LockBit fidye yazılımından sorumlu olan hacker grubu faaliyetlerinde kısa süreli bir yavaşlamanın ardından, LockBit iyileştirilmiş Payload’lar ve altyapıda yaptığı pek çok değişiklik ile geri döndü.

IBM’in verileri, LockBit’in fidye yazılımı diğer fidye yazılımcılarından neredeyse altı kat daha aktif olduğunu gösteriyor.

LockBit grubu, LockBit’in zararlı yazılımları Rusça konuşulan ülkelerde çalışmadığını belirtiyor. Ayrıca, LockBit şifreleme hızı diğer fidye yazılımı ailelerinden daha yüksek olduğunu iddia ediliyor.
Bu blog yazısında LockBit’in 2.0 sürümünü ve son kullanılan tekniklerini analiz ederek inceleyeceğiz.

Endüstriye Göre Hedefler
IBM X-Force verilerine göre LockBit’in saldırılarından en çok etkilenen sektörler finans ve üretim olduğu görülüyor.

LockBit’in Teknikleri
Lockbit 2.0, yukarıda bahsettiğimiz gibi diğer fidye yazılımlarına göre çok hızlı ve güçlü, kendi kendine yayılma özelliği vardır. Input/Output Completion Ports (IOCP’ler) tekneliğini kullanmaktadır. LockBit’in temel amacı, herkese açık uygulamalardan yararlanarak RDP – “CVE-2019-0708 ” gibi etki alanı yöneticisi hesabının erişimini elde etmektir, ardından değerli verilerin ve Active Directory ortamının keşfini yapmaya başlar.

Şifreleme işlemi sırasında, etkilenen dosyalar “.lockbit” uzantısıyla eklenir. Örneğin, “1.jpg” gibi bir dosya “1.jpg.lockbit” olarak görünür. Bu işlem tamamlandıktan sonra, masaüstü duvar kağıdında, açılır pencerede (“LockBit_Ransomware.hta”) ve “Restore-My-Files.txt” metin dosyasında fidye notları oluşturulur.

LockBit 2.0 Ransomware, RDP, Kimlik Avı E-postaları ve Drive-by indirmeleri ile yayılır. Sistem üzerindeki açık portlar kullanarak şifreleme işlemi yapar. LockBit 2.0 Ransomware, Event Logs ve Shadow Kopyaları silmektedir.

Şifreleme sürecinin kesintiye uğramaması için Ransomware’in ikili dosyasını “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XO1XADpO01” Kayıt Defteri anahtarının içine yerleştirilmiştir. Böylece, eğer kurban şifreleme aşaması henüz bitmemişken bilgisayarı kapatırsa, kurban bilgisayarı yeniden açtığında şifreleme işlemi tekrar başlar.

Şifreleme bittiğinde, LockBit 2.0 Ransomware kendini siler, Bunun için “/C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 “%s” & Del /f /q “%s” komutunu çalıştırır.

Şifreleme İşleminin sistem kapatılsa bile kesintiye uğramamasını sağlamak için LockBit, Windows API ShutdownBlockReasonCreate‘i çağırarak bir kapatma engelleme nedeni oluşturacaktır. Sandbox içinde otomatik olarak analiz edilmekten kaçınmak için çeşitli yöntemler kullanır.

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >