LockBit, 2022’de sızdırılan builder aracılığıyla tehlike saçmaya devam ediyor. Yakın vakitte yaşanan bir olayın akabinde Kaspersky Küresel Acil Durum Müdahale takımı, saldırganların kendi kendine yayılma özelliğine sahip kendi makûs emelli şifreleme yazılımlarını oluşturduklarını ortaya koydu.
Söz konusu olayda siber hatalılar, çalınan ayrıcalıklı kimlik bilgilerinden faydalanarak altyapıya sızmayı başardı. Olay Batı Afrika’da gerçekleşmiş olsa da, Kaspersky başka bölgelerde de builder tabanlı fidye yazılımı taarruzlarının yaşandığına dikkat çekiyor.
Gine-Bissau’da meydana gelen son olay, özel fidye yazılımlarının bugüne dek görülmemiş teknikler kullandığını ortaya koydu. Virüs bulaşmış ana bilgisayarların makûs emelli yazılımı kurbanın ağında daha fazla yaymaya çalışması denetimsiz bir çığ tesiri yaratabiliyor.
Kaspersky, yaşanan son olayın akabinde mevzuyla ilgili olarak detaylı bir tahlil paylaştı.
Kimlik taklidi: Yasadışı yollarla elde edilen kimlik bilgilerinden yararlanan tehdit aktörü, ayrıcalıklı haklara sahip sistem yöneticisinin kimliğine bürünüyor. Ayrıcalıklı hesaplar saldırıyı yürütmek ve kurumsal altyapının en kritik alanlarına erişim sağlamak için kapsamlı fırsatlar sunduğundan, bu adım kritik kıymet taşıyor.
Kendi kendine yayılma: Özelleştirilmiş fidye yazılımı, yüksek ayrıcalıklı tesir alanı kimlik bilgilerini kullanarak ağda bağımsız olarak yayılabiliyor. Ayrıyeten dataları şifrelemek ve hareketlerini gizlemek için Windows Defender’ı devre dışı bırakma, ağ paylaşımlarını şifreleme ve Windows Olay Günlüklerini silme üzere makûs emelli etkinlikler gerçekleştirebiliyor. Berbat maksatlı yazılımın davranışı, virüs bulaşmış her bir ana bilgisayarın ağdaki bir öteki ana bilgisayarlara virüs bulaştırmaya çalıştığı senaryoyla sonuçlanıyor.
Uyarlanabilir özellikler: Özelleştirilmiş yapılandırma evrakları, üstte belirtilen yeteneklerle birlikte, makus maksatlı yazılımın kendisini mağdur şirketin mimarisinin makul yapılandırmalarına nazaran uyarlamasını sağlıyor. Örneğin saldırgan, fidye yazılımını .xlsx ve .docx evrakları üzere sadece belli evraklara yahut sırf muhakkak bir dizi sisteme bulaşacak formda yapılandırabiliyor.
Kaspersky, bu özel yapıyı bir sanal makine üzerinde çalıştırdığında gerçekleştirdiği berbat maksatlı faaliyetlerin yanı sıra masaüstünde özel bir fidye notu oluşturduğunu gözlemledi. Gerçek hücum durumunda bu not, kurbanın şifre çözücüyü elde etmek için saldırganlarla nasıl irtibata geçmesi gerektiğine dair detaylar içeriyor.
Kaspersky Küresel Acil Durum Müdahale Grubu Olay Müdahale Uzmanı Cristian Souza, şunları söylüyor: “LockBit 3.0 builder 2022 yılında sızdırıldı ve saldırganlar bunu özelleştirilmiş sürümler hazırlamak için faal olarak kullanıyor. Bunun için ileri programlama maharetleri de gerekmiyor. Bu esneklik, incelediğimiz son hadisenin da gösterdiği üzere, saldırganlara ataklarının aktifliğini arttırmak için pek çok fırsat sunuyor. Kurumsal kimlik bilgisi sızıntılarının artan sıklığı göz önüne alındığında, bu çeşit taarruzlar daha da tehlikeli hale geliyor.”
Kaspersky ayrıyeten saldırganların SessionGopher komut evrakını kullanarak etkilenen sistemlerdeki uzak temaslar için kayıtlı parolaları bulup çıkardığını tespit etti.
Sızdırılan LockBit 3.0 kurucusuna dayanan- fakat Gine-Bissau’da bulunan kendi kendine yayılma ve kimliğe bürünme yeteneklerinden yoksun- çeşitli başka cinsleri içeren olaylar, çeşitli kesimlerde ve bölgelerde sistemli olarak meydana geliyor. Bunların Rusya, Şili ve İtalya’da gözlemlenmesi atakların coğrafyasının daha da genişlediğine dair bir gösterge niteliğinde.
Kaspersky güvenlik eserleri bu tehditleri Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen ve Trojan-Ransom.Win32.Generic olarak tespit ediyor. SessionGopher komut belgesi HackTool.PowerShell.Agent.l yahut HackTool.PowerShell.Agent.ad olarak algılanıyor.
LockBit, hizmet olarak fidye yazılımı (RaaS) sunan bir siber kabahat kümesi. Şubat 2024’te milletlerarası kolluk kuvvetleri operasyonu kümenin kontrolünü ele geçirdi. Operasyondan birkaç gün sonra fidye yazılım kümesi meydan okurcasına tekrar faaliyete geçtiğini duyurdu.
Kaspersky, fidye yazılımı akınlarının aktifliğini azaltmak için aşağıdaki tedbirleri öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
GÜNDEM
08 Aralık 2024GÜNDEM
08 Aralık 2024GÜNDEM
08 Aralık 2024GÜNDEM
08 Aralık 2024