Bugün, LockBit fidye yazılımı dünyadaki en aktif ve başarılı siber suç organizasyonudur. Bir Rus Tehdit Aktörüne atfedilen LockBit, 2022’nin başlarında dağıtılan Conti fidye yazılımı grubunun gölgesinden çıktı.
LockBit fidye yazılımı ilk olarak Eylül 2019’da keşfedildi ve ilk kez gözlemlenen “.abcd virüsü” uzantısı nedeniyle daha önce ABCD fidye yazılımı olarak biliniyordu. LockBit, bir hizmet olarak fidye yazılımı (RaaS) modeli olarak çalışır. Kısacası, bu, bağlı kuruluşların aracı kullanmak için para yatırması ve ardından fidye ödemesini LockBit grubuyla paylaşması anlamına gelir. Bazı iştiraklerin %75 gibi yüksek bir pay aldığı bildirildi. LockBit’in operatörleri, Rusya’da veya herhangi bir BDT ülkesinde faaliyet göstermeyeceklerini ve Rusça konuşan bir “garantör” kefil olmadıkça İngilizce konuşan geliştiricilerle çalışmayacaklarını belirten Rusça suç forumlarında bağlı kuruluş programları için reklamlar yayınladılar.
LockBit’in ilk saldırı vektörleri, kimlik avı, hedefli kimlik avı ve iş e-postası uzlaşması (BEC), halka açık uygulamalardan yararlanma, ilk erişim aracılarını” (IAB’ler) işe alma ve geçerli hesaplara erişmek için çalınan kimlik bilgilerini kullanma gibi sosyal mühendisliği içerir. uzak masaüstü protokolü (RDP) ve kaba kuvvet kırma saldırıları.
Geçen yıl boyunca Küresel Tehdit Tahmini web semineriSecurityHQ tarafından barındırılan LockBit’i önemli bir tehdit olarak belirledik ve 2022 boyunca yakından dikkat edilmesi gereken bir Tehdit Aktörü olarak vurguladık.
LockBit Hedefleri
LockBit saldırıları genellikle sağlık, finansal hizmetler ve endüstriyel mallar ve hizmetler gibi çeşitli sektörlerdeki devlet kurumlarına ve işletmelere odaklanmıştır. Fidye yazılımının ABD, Çin, Hindistan, Endonezya, Ukrayna, Fransa, İngiltere ve Almanya dahil olmak üzere dünya çapında ülkeleri hedef aldığı gözlemlendi.
LockBit’in bir diğer ilginç özelliği ise Rusya veya BDT ülkelerine (Bağımsız Devletler Topluluğu) yönelik saldırılarda kullanılamayacak şekilde programlanmış olmasıdır. Bu muhtemelen grup tarafından Rus hükümetinin herhangi bir olası tepkisinden kaçınmak için alınan bir ihtiyati tedbirdir.
Aşağıdaki harita, LockBit tarafından hedeflenen konumları göstermektedir.
 |
| Şekil 1 – Coğrafyaya Göre LockBit Kurbanlarının SecurityHQ Analizi |
LockBit İçin Yoğun Bir Yıl
Sızan site verilerinin analizi sayesinde, LockBit’in kaç tane başarılı saldırı gerçekleştirdiğinin gerçek bir resmini elde edebildik. 2022’de grup, diğer tüm fidye yazılımı gruplarından daha başarılı saldırılar yayınladı. LockBit’in yıl boyunca etkinliğini diğer iyi bilinen fidye yazılımı gruplarıyla karşılaştırdık. Grup operasyonları kapatmaya başladığında Conti’nin düşüşünü görebilirsiniz. Ancak şimdi, bir zamanlar üretken olan Conti fidye yazılımı grubunun üyelerinin artık BlackBasta, BlackByte ve Karakurt fidye yazılımı grupları içinde faaliyet gösterdiği bildiriliyor.
Aşağıdaki grafik, diğer fidye yazılımı gruplarına kıyasla LockBit’in 2022 boyunca ne kadar aktif olduğunu göstermektedir.
LockBit’in benzersiz özelliklerinden biri, fidye yazılımı oluşturucuları ve derleyicileri için hata ödül programıdır. Grup, sahiplerini ifşa edebilen (kimliklerini kamuya açıklayabilen) herkese 1 milyon dolarlık bir ödül sunuyor. Bu önemli bir meblağ ve LockBit’in anonimliğini koruma konusunda ne kadar ciddi olduğunu gösteriyor.
Son zamanlarda grup, Birleşik Krallık’ta Royal Mail’e yapılan bir saldırıyla ilişkilendirildi. Ancak LockBit, saldırının bir bağlı kuruluş tarafından gerçekleştirildiğini belirterek saldırıya herhangi bir şekilde karıştığını reddetti. Bu, fidye yazılımı grupları için alışılmadık bir durum değildir, çünkü kendilerini sonuçlardan uzaklaştırmak için saldırıları gerçekleştirmek için genellikle bağlı kuruluşları kullanırlar.
Genel olarak, LockBit fidye yazılımı grubu, dünya çapındaki işletmeler ve kuruluşlar için önemli bir tehdit oluşturan zorlu ve sofistike bir siber suç örgütüdür. Yerleşik bir hizmet olarak fidye yazılımı modeli, bir hata ödül programı ve kimliklerini ifşa edenleri ödüllendirme istekliliği ile LockBit, tehdit ortamında hesaba katılması gereken bir güçtür.
RaaS nedir?
Hizmet olarak fidye yazılımı (RaaS) son yıllarda popülerlik kazandı. RaaS, fidye yazılımı operatörlerinin, fidye ödemesinden bir pay karşılığında diğer bireylere veya organize suç gruplarına fidye yazılımı saldırıları gerçekleştirmeleri için kötü amaçlı yazılım ve araçlar sağladığı bir tür iş modelini ifade eder. Bu, teknik olarak daha az yetenekli kişilerin bile katılmasına izin verir. fidye yazılımı saldırılarısaldırı sayısını artırmak ve saldırganların izlenmesini ve yakalanmasını zorlaştırıyor.
Sonra ne yapacağız
Güvenlik duruşunuzu geliştirmek için işletmelerin aşağıdaki adımları gerçekleştirmesi önerilir:
-
Yönetilen Tespit ve Yanıt Sağlayın (ÇİD) kötü amaçlı veya anormal etkinliği anlamak, tehditleri hızlı bir şekilde analiz etmek, önceliklendirmek ve bunlara yanıt vermek ve verilerinizi, insanlarınızı ve süreçlerinizi korumak için kullanılır.
-
Çalışanların olduğundan emin olun eğitimli ve eğitimli Böylece bir saldırıyı nasıl tespit edeceklerini ve ona doğru şekilde yanıt vereceklerini bilirler.
SecurityHQ uzmanlarının 2022 boyunca görülen en büyük tehditlerden bazılarını tartışmasını dinlemek, 2023 tahminleriyle bir ihlalin sonuçlarını tartışmak ve yaklaşan siber güvenlik tehditlerine karşı nasıl hafifletilebileceğini tartışmak için bu web semineri kaydını indirin’ Küresel Tehdit Görünümü 2023 Tahmini‘, daha fazlasını bilmek için.
Not: Bu makale, SecurityHQ Orta Doğu ve Afrika Direktörü Aaron Hambleton tarafından yazılmıştır. Finansal Hizmetler, Perakende, Sigorta, Devlet ve Telekomünikasyon gibi çeşitli sektörlerde 11 yıldan fazla deneyime sahip olan Aaron, sertifikalı bir GCDA’dır ve olay müdahalesi, tehdit avı, güvenlik açığı yönetimi, siber güvenlik operasyonları, tehdit istihbaratı ve danışmanlık alanlarında uzmanlığa sahiptir.