Sızdırılan LockBit builder tabanlı fidye yazılımı, çalışanları taklit ederek tabiatıyla yayılıyor
LockBit, 2022’de sızdırılan builder aracılığıyla tehlike saçmaya devam ediyor. Yakın vakitte yaşanan bir olayın akabinde Kaspersky Küresel Acil Durum Müdahale grubu, saldırganların kendi kendine yayılma özelliğine sahip kendi berbat hedefli şifreleme yazılımlarını oluşturduklarını ortaya koydu. Söz konusu olayda siber hatalılar, çalınan ayrıcalıklı kimlik bilgilerinden faydalanarak altyapıya sızmayı başardı. Olay Batı Afrika'da gerçekleşmiş olsa da, Kaspersky öteki bölgelerde de builder tabanlı fidye yazılımı ataklarının yaşandığına dikkat çekiyor.Gine-Bissau'da meydana gelen son olay, özel fidye yazılımlarının bugüne dek görülmemiş teknikler kullandığını ortaya koydu. Virüs bulaşmış ana bilgisayarların makûs gayeli yazılımı kurbanın ağında daha fazla yaymaya çalışması denetimsiz bir çığ tesiri yaratabiliyor. Kaspersky, yaşanan son olayın akabinde mevzuyla ilgili olarak detaylı bir tahlil paylaştı.Kimlik taklidi: Yasadışı yollarla elde edilen kimlik bilgilerinden yararlanan tehdit aktörü, ayrıcalıklı haklara sahip sistem yöneticisinin kimliğine bürünüyor. Ayrıcalıklı hesaplar saldırıyı yürütmek ve kurumsal altyapının en kritik alanlarına erişim sağlamak için kapsamlı fırsatlar sunduğundan, bu adım kritik kıymet taşıyor.Kendi kendine yayılma: Özelleştirilmiş fidye yazılımı, yüksek ayrıcalıklı tesir alanı kimlik bilgilerini kullanarak ağda bağımsız olarak yayılabiliyor. Ayrıyeten dataları şifrelemek ve aksiyonlarını gizlemek için Windows Defender'ı devre dışı bırakma, ağ paylaşımlarını şifreleme ve Windows Olay Günlüklerini silme üzere makûs gayeli etkinlikler gerçekleştirebiliyor. Makûs emelli yazılımın davranışı, virüs bulaşmış her bir ana bilgisayarın ağdaki bir başka ana bilgisayarlara virüs bulaştırmaya çalıştığı senaryoyla sonuçlanıyor.Uyarlanabilir özellikler: Özelleştirilmiş yapılandırma belgeleri, üstte belirtilen yeteneklerle birlikte, berbat gayeli yazılımın kendisini mağdur şirketin mimarisinin muhakkak yapılandırmalarına nazaran uyarlamasını sağlıyor. Örneğin saldırgan, fidye yazılımını .xlsx ve .docx evrakları üzere sırf muhakkak belgelere yahut sırf muhakkak bir dizi sisteme bulaşacak formda yapılandırabiliyor.Kaspersky, bu özel yapıyı bir sanal makine üzerinde çalıştırdığında gerçekleştirdiği makus hedefli faaliyetlerin yanı sıra masaüstünde özel bir fidye notu oluşturduğunu gözlemledi. Gerçek akın durumunda bu not, kurbanın şifre çözücüyü elde etmek için saldırganlarla nasıl bağlantıya geçmesi gerektiğine dair detaylar içeriyor.Kaspersky Küresel Acil Durum Müdahale Grubu Olay Müdahale Uzmanı Cristian Souza, şunları söylüyor: "LockBit 3.0 builder 2022 yılında sızdırıldı ve saldırganlar bunu özelleştirilmiş sürümler hazırlamak için faal olarak kullanıyor. Bunun için ileri programlama hünerleri de gerekmiyor. Bu esneklik, incelediğimiz son olayın da gösterdiği üzere, saldırganlara taarruzlarının aktifliğini arttırmak için pek çok fırsat sunuyor. Kurumsal kimlik bilgisi sızıntılarının artan sıklığı göz önüne alındığında, bu tıp ataklar daha da tehlikeli hale geliyor."Kaspersky ayrıyeten saldırganların SessionGopher komut belgesini kullanarak etkilenen sistemlerdeki uzak irtibatlar için kayıtlı parolaları bulup çıkardığını tespit etti.Sızdırılan LockBit 3.0 kurucusuna dayanan- fakat Gine-Bissau'da bulunan kendi kendine yayılma ve kimliğe bürünme yeteneklerinden yoksun- çeşitli öbür tipleri içeren olaylar, çeşitli kesimlerde ve bölgelerde tertipli olarak meydana geliyor. Bunların Rusya, Şili ve İtalya'da gözlemlenmesi akınların coğrafyasının daha da genişlediğine dair bir gösterge niteliğinde.Kaspersky güvenlik eserleri bu tehditleri Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen ve Trojan-Ransom.Win32.Generic olarak tespit ediyor. SessionGopher komut evrakı HackTool.PowerShell.Agent.l yahut HackTool.PowerShell.Agent.ad olarak algılanıyor.LockBit, hizmet olarak fidye yazılımı (RaaS) sunan bir siber cürüm kümesi. Şubat 2024'te memleketler arası kolluk kuvvetleri operasyonu kümenin kontrolünü ele geçirdi. Operasyondan birkaç gün sonra fidye yazılım kümesi meydan okurcasına tekrar faaliyete geçtiğini duyurdu.Kaspersky, fidye yazılımı taarruzlarının aktifliğini azaltmak için aşağıdaki tedbirleri öneriyor:
- Sık sık yedekleme yapın ve yedeklerinizi nizamlı testlerden geçirin.
- Fidye yazılımının kurbanı olduysanız ve şimdi bilinen bir şifre çözücü yoksa, kritik şifrelenmiş belgelerinizi saklayın. Devam eden bir tehdit araştırma uğraşı sonucunda yahut yetkililer tehdidin gerisindeki aktörün denetimini ele geçirmeyi başarırsa şifre çözmeye dair bir tahlil ortaya çıkabilir.
- Yakın vakitte yetkililer LockBit fidye yazılımı kümesini çökertmek için bir operasyon düzenledi. Operasyon sırasında, kolluk kuvvetleri özel şifre çözme anahtarları elde etti ve bilinen kimliklere dayalı olarak evrakların şifresini çözmek için araçlar hazırladı. check_decryption_id.exe ve check_decrypt.exe üzere bu araçlar, dosyaların kurtarılıp kurtarılamayacağını değerlendirmenize yardımcı olur.
- Kaspersky Endpoint Security gibi sağlam bir güvenlik tahlilini yaygınlaştırın ve yanlışsız halde yapılandırıldığından emin olun. Proaktif tehdit avcılığı için Yönetilen Algılama ve Karşılık (MDR) hizmetlerini değerlendirin.
- Kullanılmayan hizmetleri ve ilişki noktalarını devre dışı bırakarak akın yüzeyinizi azaltın.
- Güvenlik açıklarını derhal yamayın, sistemlerinizi ve yazılımlarınızı şimdiki tutun.
- Zayıflıkları tespit etmek ve uygun karşı tedbirleri uygulamak için sistemli olarak sızma testleri ve güvenlik açığı taraması gerçekleştirin.
- Siber tehditler ve azaltma stratejileri konusunda farkındalığı artırmak için çalışanlarınıza nizamlı olarak siber güvenlik eğitimi verin.