LockBit, 2022'de oluşturucusunun sızdırılması nedeniyle tehdit oluşturmaya devam ediyor. Yakın zamanda yaşanan bir olayın ardından Kaspersky Küresel Acil Durum Müdahale ekibi, saldırganların kendi kendine yayılma özelliğine sahip kendi şifreleme kötü amaçlı yazılımlarını oluşturduklarını ortaya çıkardı. Söz konusu olayda siber suçlular, çalınan ayrıcalıklı kimlik bilgilerinden yararlanarak altyapıya sızmayı başardı. Olay Batı Afrika'da meydana gelirken Kaspersky, inşaatçı tabanlı fidye yazılımı saldırılarının diğer bölgelerde de meydana geldiğine dikkat çekiyor.Gine-Bissau'daki son olay, özel fidye yazılımlarının daha önce hiç görülmemiş teknikleri kullandığını ortaya çıkardı. Bu, virüs bulaşmış ana bilgisayarların kötü amaçlı yazılımı kurbanın ağına daha fazla yaymaya çalışması nedeniyle kontrolsüz bir kartopu etkisi yaratabilir. Kaspersky, yaşanan son olayın ardından konuyla ilgili detaylı bir analiz paylaştı.Kimlik temsili: Tehdit aktörü, yasa dışı olarak elde edilen kimlik bilgilerini kullanarak ayrıcalıklı haklara sahip bir sistem yöneticisi gibi davranır. Ayrıcalıklı hesaplar saldırıyı gerçekleştirmek ve şirket altyapısının en kritik alanlarına erişim sağlamak için yeterli fırsat sağladığından bu adım kritik öneme sahiptir.Kendi kendine yayılma: Özel fidye yazılımları, yüksek ayrıcalıklı etki alanı kimlik bilgilerini kullanarak bağımsız olarak ağa yayılabilir. Verileri şifrelemek ve eylemlerini gizlemek için Windows Defender'ı devre dışı bırakmak, ağ paylaşımlarını şifrelemek ve Windows olay günlüklerini silmek gibi kötü amaçlı etkinlikler de gerçekleştirebilir. Kötü amaçlı yazılımın davranışı, etkilenen her ana bilgisayarın ağdaki diğer tüm ana bilgisayarlara bulaşmaya çalıştığı bir senaryoyla sonuçlanır.Uyarlanabilir özellikler: Yukarıda belirtilen özelliklerin yanı sıra özel yapılandırma dosyaları, kötü amaçlı yazılımın kurban şirketin mimarisindeki belirli yapılandırmalara uyum sağlamasına olanak tanır. Örneğin, Kaspersky'nin kötü amaçlı yazılıma ek olarak bu özel yapıyı sanal bir makinede çalıştırırken gözlemlediği gibi, saldırgan fidye yazılımını yalnızca .xlsx ve .docx dosyaları gibi belirli dosyalara veya yalnızca belirli bir sistem grubuna bulaşacak şekilde yapılandırabilir. gerçekleştirdiği faaliyetler, masaüstünüzde özel bir fidye notu oluşturur. Gerçek bir saldırı durumunda bu not, Kaspersky Global Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı şifre çözücüyü almak için kurbanın saldırganlarla nasıl iletişim kurması gerektiğine ilişkin ayrıntıları içerir. Cristian SouzaDiyor: “LockBit 3.0 oluşturucusu 2022'de sızdırıldı ve saldırganlar bunu özelleştirilmiş sürümler hazırlamak için aktif olarak kullanıyor. Bu, gelişmiş programlama becerileri gerektirmiyor, incelediğimiz son vakanın gösterdiği gibi, bu esneklik, saldırganlara saldırılarının etkinliğini artırmak için birçok fırsat sunuyor. Kurumsal Kimlik Bilgisi Sızıntısı “Artan sıklıkları göz önüne alındığında, bu tür saldırılar daha da tehlikeli hale geliyor.”Kaspersky ayrıca saldırganların, etkilenen sistemlerdeki uzak bağlantılara ilişkin kayıtlı şifreleri çıkarmak için SessionGopher betiğini kullandığını da keşfetti. Sızan LockBit 3.0 yükleyicisine dayanarak, ancak Gine-Bissau'da bulunan kendi kendine yayılma ve taklit yeteneklerinden yoksun olduğundan, çeşitli türde olaylar meydana geldi. çeşitli endüstrilerde meydana gelmiştir ve bu bölgelerde düzenli olarak meydana gelmektedir. Bu saldırıların Rusya, Şili ve İtalya'da da görülmesi saldırıların coğrafyasının daha da genişlediğini gösteriyor. Kaspersky güvenlik ürünleri bu tehditleri Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen ve Trojan olarak tanımlar. Trojan-Ransom.Win32.Generic'i tespit edin. SessionGopher komut dosyası HackTool.PowerShell.Agent.lo HackTool.PowerShell.Agent.ad.LockBit olarak algılandı, hizmet olarak fidye yazılımı (RaaS) sunan bir siber suç grubudur. Şubat 2024'te uluslararası bir kolluk kuvveti operasyonu grubun kontrolünü ele geçirdi. Operasyondan birkaç gün sonra fidye yazılımı grubu meydan okurcasına tekrar faaliyete geçtiğini duyurdu.Kaspersky, fidye yazılımı saldırılarının etkinliğini azaltmak için aşağıdaki önlemleri önermektedir:
- Sık sık yedekleme yapın ve yedeklemelerinizi düzenli olarak test edin.
- Fidye yazılımının kurbanı olduysanız ve henüz bilinen bir şifre çözücü yoksa, kritik dosyalarınızı şifreli tutun. Devam eden bir tehdit araştırma çalışması sonucunda veya yetkililerin tehdidin arkasındaki aktörün kontrolünü ele geçirmeyi başarması durumunda bir şifre çözme çözümü ortaya çıkabilir.
- Geçtiğimiz günlerde yetkililer LockBit fidye yazılımı grubunu ortadan kaldırmak için bir operasyon gerçekleştirdi. Operasyon sırasında kolluk kuvvetleri, özel şifre çözme anahtarları elde etti ve bilinen kimliklere dayalı dosyaların şifresini çözmek için araçlar hazırladı. check_decryption_id.exe ve check_decrypt.exe gibi bu araçlar, dosyaların kurtarılıp kurtarılamayacağını değerlendirmenize yardımcı olur.
- Kaspersky Endpoint Security gibi güçlü bir güvenlik çözümü dağıtın ve doğru şekilde yapılandırıldığından emin olun. Proaktif tehdit avcılığı için Yönetilen Tespit ve Yanıt (MDR) hizmetlerini düşünün.
- Kullanılmayan hizmetleri ve bağlantı noktalarını devre dışı bırakarak saldırı yüzeyinizi azaltın.
- Güvenlik açıklarını derhal düzeltin ve sistemlerinizi ve yazılımınızı güncel tutun.
- Zayıf yönleri belirlemek ve uygun karşı önlemleri uygulamak için düzenli sızma testleri ve güvenlik açığı taramaları gerçekleştirin.
- Siber tehditler ve azaltma stratejileri konusundaki farkındalığı artırmak için çalışanlarınıza düzenli siber güvenlik eğitimi verin.
Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–