Vurdu ama batmadı. Bu, özünde, altyapısı Fransız jandarmaların da katıldığı uluslararası bir polis görev gücü tarafından geçen hafta ele geçirilen LockBit siber suçlularının mesajıdır. Bu hafta sonu, fidye yazılımı çetesi yeni bir veri sızıntısı sitesini tekrar çevrimiçi hale getirdi ve gerçekleri kendi versiyonunu anlatan uzun bir mesaj yayınladı.
Grup, sözcüsü gizemli LockBitSupp aracılığıyla, kritik bir PHP güncellemesinin unutulmasıyla ihmali kabul etti. Ve polis operasyonunu, ABD’nin bir ilçesine yönelik devam eden ve iddiaya göre Donald Trump’la ilgili mahkeme belgelerinin sızdırılmasıyla sonuçlanan bir siber saldırıyla ilişkilendirdi. Polisin LockBit’e tepkisinin yıllar olmasa da kesinlikle aylarca hazırlanmış olması gerektiğine dair ilginç bir iddia.
Basın ajansına verdiği röportajda AEFC3N’nin (Dijital Suçla Mücadele Merkezi) siber jandarma başkanı da LockBit’in kapatılmasına ilişkin kararın, çeşitli polis ortaklarının yeterli ilerleme kaydetmesinden sonra toplu olarak “iki ay önce” alındığına dikkat çekiyor. Suç grubunun altyapısının belirlenmesinde.
Yeni fidye yazılımı sızıntısı
Bu LockBit yaygarası, çetenin mevcut büyük sorunlarından birini maskelemeyi amaçlıyor olabilir. Siber güvenlik şirketi, polis operasyonunun ardından internette yayınlanan belgelerde Trend Mikro gerçekten de kötü amaçlı programın şu anda geliştirilmekte olan yeni versiyonunun yüzünü ortaya çıkardı.
Bu LockBit 4.0 muhtemelen fidye yazılımının Ocak 2020’de ortaya çıkan ilk, “Kırmızı” lakaplı ikinci ve “Siyah” lakaplı üçüncü sürümünün yerini almış olmalıydı. Ayrıca kodun bazı kısımlarını Conti fidye yazılımından devralan dördüncü bir sürüm olan “Yeşil” de var.
Kötü amaçlı programın çalışması üzerinde İngiliz polis teşkilatı Ulusal Suç Teşkilatı ile birlikte çalışan Trend Micro’ya göre, LockBit’in hazırlık aşamasındaki yeni sürümü .Net tabanlı olacak ve CoreRT ile derlenecekti. Ayrıntılı olarak, geliştirilmekte olan fidye yazılımının üç şifreleme modu vardır: hızlı, aralıklı ve tam.
Yeni modellerin oluşturulması
Yeni kötü amaçlı yazılımın, kendi kendine yayılma veya kurbanın yazıcıları aracılığıyla fidye notları yazdırma gibi önceki sürümlere göre daha az yeteneği olduğu görülüyor. Ancak muhtemelen daha sonra yeni özellikler eklenecektir.
Trend Micro, “Bu haliyle hala işlevsel ve güçlü bir fidye yazılımıdır” diye uyarıyor. Bu programlama dili değişikliğiyle birlikte “kod tabanının tamamen yeni olduğuna, bunun da onu tespit etmek için muhtemelen yeni güvenlik modellerinin oluşturulması gerekeceği anlamına geldiğine” dikkat çekti.
Ancak şirketin uzlaşmaya vardığına ilişkin ilk göstergelerin yayınlanmasıyla birlikte bu çalışma da başlamış durumda. Savunmalarını güncelleyebilecek BT güvenliği profesyonelleri için iyi haber.