LockBit hizmet olarak fidye yazılımı (RaaS) planının arkasındaki tehdit aktörleri, 2020’den bu yana çok sayıda ABD kuruluşuna yönelik yüzlerce saldırının ardından zorla 91 milyon dolar elde etti.
bu bir göre ortak bülten ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ve Avustralya, Kanada, Fransa, Almanya, Yeni Zelanda ve Birleşik Krallık
Ajanslar, “Hizmet olarak LockBit fidye yazılımı (RaaS), bağlı kuruluşları fidye yazılımı saldırıları yürütmek için LockBit’i kullanmaya çekiyor ve bu da çılgınca değişen saldırılar yürüten büyük bir bağlantısız tehdit aktörleri ağıyla sonuçlanıyor.” söz konusu.
Tarafından paylaşılan istatistiklere göre, ilk olarak 2019’un sonlarında ortaya çıkan LockBit, yalnızca Mayıs 2023’te 76 kadar kurbanı hedefleyerek yıkıcı ve üretken olmaya devam etti. Malwarebytes geçen hafta. Rusya bağlantılı kartel, bugüne kadar en az 1.653 fidye yazılımı saldırısının sorumluluğunu üstlendi.
Siber suç operasyonu, finansal hizmetler, gıda ve tarım, eğitim, enerji, devlet ve acil servisler, sağlık hizmetleri, imalat ve ulaşım dahil olmak üzere çok çeşitli kritik altyapı sektörlerine saldırdı.
LockBit şu ana kadar üç önemli yükseltme aldı: LockBit Red (Haziran 2021), LockBit Black (Mart 2022) ve LockBit Green (Ocak 2023), son ile ilgili Hangi artık dağılmış olan Conti çetesinden sızan kaynak koduna dayanmaktadır.
Fidye yazılımı türü o zamandan beri hedef için uyarlandı Linux, VMware ESXive Apple macOS sistemleri, onu sürekli gelişen bir tehdide dönüştürüyor. RaaS operasyonu, insanlara ambleminin dövmelerini yaptırmaları için para ödemesi ve ilk böcek ödül programını başlatmasıyla da dikkat çekiyor.
İş modeli, temel geliştiricilerin warez’lerini gerçek fidye yazılımı dağıtımını ve gaspını gerçekleştiren bağlı kuruluşlara kiralamasını içerir. Ancak bir değişiklikle grup, ana ekibe bir kesinti göndermeden önce bağlı kuruluşların fidye ödemeleri almasına izin veriyor.
LockBit’i içeren saldırı zincirleri, ilk erişimi elde etmek için Fortra GoAnywhere Yönetilen Dosya Aktarımı (MFT) ve PaperCut MF/NG sunucularındaki yakın zamanda açıklanan kusurların yanı sıra Apache Log4j2, F5 BIG-IP ve BIG-IQ ve Fortinet cihazlarındaki bilinen diğer hataları kullandı. .
Ayrıca, bağlı kuruluşlar tarafından kullanılan üç düzineden fazla ücretsiz yazılım ve ağ keşif, uzaktan erişim ve tünel oluşturma, kimlik bilgileri dökümü ve dosya hırsızlığına izin veren açık kaynaklı araçlar. İzinsiz girişlerin, Metasploit ve Cobalt Strike gibi meşru kırmızı takım yazılımlarını kötüye kullandığı tespit edildi.
“LockBit, yenilikçiliği ve grubun yönetim panelindeki sürekli gelişimi (yani, fidye yazılımı dağıtımını daha düşük teknik beceriye sahip olanlar için erişilebilir kılan basitleştirilmiş, işaretle ve tıkla arayüzü), bağlı kuruluş destek işlevleri ve sürekli revizyonu sayesinde başarılı olmuştur. TTP’ler,” ajanslar söyledi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Gelişme, CISA’nın yayımladığı bir Bağlayıcı Operasyonel Direktif 23-02federal kurumlara güvenlik duvarları, yönlendiriciler ve anahtarlar gibi halka açık internete maruz kalan ağ cihazlarını keşiften sonraki 14 gün içinde korumaları ve saldırı yüzeyini en aza indirmek için adımlar atmaları talimatını veriyor.
CISA Direktörü Jen Easterly, “Tehdit aktörleri, kurumsal ağlara sınırsız erişim elde etmek için ağ cihazlarını kullanabilir ve bu da tam ölçekli bir uzlaşmaya yol açar,” dedi. söz konusu. “Uygun kontrollerin ve hafifletmelerin gerekli kılınması […] federal sivil teşebbüsün riskini azaltmada önemli bir adımdır.”
Öneriler ayrıca yeni bir danışma belgesini takip eder tehditleri vurgulamak Tehdit aktörlerinin “önyükleme öncesi yürütme potansiyeline sahip bir sahil başı” kurmasını potansiyel olarak sağlayabilecek Baseboard Management Controller (BMC) uygulamalarına.
CISA ve ABD Ulusal Güvenlik Teşkilatı (NSA) “Güçlendirilmiş kimlik bilgileri, sabit yazılım güncellemeleri ve ağ bölümlendirme seçenekleri sıklıkla göz ardı ediliyor ve bu da savunmasız bir BMC’ye yol açıyor” kayıt edilmiş ortak bir alarmda.
“Ayrıca, kötü niyetli bir aktör, güvenilir platform modülü (TPM) veya UEFI güvenli önyükleme gibi güvenlik çözümlerini devre dışı bırakabilir, herhangi bir bağlı depolama ortamındaki verileri manipüle edebilir veya bir ağ altyapısı boyunca implantları veya yıkıcı talimatları yayabilir.”