LockBit Ransomeware

24 Nisan 2024

LockBit Ransomeware

LockBit Ransomeware

LockBit fidye yazılımı, fidye ödemesi karşılığında kullanıcının bilgisayar sistemlerine erişimini engellemek için tasarlanmış kötü amaçlı bir yazılımdır. Eskiden “ABCD” fidye yazılımı olarak bilinen LockBit hedefleri otomatik olarak inceleyip, sistemlerine ulaşıp, içerisindeki tüm cihazların bilgilerini şifreleyerek bu şifrenin çözülmesi karşılığında finansal ödeme talep eder. Kripto virüsü olarak bilinen fidye yazılımı alt sınıfıdır. Bu fidye yazılımı bireylerden ziyade işletmelere ve devlet kurumlara odaklanır. LockBit saldırganlarının izlediği adımlar; şirketin bütün verilerini şifreleyerek temel işlevlerinin aniden durdurulması, saldırganın bu veriler karşığında fidye parası teklif etmesi, mağdur şirketin bu teklife uymaması durumunda veri hırsızlığı ya da verilerin yasadışı yayınlanması gibi tehditlerle mağdur şirkete şantaj yapılması şeklinde sıralandırılabilir.

LockBit kullanan saldırılar ilk olarak Eylül 2019'da ".abcd virüsü" adıyla başladı. Bu ad, kurbanın dosyalarını şifrelerken kullanılan dosya uzantısı adına atıfta bulunuyordu. Önemli geçmiş hedefler arasında Amerika Birleşik Devletleri, Çin, Hindistan, Endonezya ve Ukrayna'daki kuruluşlar yer alıyor. Ayrıca Avrupa'nın çeşitli ülkelerinde (Fransa, İngiltere, Almanya) saldırılar görüldü.

LockBit fidye yazılımı manuel yönlendirme gerekmeksizin bir kuruluş içinde kendiliğinen yayılır. Windows Powershell ve Server Message Block (SMB) gibi araçları kullanır. LockBit programlanmasında önceden tasarlanan otomatik süreçlerce yönetilir. Saldırgan tek bir ana bilgisayara manuel olarak virüs bulaştırır ve LockBit diğer erişilebilir ana bilgisayarları bulabilir, bunları virüslü olanlara bağlayabilir ve bir komut dosyası kullanarak virüsü paylaşabilir. Tüm bunlar insan müdahalesi olmadan tamamlanır ve tekrarlanır. Neredeyse bütün Windows işletim sistemli bilgisyarların kullandığı yerleşik araçları kullanarak uç nokta güvenlik sistemlerinin kendini saptamasını engeller. Ayrıca şifreleme dosya sistemini .PNG resim dosya formatı gibi gösterek güvenlik sistemlerinden gizleyebilir.

Sistemleri şifrelenen mağdurlar LockBit’in destek kanallarıyla ilerişime geçip fidyeyi ödemeye karar verebilirler ancak onların taleplerine uymak sorunlarının çözümü için uygun bir yöntem değildir. Para ödendikten sonra saldırganların anlaşmanın kendi payına düşen kısmı yerine getireceğinin garantisi yoktur.

LockBit fidye yazılımından korunmak için şirketlerin uygulayabileceği adımlar şunlardır:

  1. Güvenli ve güçlü şifreler konulmalıdır. Birçok hesap tahmin edilebilmesi kolay şifrelere sahip olduğu için ele geçirilmiştir. Cihazların uzun ve farklı karakter varyasyonları içeren güvenli şifrelere sahip olduğundan emin olun.
  2. Çok faktörlü kimlik doğrulamayı etkinleştirin. İlk parola tabanlı oturum açma bilgilerinin üzerine katmanlar ekleyerek brute force (kaba kuvvet) saldırılarını engelleyin. Mümkümse sistemlerinize biyometrik veya fiziksel USB anahtar kimlik doğrulayıcıları ekleyin.
  3. Kullanıcı hesabı izinlerini yeniden değerlendirin ve uygun şekillerde basitleştirin. Potansiyel tehditlerin fark edilmeden geçmesini sınırlandırabilmek için daha katı izin politikalarının izlenmesi önemlidir. Yönetici düzeyde izinlere sahip uç nokta sistemlerine özel dikkat gösterin.
  4. Eski ve kullanılmayan kullanıcı hesaplarını temizleyin. Bazı sistemlerde geçmiş çalışanların devre dışı bırakılmamış ve kapatılmamış hesapları bulunabilir. Bu potansiyel zayıf noktaların oratadan kaldırılması da önemlidir.
  5. Sistem yapılandırmalarının tüm güvenlik prosedürlerini takip ettiğinden emin olun. Kuruluşunuzu saldırı riskine sokan yeni sorunları ve güncelliğini yitirmiş politikaları ortaya çıkarmak önemlidir. Yani siber tehditlere karşı güncel kalabilmek için standart operasyon prosedürlerinin periyodik olarak yeniden değerlendirilmesi gerekmektedir.
  6. Düzenli olarak sistem çapında yedekler oluşturmalısınız. Yüzyüze kalabileceğiniz fidye saldırılarına ve kalıcı veri kayıplarına karşı en önemli koruma çevrimdışı tutulan sistem veri yedekleridir.
  7. Kapsamlı bir siber güvenlik aracına sahip olduğunuzdan emin olun. LockBit korumalarınızı devre dışı bırakmaya çalışabilir. Kapsamlı bir siber güvenlik aracı tüm kuruluşunuzun dosya indirme işlemlerinde virüslere karşı gerçek zamanlı bir koruma sağlar.

İlgili Makalele:

https://www.kaspersky.com/resource-center/threats/lockbit