LockBit 3.0 fidye yazılımı grubu, ana amacı mali kazanç olan, Rusça konuşan bir siber suç grubudur.
Grubun resmi web sitesine göre, faaliyetlerine 3 Eylül 2019’da başlayacaktı. LockBit 3.0, birden fazla ülkeden operatörleri entegre ederek çok sayıda işe alım kampanyası sayesinde kademeli olarak genişleyen bir Hizmet Olarak Fidye Yazılımıdır (RaaS). Avrupa ve Asya.
Bugüne kadar, grup muhtemelen yaklaşık yüz operatörden oluşuyor.
LockBit 3.0: enfeksiyon zincirinin ve kurban biliminin açıklaması
Fidye yazılımı bağlı kuruluşları, kurbanın altyapısındaki ilgilenilen dosyaları ve diğer kritik sistemleri şifrelemeden önce verileri dışarı sızdırmak için genellikle çifte gasp tekniği kullanır. Bazı operatörler ayrıca kurban üzerindeki baskıyı artırmak için hedeflenen bilgi sistemine (IS) dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirerek üçlü bir gasp tekniği uygular.
Bir saldırının genel bulaşma zinciri, kurbanın IS’sine sızmayı, ağ içinde yayılmayı, savunma araçlarını atlatarak ilgili makineleri tehlikeye atmayı, ilgili verileri bir saldırgan tarafından kontrol edilen bir sunucuya sızdırmayı, hedef verileri şifrelemeyi ve bir fidye bırakmayı içerir. güvenliği ihlal edilmiş bir veya daha fazla makineye dikkat edin. LockBit 3.0 operatörleri, mağdurun ödeme yapmaması ile bağlantılı olarak, sızan verileri karanlık ağda bulunan resmi web sitelerinde yayınlar.
Bugüne kadar, kötü niyetli operatörler fidye ödeyebilecek herhangi bir kuruluşa saldırıyor – eğitim ve tıp sektörleri de grubun mağduriyet biliminin bir parçası. Kurbanlar dünyanın her yerinde bulunuyor; Fransız kurbanlar arasında özellikle bölgesel kuruluşlar, hastaneler ve özel şirketler bulunmaktadır. Çoğu fidye yazılımı grubu gibi, yürütülebilir şifreleme dosyası da sözde “Sovyet sonrası” ülkelerde konuşlandırılamaz.
LockBit 3.0: şirket içinde geliştirilen kötü amaçlı yazılım
Başlangıçta LockBit olarak adlandırılan grup, özellikle 2021’den beri faaliyette olan fidye yazılımının 2.0 sürümünün (LockBit 2.0) konuşlandırılmasının ardından araçlarını düzenli olarak geliştiriyor. Haziran 2022’de ek yeteneklere sahip bir LockBit 3.0 sürümü belirlendi. Grubun geliştiricileri, bağlı kuruluşlarına iki özel kötü amaçlı yazılım sağlıyor: LockBit 3.0 ve StealBit.
LockBit 3.0, hedefin verilerini ve ilgilenilen sistemleri şifrelemek için tipik olarak bir işlemin sonunda konuşlandırılan şifreleme yükünün yeni sürümüdür. Sürüm 3.0, birden çok kötü amaçlı komut çalıştırarak, virüsten koruma hizmetlerini durdurarak, PowerShell komutları aracılığıyla GPO’ları değiştirerek ve kendi kendini yok ederek önemli ölçüde iyileştirildi. Şifreleme yükü, Windows sürümünde ve Linux sürümünde mevcuttur.
StealBit, veri hırsızlığı, karartma ve kendi kendini yok etme özelliklerine sahip, hırsız tipi bir kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım genellikle operasyonların sızma aşamasında kullanılır. Kötü amaçlı yazılımın çeşitli analizleri, onun piyasadaki en hızlı hırsızlardan biri olduğunu ortaya koydu.
Operatörler, şirket içinde geliştirilen iki kötü amaçlı yazılıma ek olarak Mimikatz, Cobalt Strike ve BloodHound gibi açık kaynaklı araçlar da kullanıyor.
Kendinizi korumak için önlemler alın
Her fidye yazılımı grubunun kendi operasyonlarına özgü saldırı teknikleri ve araçları olsa da, fidye yazılımı tehdidiyle karşı karşıya kalındığında genel güvenlik önlemleri uygulanabilir.
Güvenlik açığı yönetimi ve VPN çözümleriyle uzaktan erişim kontrolü ve çok faktörlü kimlik doğrulama, bir bilgi sisteminin başlangıçta tehlikeye girme riskini azaltma anlamına gelir. En az ayrıcalık ilkesi, tehlikeye atılmış bir IS içinde yanallaştırma ve ayrıcalığın yükseltilmesi risklerini azaltmayı da mümkün kılar; bir ağ içindeki düşmanların faaliyetlerini bozmak ve bozmak, savunma ekiplerine uzlaşmayı tespit etmeleri için ek zaman verecektir. Son olarak, bir veri yedekleme politikası oluşturmak, bir fidye yazılımı saldırısı kurbanının, veri şifrelemenin bir parçası olarak etkinliğini hızlı bir şekilde yeniden başlatmasını sağlar.
Fidye yazılımı türü bir saldırının ardından Olay Müdahale Ekipleri (CERT) tarafından yürütülen adli soruşturmaların gerekli olduğu unutulmamalıdır. Bir IS’nin yeniden inşa aşaması, yalnızca düşmanların çalışma modunun yanı sıra saldırıda tehlikeye atılan tüm çevreyi belirledikten sonra gerçekleştirilir.