir. LockBit 3.0 çalışması sırasında komutları yürütür ve yazılım yönetimi için bir Windows paket yöneticisi olan Chocolatey'i kullanır.
LockBit 3.0, ağlardan veri çekmek için kendi özel aracı Stealbit'i ve popüler bulut hizmetlerini kullanıyor.
LockBit 3.0, günlükleri silerek, geri dönüşüm kutusunu temizleyerek, verileri şifreleyerek, işlemleri ve hizmetleri durdurarak, gölge kopyaları silerek ve bulaştığı sistemin görünümünü kendi görüntüleriyle değiştirerek işlemleri kesintiye uğratır.
LockBit 3.0 katılımcıları ağlara şu yollarla erişir:
- mevcut hesap kimlik bilgilerinin tehlikeye atılması
- RDP ihlallerinden yararlanma
- kamuya açık sistemlerdeki güvenlik açıklarından yararlanma
- normal tarama sırasında kötü amaçlı web sitelerinde gezinme
- phishing saldırılarının gerçekleştirilmesi
LockBit 3.0, mevcut izinler yetersiz olduğunda daha yüksek erişim seviyeleri elde etmeye çalışır ve ayrıcalıkları yükseltmek için otomatik oturum açma özelliklerini kullanır.
LockBit 3.0, kontrol sunucularıyla iletişimi şifreleyerek ve yürütüldükten sonra kendi kendini silerek etkinliğini gizler ve yalnızca doğru parola sağlandığında şifre çözme işlemine devam eder.
LockBit 3.0, bir ağın içine gömülü kalmak için ele geçirilmiş kullanıcı hesaplarını manipüle eder ve sistemleri otomatik oturum açma için yapılandırır.
LockBit 3.0, LSASS.exe'den işlem belleği içeriğini çıkarmak için Microsoft Sysinternals'ın ProDump'ını kullanır.
LockBit 3.0, SoftPerfect Network Scanner kullanarak ağları tarar, ayrıntılı sistem ve etki alanı verilerini toplar ve belirli dil ayarlarına sahip sistemlere bulaşmayı önler.
Dahili ağa sızma için LockBit 3.0, Splashtop uzak masaüstü yazılımından yararlanır.
LockBit 3.0, FileZilla kullanarak komut ve kontrol kurar ve Windows sistemlerinde Plink aracılığıyla güvenli kabuk etkileşimlerini otomatikleştirir. LockBit 3.0 çalışması sırasında komutları yürütür ve yazılım yönetimi için bir Windows paket yöneticisi olan Chocolatey'i kullanır.
LockBit 3.0, ağlardan veri çekmek için kendi özel aracı Stealbit'i ve popüler bulut hizmetlerini kullanıyor.
LockBit 3.0, günlükleri silerek, geri dönüşüm kutusunu temizleyerek, verileri şifreleyerek, işlemleri ve hizmetleri durdurarak, gölge kopyaları silerek ve bulaştığı sistemin görünümünü kendi görüntüleriyle değiştirerek işlemleri kesintiye uğratır.
Lockbit tarafından kullanılan TTP'ler
Lockbit ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
LockBit fidye yazılımı nedir?
LockBit, bir kuruluşun verilerini şifreleyen ve şifre çözme anahtarı için fidye talep eden bir Hizmet Olarak Fidye Yazılımıdır (RaaS). Gizliliği, hızı ve çifte gasp şeması kullanmasıyla bilinir.
LockBit ağlara ilk erişimi nasıl elde ediyor?
LockBit genellikle uzak masaüstü protokollerinden (RDP) yararlanma, phishing, mızrakphishing ve daha önce ihlal edilmiş hesaplardan kimlik bilgilerini kullanma gibi çeşitli yollarla ilk erişimi elde eder.
LockBit 3.0'ı önceki sürümlerinden farklı kılan nedir?
LockBit 3.0, gelişmiş şifreleme ve saldırı yükünü özelleştirme yeteneği ile daha modüler ve kaçamaklı. BlackMatter ve BlackCat gibi diğer fidye yazılımlarının özelliklerini de içermektedir.
LockBit herhangi bir önemli siber olaya karıştı mı?
Evet, LockBit, çok uluslu büyük şirketlerin dahil olduğu yüksek profilli olaylar da dahil olmak üzere, dünya çapında işletmelere yönelik çok sayıda saldırıdan sorumlu olmuştur.
LockBit fidye işlemini nasıl gerçekleştiriyor?
LockBit genellikle ele geçirilen sistem içinde ödeme talimatlarını içeren bir fidye notu bırakır. Ödeme genellikle kripto para birimi cinsinden talep edilir ve müzakereler bazen karanlık web üzerinden yürütülür.
LockBit'e karşı hangi savunma önlemleri etkili olabilir?
Sistemlerin düzenli olarak güncellenmesi ve yamalanması, sağlam erişim kontrollerinin uygulanması, sık sık güvenlik farkındalığı eğitimlerinin verilmesi, gelişmiş tehdit tespit araçlarının kullanılması ve çevrimdışı yedeklemelerin sürdürülmesi kritik savunmalardır.
LockBit şifrelenmiş dosyalar için şifre çözme araçları mevcut mu?
LockBit'ten etkilendiyseniz, Ulusal Suç Ajansı (NCA ) LockBit'in sitesinden çalınan verilerin şifresinin çözülmesine yardımcı olabilecek 1.000 şifre çözme anahtarı satın almıştır.
Ağım LockBit tarafından tehlikeye atılırsa en iyi hareket tarzı nedir?
Etkilenen sistemleri izole edin, bir olay müdahale planı başlatın ve kolluk kuvvetleri ve siber güvenlik uzmanlarıyla iletişime geçin. Veri kurtarmayı garanti etmediği ve daha fazla suç faaliyetini finanse edebileceği için fidye ödemekten kaçının.
LockBit'in arkasındaki operatörler hakkında ne biliniyor?
Operatörlerin, bir RaaS modeliyle çalışan, gizli kalarak ve anonimliğini koruyarak fidye yazılımını yaymak için bağlı kuruluşları işe alan sofistike bir siber suç grubunun parçası olduğuna inanılıyor.