LockBit’in arkasındaki gruptan en son fidye yazılımı yürütülebilir dosyalarını tersine mühendislik, geliştiricilerin diğer popüler saldırı araçlarından yetenekler eklediğini ve araştırmacılara göre LockBit’in anti-analiz yeteneklerini geliştirmek için aktif olarak çalıştıklarını gösteriyor.
Yakın zamanda piyasaya sürülen LockBit 3.0’da (diğer adıyla LockBit Black) görülen bu önemli evrim, birden fazla araştırmacı tarafından yapılan analizlere göre, muhtemelen daha iyi savunmaları, araştırmacılar ve araştırmacılar tarafından daha fazla incelemeyi ve diğer çetelerden gelen rekabeti dengelemek içindir.
Başkan Yardımcısı Jon Clay, “Hiç şüphe yok ki, kolluk kuvvetleri baskısı mı yoksa savunucular mı daha iyiye gidiyor, bu grupların gelişmeye zorlandıklarını görüyoruz – yaptıkları işte daha iyi olmaları gerekiyor” diyor. Trend Micro için tehdit istihbaratı.
Ayrıca Dark-Web Jones’lara ayak uydurmak zorundalar. Bu amaçla, en son sürüm artık ana rutinlerini karartmak ve tersine mühendislik ve analizi engellemek için bir anahtar gerektiriyor; örneğin, siber güvenlik firması Trend Micro’nun Salı günü yayınlanan bir danışma belgesinde belirttiği gibi, Egregor gibi diğer fidye yazılımı aileleri tarafından kullanılan bir teknik. Şirket, fidye yazılımı programının yeni sürümünün, BlackMatter fidye yazılımı programıyla aynı bir özellik olan mevcut uygulama programlama arabirimlerini (API’ler) de sıraladığını belirtti.
İtalya Vergi Dairesine Fidye Yazılım Saldırısı
Bu ayın başlarında, İtalyan Gelir Kurumu LockBit’in son sözde kurbanı oldu, grup vergi dairesinden 78 gigabaytlık dosyayı şifreleyip sızdırmakla övünüyor. Veri koruma firması Piiano’nun kurucu ortağı ve CEO’su Gil Dabah, e-posta yoluyla yaptığı açıklamada, eğer doğruysa, organizasyonun toparlanmanın bir yolunu bulması gerekecek, ancak saldırı İtalyan vatandaşlarını da tehdit ediyor.
“İkinci tür kurban, verileri tehlikeye giren kişidir” dedi. “Bu durumda, bireysel bir vergi mükellefinin verilerinin ele geçirilmiş olma ihtimali yüksek.”
Bulut güvenliği çözümleri sağlayıcısı iBoss’un CEO’su Paul Martini, Rusya’nın Ukrayna’yı işgal etmesinin ardından, bu fidye yazılımı gruplarının Rusya’yı destekleme taahhüdünde bulunduğunu ve giderek artan bir şekilde ulus devlet hedeflerine karşı operasyon yürütme talepleriyle karşı karşıya olduklarını söylüyor.
Casusluk, dezenformasyon kampanyaları ve kritik hedeflere stratejik saldırılar yoluyla gerçekleştirilen uluslar arasındaki gölge siber savaşı, gölgelerden yeni çıkmaya başlıyor” dedi. “Bunun taşmasını bekleyebiliriz ve Batı’nın hükümet ve sivil hedefleri korumak için daha güçlü savunmalara ihtiyacı olacak.”
LockBit’in arkasındaki grup, 2022’de şimdiye kadar iyi bir performans sergiledi. Muhtemelen Conti siber suç grubunun arkasındaki altyapının bozulması veya muhtemelen Rusya’nın Ukrayna’yı işgalinden kaynaklanan serpinti nedeniyle, genel saldırılarda %18’lik bir düşüşe rağmen, LockBit en çok saldırı yapan kişi haline geldi. Güvenlik firması NCC Group tarafından Mayıs ayında tespit edilen tüm saldırıların %40’ını oluşturan yaygın olarak karşılaşılan fidye yazılımı ailesi.
Ancak zirvede kalmak için evrim gereklidir.
LockBit 3.0 için Önemli İyileştirmeler
LockBit fidye yazılımının en son sürümünde yapılan değişiklikler, saldırının bir parçası olarak meşru işlevleri kullanmanın bir yolu olarak sistem API’lerini toplayan işlevleri ve yapılandırma verilerinin ve kodunun kapsamlı – oldukça basit olsa da – şifrelenmesini içerir. Trend Micro’nun tavsiyesine göre.
Belki de en önemlisi, LockBit 3.0’a yapılan önemli bir ekleme, tersine mühendisliği yavaşlatan veya önleyen bir dizi özelliktir. Program, örneğin, yürütülebilir kodun ana gövdesinin şifresini çözmek için gereken bir parola ve hata ayıklayıcıları çökertmeye çalışan bir özellik içerir.
Trend Micro’dan Clay, “Fidye yazılımlarını ve hizmet olarak fidye yazılımlarını düzenli olarak güncelleme yeteneklerinden gurur duyuyorlar” diyor. “3.0’da çok daha fazla şaşırtma yeteneği var ve analistlerin ve araştırmacıların kodları hakkında ne kadar keşfedebileceklerini en aza indirmeye çalışan birçok özellik koyuyorlar.”
Bu arada, hem LockBit hem de BlackMatter’ın Rusya bağlantılı gruplar olduğu ve siber suçluların gruplar arasında giderek daha fazla hareket ettiği göz önüne alındığında, BlackMatter taktiklerinin benimsenmesi şaşırtıcı değil.
Fidye Yazılımı Savunmasının Temelleri Hâlâ Çalışıyor
Trend Micro’dan Clay, LockBit 3.0’da bulunan yeni özelliklerin çoğunlukla mevcut savunmaları zayıflatmadığını söylüyor. Modern uç nokta algılama ve yanıt (EDR), saldırganlar verileri şifrelemeye başlamadan önce algılayıp durabilir ve saldırabilirken, çok faktörlü kimlik doğrulama, çalınan kimlik bilgileri aracılığıyla erişim elde etmeye yönelik en yaygın yaklaşımı engelleyebilir. Son olarak, kritik veriler için iyi bir yedekleme sürecine sahip olmak kurtarma işlemini kolaylaştıracaktır.
“Onlar [ransomware groups] Yedeklemelerin yardımcı olmayacağını iddia edin, ancak uygun bir prosedürünüz varsa verilerinizi kurtarabilirsiniz” diyor ve ekliyor: “İyi haber şu ki, savunucular bu en iyi uygulamaların birçoğunu uyguladılar ve işe yarıyor gibi görünüyorlar.”