LockBit Linux-ESXi Locker version

LockBit Linux-ESXi Locker version

 

LockBit, “LockBit Linux-ESXi Locker version 1.0” olarak adlandırılan Linux şifreleyicisi ile VMware ESXi sunucularını veya sanal makineleri hedeflediler.

Günümüzde şirketler ve kuruluşlar, erişimi ve yönetimi kolay olduğundan modlarını bulut bilişime ve sanal makinelere kaydırıyorlar. Bu bilgi işlem modu aynı zamanda eski tarz bilgi işlemle karşılaştırıldığında aşağıdaki şeyleri de kolayca yapmalarına olanak tanır:

Bilgisayar kaynaklarını daha verimli kullanmayı

Sunucuları birleştirmeyi

Bütün sunucuları bir yerden yönetmeyi

Suncularını daha kolay yedeklemeleri

Burada şirketlerin değişmesi fidye yazılımı gruplarını daha fazla cezbediyor ve zamanla onlar da hedeflerinden taviz verecek TTP’lerini ve araçlarını geliştirdiler.

Yeni fidye yazılımı grubu LockBit ise bir hamle olarak çalışmalarını başlattı ve geliştirdiği Linux şifreleyiciyle VMware ESXi sunucularını veya sanal makinelerini hedef almışlardır.

RAMP hackleme forumlarında, LockBit fidye yazılımı (ransomware) grubunun operatörleri Ekim ayından bu yana Hizmet Olarak Fidye Yazılımı (ransomware) işleminin ve LockBit Linux-ESXi Locker’ın özelliklerini tanıtmaya başlamışlardı.

Trend Micro’daki siber güvenlik araştırmacıları, LockBit’in yeni Linux şifreleyicisini incelemiş olsa da, LockBit grubu operatörlerinin LockBit Linux-ESXi Locker’larını aşağıdaki ürünleri hedeflemek için kullandıkları sonucuna varmışlardır.

• vCenter installations
• VMWare ESXi

 

Ancak benzer tipte Linux şifreleyicileri daha önce tehdit aktörleri veya fidye yazılımı (ransomware) grupları tarafından da kullanılmaktaydı.

HelloKitty, BlackMatter, REvil, AvosLocker, Hive ransomware

LockBit Linux-ESXi Locker’ın sunduğu tüm yetenekler şunlardır; Processor information, Volumes in the system; Virtual machines (VMs) for skipping; Total files; Total VMs ;Encrypted files; Encrypted VMs; Total encrypted size; Time spent for encryption

Aşağıdaki görüntüde LockBit Linux-ESXi Locker’ın kullandığı tüm komutları ilgili bilgiler bulunmaktadır.

 

Linux-ESXi Locker, dosyaları ve şifre çözme anahtarlarını şifrelemek için aşağıdaki şifreleme yöntemini kullanır.

• AES
• Eliptik eğri Şifreleme (ECC) algoritmaları

Bu nedenle güvenlik analistleri, yöneticileri ve tüm güvenlik profesyonellerini, bunun gibi fidye yazılımı (ransomware) gruplarıyla uygun güvenlik savunmaları ve planlarıyla mücadele etmeye hazır olmaya çağırmışlardı.

Dahası, tipik fidye notu yerine LockBit, LockBit 2.0’ın hızını duyuruyor ve sadece bu da değil, operatörler bile saldırdıkları tüm siteleri de listeliyor. Bunun dışında kurbanlarını milyonlarca dolarlık yemle cezbedip, şirketin değerli verilerine erişim için onları işe alıyorlardı.

REvil fidye yazılımı (ransomware) grubunun kapatılmasından bu yana, LockBit fidye yazılımı (ransomware) operatörleri mevcut senaryoda en öne çıkanlar haline geldi ve zamanla şifreleyicilerini ve yeteneklerini de geliştirdiler.