FBI da dahil olmak üzere küresel kolluk kuvvetleri, bu zorlu örgütün faaliyetlerini kesintiye uğrattı. LockBit fidye yazılımı çetesiplatformunun kontrolünü ele geçiriyor ve küresel hizmet olarak fidye yazılımı (RaaS) operasyonuyla ilişkili verilere el koyuyor.
LockBit’te oturum açan bir bağlı kuruluşa görünen yetkililerden gelen bir mesaja göre, Cronos Operasyonu adı verilen operasyonla elde edilen bilgiler arasında kaynak kodu, fidye yazılımı kurbanlarının ayrıntıları, çalınan veriler, şifre çözme anahtarları ve LockBit ve bağlı kuruluşları tarafından gasp edilen para miktarı yer alıyor. kontrol Paneli. Haber ilk olarak 19 Şubat’ta bu mesajın ekran görüntüsünün ortaya çıkmasıyla ortaya çıktı. gönderildi Kötü amaçlı yazılım kaynak kodu, örnekleri ve belgeleri için çevrimiçi bir depo olan Vx-Underground’un X (eski adıyla Twitter) hesabında.
Mesajda “Lockbitsupp [sic] ve kusurlu altyapısı” olarak ele geçirilen belge FBI, Birleşik Krallık Ulusal Suç Teşkilatı (NCA), Europol ve Cronos Operasyonu Yasa Uygulama Görev Gücü tarafından imzalandı.
NCA daha sonra kolluk kuvvetlerinin faaliyetini doğruladı bir basın açıklamasında LockBit’in birincil yönetim ortamının ve grubun Dark Web’deki halka açık sızıntı sitesinin kontrolünü ele geçirdiğini söyleyerek bugün yayınlandı. Bağlı kuruluşlar ilkini saldırı oluşturmak ve gerçekleştirmek için kullanırken, ikincisi LockBit’in kurbanlardan çalınan verileri barındırdığı ve yayınladığı (veya yayınlamakla tehdit ettiği) yerdir.
Açıklamaya göre “Bunun yerine, bu site artık LockBit’in yeteneklerini ve operasyonlarını açığa çıkaran ve NCA’nın hafta boyunca günlük olarak yayınlayacağı bir dizi bilgiye ev sahipliği yapacak.”
NSA, yetkililerin ayrıca LockBit platformunun kaynak kodunu ve sistemlerinden faaliyetleri ve onlarla çalışanlar hakkında büyük miktarda istihbarat ele geçirdiğini doğruladı. Ayrıca binlerce LockBit şifre çözme anahtarı elde ettiler ve ilgili yetkililer, verileri kurtarmak için anahtarları kullanmalarına yardımcı olmak üzere kurbanlarla temas halinde olacak.
LockBit “Kusuru” Buna Karşı Kullanılıyor
“LockBitSupp” bağlı kuruluşlarla iletişim kurmak için Tor mesajlaşma hizmetini kullanarak LockBit işlemini yürüten tehdit aktörü/teknik destek hizmetidir. Bir rapora göre, LockBitSupp’un bu hizmetteki hesap durumu artık yetkililerin PHP istismarı kullanarak fidye yazılımı operasyonunun sunucularını ihlal ettiğini belirten bir mesaj gösteriyor. yayınlanan rapor.
LockBit’i tehlikeye atmak için kullanılan güvenlik açığı şu şekilde izleniyor: CVE-2023-38248.0.30, 8.1’den önceki PHP sürüm 8.0’da bulunan bir kusurdur. 8.1.22 ve 8.2’den önce. 8.2.8’den önce, Vx Underground’a göre. Güvenlik açığı bulunan sürümlerde, bir PHAR dosyasının yüklenmesi sırasında PHAR dizini girişlerinin okunması “yetersiz uzunluk kontrolüne” neden olabilir ve bu da yığın arabellek taşmasına yol açabilir ve bu da kusurun açıklamasına göre potansiyel olarak “bellek bozulmasına veya RCE’ye” yol açabilir. NIST’in Ulusal Güvenlik Açığı Veritabanına giriş.
NCA, yetkililerin LockBit’in operasyonlarını nasıl ihlal ettiğini doğrulamadı ancak teknik sızma ve kesintinin “LockBit ve bağlı kuruluşlarına karşı bir dizi eylemin yalnızca başlangıcı olduğunu” söyledi. Grubun çabalarının bir parçası olarak Eurpol, Polonya ve Ukrayna’da da iki LockBit aktörünü tutuklarken, gruba bağlı 200’den fazla kripto para birimi hesabı da donduruldu.
RaaS Emniyet Güçlerinin Hedefinde
LockBit tartışmasız dünyanın en büyük RaaS operasyonu, İlk kez sahneye çıktığı 2019 yılından bu yana, özel kötü amaçlı yazılım araçları ve siber suç ortaklarından oluşan bir ağ aracılığıyla kuruluşları ve onların verilerini aşırı bir şekilde yağmalayan grup, 2020 ile geçen yılın haziran ayı arasında ABD’ye yönelik 1.700 siber saldırıda yaklaşık 91 milyon dolar gasp etti. kuruluşlar.
İlk LockBit kurbanları küçük ve orta ölçekli şirketler olsa da, grup yıllar geçtikçe güven kazandı ve daha büyük ve daha tanınabilir kuruluşları hedeflemeye başladı. En son kurbanlarından bazıları arasında havacılık üreticisi de vardı Boeing’inSandviç makinesi Metro, Hyundai Motor AvrupaVe Amerika Bankasıdiğerleri arasında.
Operasyonunun büyüklüğü ve kapsamı nedeniyle LockBit bir süredir küresel otoritelerin hedefindeydi ve hatta Cronos Operasyonu’ndan önce bile grubun bazı ortakları tutuklanmıştı.
Geçen yılın haziran ayında, ABD Adalet Bakanlığı Rus vatandaşı Ruslan Magomedovich Astamirov’u Ağustos 2020 ile Mart 2022 arasındaki en az beş saldırıda LockBit üyesi olarak oynadığı rol nedeniyle tutukladı ve suçladı. Astamirov, Adalet Bakanlığı tarafından suçlanan üçüncü sanıktı. LockBit küresel fidye yazılımı kampanyasıyla ilgili olarak tutuklanan ikinci sanık.
Fidye Yazılımlarına Karşı CISA Tarafından Önerilen Azaltma Önlemleri
Uzmanlar buna inanırken kolluk kuvvetleri eylemleri Grubun yakın gelecekte saldırı hızını kesinlikle yavaşlatacak olsa da, muhtemelen LockBit ve bağlı kuruluşlarının fidye yazılımı faaliyetlerine katılmasını tamamen engelleyemeyecekler. BlackCat/AlphaV Ve Cl0p çeteleri bunların sökülmesinden sonra.
“Zamanla… muhtemelen farklı bir isimle yeniden ortaya çıkacaklar. mevcut üyelerin katılması muhtemel Semperis güvenlik firmasında araştırma yapan kıdemli direktör Yossi Rachman, Dark Reading’e gönderdiği bir e-postada şunu belirtiyor:
“Bu nedenle kuruluşların, grubun uzlaşmasını önlemek için tetikte olmaları önemlidir” diyor. Bu amaçla Siber Güvenlik Altyapısı ve Güvenliği (CISA) bu ayın başlarında web sitesinde bir liste yayınladı. uzlaşma göstergeleri (IOC’ler) Grubun fidye yazılımının yanı sıra bir dizi hafifletme (PDF) uzlaşma riskini azaltmak için.
Ajans tarafından yapılan öneriler arasında, şifreyle oturum açma bilgilerine sahip tüm hesapların, birden fazla hesapta yeniden kullanılmayan veya bir saldırganın erişebileceği bir sistemde saklanmayan güçlü, benzersiz şifrelere sahip olmasının zorunlu kılınması yer alıyor. Kuruluşlar ayrıca, özellikle web postası, sanal özel ağlar ve kritik sistemlere erişen hesaplar için mümkün olduğu ölçüde tüm hizmetler için çok faktörlü kimlik doğrulamanın (MFA) kullanılmasını zorunlu kılmalıdır.
CISA ayrıca kuruluşların tüm işletim sistemlerini ve yazılımlarını güncel tutmasını ve bilinen güvenlik açıklarının kapatılmasına öncelik verilmesini tavsiye etti. Yönetici paylaşımlarına gereksiz erişimin kaldırılması ve/veya ayrıcalıkların kısıtlanması da fidye yazılımı aktörlerinin kurumsal sistemlere erişmesini engelleyebilir.
Ajans tarafından yapılan diğer öneriler arasında, yalnızca sınırlı sayıda yönetici makinesinden sunucu mesaj bloğu (SMB) aracılığıyla yönetici paylaşımlarına bağlantılara izin veren ana bilgisayar tabanlı bir güvenlik duvarının kullanılması ve Windows İşletim Sisteminde korumalı dosyaların etkinleştirilmesi yer alıyor. kritik dosyalarda yetkisiz değişiklikler.