LockBit Ransomware – LockBit Fidye Yazılımı

LockBit Ransomware

 

LockBit, fidye yazılımını hizmet (RaaS) olarak öneren bir siber suç grubudur. LockBit tarafından geliştirilen yazılım (ransomware), onu kullanmak için para ödemeye hazır olan kötü niyetli kişilerin, yalnızca kurbanın verilerini şifreleyip fidye talep etmekle kalmayarak, aynı zamanda talepleri karşılanırsa bu verileri sızdırmakla tehdit ettikleri iki taktikle saldırı gerçekleştirmelerine olanak tanır.

Çeşitli devlet kurumlarının ortak açıklamasına göre LockBit ransomware, 2022’de dünyanın en çok kullanılan fidye yazılımıydı. Dünya çapındaki tüm fidye yazılımı olaylarının %44’ünün sorumlu olduğu tahmin edilmektedir.

Amerika Birleşik Devletleri’nde Ocak 2020 ile Mayıs 2023 arasında Lockbit ransomware yaklaşık 1.700 fidye yazılımı saldırısında kullanıldı ve bu saldırılarda Hackerlara ödenen toplam 91 milyon dolar fidye oldu tahmin edilmektedir.

Devlet kurumları  LockBit  grubunu resmi olarak herhangi bir ulus devlete tanımlayamadı. Ocak 2020’de Rusça tabanlı bir siber suç forumunda “LockBit ” adlı yazılım ortaya çıktı.

ransomware

LockBit ransomware, verilerin sızmasını otomatikleştiren StealBit adlı kötü amaçlı yazılımı oluşturması ve kullanması nedeniyle dikkat çekti. Bu araç, hızlı ve etkili şifreleme yeteneklerine sahip olan LockBit 2.0’ın piyasaya sürülmesiyle tanıtıldı. LockBit ransomware, erişim alanını genişletmek için Linux ana bilgisayarlarını, özellikle de ESXi sunucularını hedef alan Linux-ESXI Locker sürüm 1.0’ı da yayınladı.

LockBit ransomware, bağlı kuruluşları işe alır ve diğer hack gruplarıyla ortaklıklar geliştirir. Ağ erişim komisyoncularını işe alırlar, Maze gibi kuruluşlarla işbirliği yapıyorlar ve hedeflenen şirketlerin içinden kişileri işe alırlar. Yetenekli bilgisayar korsanlarının ilgisini çekmek için yeraltı teknik yazı yarışmalarına sponsor olmaktadırlar.

LockBit ransomware küresel olarak çeşitli sektörleri hedef aldı ancak en büyük mağdurlar sağlık ve eğitim sektörleri oldu. Trend Micro’ya göre saldırı girişimleri açısından en çok hedeflenen ülkeler ABD, Hindistan ve Brezilya’dır. Ülkemiz bu ülkelere nazaran daha az saldırıya uğramıştır. Trust veri kurtarma firmamıza ulaşan mağdurların sorunlarını LockBit grubuna ücret ödemeden problemleri giderilmiştir.

LockBit ransomware  verimli ve uyarlanabilir: Kötü amaçlı yazılımlarının kurbanları çekmek için hızını ve yeteneklerini vurguluyorlar. Potansiyel mağdurları hedeflerken veri gizliliği yasaları gibi dış faktörleri dikkate almaktadırlar. LockBit‘in başarısı aynı zamanda fidye yazılımı (ransomware  ) ortamında yenilik yapmalarına ve rekabet etmelerine yardımcı olan ortaklık programlarına da büyük ölçüde bağlı bulunmaktadırlar

Lockbit ransomware, dosyaları kriptolayıp erişilemez hale getirildiklerinde eklenen dosya uzantısından dolayı daha önce “.abcd” olarak bilinmekteydi. LockBit ransomware ilk olarak 2019 yılında da gözlemlenmiştir.

LockBit 2.0

LockBit 2.0 2021’de ortaya çıktı ve aynı yıl Accenture’a yaptıkları saldırıyla dikkatleri üzerine çekti; muhtemelen içeriden biri grubun ağa girmesine yardımcı olmuş olabilir. LockBit, bu saldırıdan çalınan verilerin bir kısmını yayınlamıştır.

Ocak 2022’de elektronik grubu Thales, Lockbit 2.0’ın kurbanlarından biri olmuştur.

Temmuz 2022’de La Poste Mobile’ın idari ve idari hizmetleri saldırıya uğradı.

Eylül 2022’de grubun bilgisayar korsanları, 12’si Fransız kuruluşlarını içeren 28 kuruluşa yönelik siber saldırı iddiasında bulunmuşlardır. Bunlardan Corbeil Essonnes hastanesi 10 milyon dolarlık fidye talebiyle hedef almışlardır

Ekim 2022’de Lockbit grubu, Birleşik Krallık’taki bir grup otomotiv perakendecisi olan Pendragon PLC’ye düzenlenen saldırının sorumluluğunu üstlendi. Dosyaların şifresini çözmek ve içeriklerini açıklamak için ödenecek fidye ise 60 milyon dolardır.

31 Ekim 2022’de Lockbit hacker grubu, Thales grubuna ikinci kez saldırdığını iddia edilmektedir. Lockbit grubu fidye talep etmiyor ancak verilerin açıklanacağı 7 Kasım’da sona erecek bir geri sayım gösteriyor. Bilgisayar korsanı grubu, “gizlilik kurallarını büyük ölçüde göz ardı eden” bir grup olan Thales’e karşı şikayette bulunmak için hırsızlıktan etkilenen Thales müşterilerine yardım teklif ediyor. 10 Kasım 2022’de LockBit 3.0 grubu çalınan bilgileri karanlık ağda yayınladı. 9,5 GB’lık arşiv, İtalya ve Malezya’daki Thales sözleşmeleri hakkında bilgi içermektedir.

Ağustos 2022’de Alman ekipman üreticisi Continental, LockBit 3.0 grubunun fidye yazılımı (ransomware) saldırısına maruz kaldı. Kasım 2022’de fidye talebine yanıt alamayan hacker grubu, çalınan verilerin bir kısmını yayınladı ve 50 milyon euro karşılığında tümüne erişim teklif etti. Saldırıya uğrayan veriler arasında Grup çalışanlarının özel hayatlarının yanı sıra Alman otomobil üreticileriyle yapılan alışverişler de yer almaktadır. Veri hırsızlığının ötesinde tehlike, endüstriyel casusluğa yol açmaktadır. Aslında, Volkswagen ile yapılan alışverişler arasında, Volkswagen’in Continental’in yatırım yapmasını istediği otonom sürüşten eğlenceye kadar BT konuları da yer almaktaydı.

Kasım 2022’de OEHC – Office d’Équipement Hydraulique de Corse – şirketin bilgisayar verilerini şifreleyen bir siber saldırının kurbanı olmuştur. Hacker grubu tarafından fidye talebinde bulunuldu ancak OEHC yanıt vermemiştir.

Aralık 2022’de Lockbit ransomware grubu, Kaliforniya Finans İdaresi’ne yapılan saldırının sorumluluğunu üstlendi. Valilik, ölçeğini belirtmeden saldırının mağduru olduğunu kabul etti. Lockbit, toplam hacmi 75,3 Gb olan 246.000 dosyayı çaldığını iddia etmiştir.

Aralık 2022’de hacker grubu Lizbon limanına saldırdığını iddia etti. Fidyenin 18 Ocak 2023’e kadar ödenmesi için 1,5 milyon dolar olarak belirlendi.

18 Aralık 2022’de bir grup bilgisayar korsanı Toronto Hasta Çocuklar Hastanesi’ne saldırdı. Hatalarını fark eden hacker grubu saldırıyı durdurdu, özür diledi ve şifrelenmiş dosyaları kurtarmak için ücretsiz bir çözüm önermişlerdir.

Haziran 2022’nin sonlarında LockBit  grubu, iki aylık beta testinin ardından fidye yazılımının (ransomware) en son çeşidi olan “LockBit 3.0″ı piyasaya sürdüler. Özellikle LockBit  grubu, fidye yazılımı (ransomware) operasyonları alanında türünün ilk örneği olan bir hata ödül programı başlattı. Güvenlik araştırmacılarını, güvenliklerini artırmak için yazılımlarını test etmeye davet ettiler ve 1.000 ila 1 milyon dolar arasında değişen önemli parasal ödüller teklif etmişlerdir.

 

Kasım 2022’de Amerika Birleşik Devletleri Adalet Bakanlığı, LockBit ransomware (fidye yazılımı) kampanyasıyla bağlantılı olarak Rusya ve Kanada çifte vatandaşı olan Mikhail Vasiliev’in tutuklandığını duyurmuştur. İddialara göre Vasiliev’in, Kasım 2022 itibarıyla dünya çapında 1.000’den fazla saldırıda kullanılan bir fidye yazılımı (ransomware)çeşidi olan LockBit‘e dahil olan diğer kişilerle komplo kurduğu iddia edilmektedir. Raporlara göre, LockBit operatörleri en az 100 milyon dolar fidye talebinde bulunmuş ve fidyeyi ele geçirmiştir. Kurbanlardan on milyonlarca dolarlık gerçek fidye ödemesi. Tutuklama, Adalet Bakanlığı’nın LockBit fidye yazılımı grubuna yönelik 2,5 yıllık soruşturmasının ardından gerçekleşmiştir.

Ocak 2023’te, hacker grubu Fransız lüks ürünler şirketi Nuxe ve Elsan grubuna (Fransız özel klinikler grubu) saldırdığını iddia etti ve hacker grubu, şirketin genel merkezinden 821 GB veriyi ele geçirdi sçylemiştir.. Aynı ay, Royal Mail’in uluslararası ihracat hizmetleri, lockbit tarafından yapılan fidye yazılımı saldırısı nedeniyle ciddi şekilde kesintiye uğramışlardır.

Şubat 2023’te grup, Kanadalı kitapçılar zinciri olan Indigo Books and Music’e düzenlenen saldırının sorumluluğunu üstlendiler.

Mart 2023’te grup, Fransa’nın Occitania bölgesinde su uzmanı olan BRL grubuna yapılan saldırının sorumluluğunu üstlendiler.

16 Mayıs 2023’te hacker grubu, Çin gazetesi China Daily’nin Hong Kong şubesine saldırının sorumluluğunu üstlendiler. Bu, LockBit  hacker grubunun Çin gücüyle bağlantılı bir şirkete ilk saldırısı. Lockbit, Rus gücüne saldırmadığı gibi, Rus gücünün müttefiklerine saldırmaktan da kaçınımaktadır.

Mayıs 2023’te hacker grubu Voyageurs du monde’a yapılan saldırının sorumluluğunu üstlenmiştir. Bilgisayar korsanı grubu, şirketin müşteri dosyalarından yaklaşık 10.000 kimlik belgesi çalmışlardır.

Haziran 2023’te Amerika Birleşik Devletleri Adalet Bakanlığı, bir Rus vatandaşı olan Ruslan Magomedovich Astamirov’a, LockBit fidye yazılımı (ransomware) kampanyasına bağlı kuruluş olarak katıldığı iddiasıyla suç duyurusunda bulundu. Suçlamalar, Astamirov’un kurbanlara karşı en az beş fidye yazılımı (ransomware) saldırısını doğrudan gerçekleştirdiğini ve fidye ödemelerinin bir kısmını bitcoin olarak aldığını iddia edilmektedir.

Haziran 2023’ün sonunda TSMC grubu, tedarikçilerinden biri aracılığıyla yapılan bir ransomware (fidye yazılımı) saldırısının kurbanı oldu. LockBit‘in talep ettiği fidye 70 milyon dolardı.

Temmuz 2023’te Lockbit, ülke ticaretinin %10’unu gerçekleştiren Japonya’nın Nagoya Limanı’na saldırdı. Saldırı konteyner operasyonlarının durdurulmasına neden olmuşlardır.

LockBit operatörleri sıklıkla savunmasız Uzak Masaüstü Protokolü (RDP) sunucularından veya bağlı kuruluşlardan satın alınan güvenliği ihlal edilmiş kimlik bilgilerinden yararlanarak ilk erişimi elde etmektedir. İlk erişim vektörleri aynı zamanda kötü amaçlı yazılımlar veya bağlantılar içeren kimlik avı e-mailleri(E-posta), zayıf RDP veya VPN şifrelerini kaba zorlamayı ve Fortinet VPN’lerindeki CVE-2018-13379 gibi güvenlik açıklarından yararlanmayı da içermektedir.

LockBit ransomware (fidye yazılımı) bir sisteme girdikten sonra genellikle komut satırı argümanları, zamanlanmış görevler veya PowerShell Empire gibi PowerShell komut dosyaları aracılığıyla yürütülmektedir. LockBit, kimlik bilgilerini toplamak, güvenlik ürünlerini devre dışı bırakmak ve Firewallardan kaçmak için Mimikatz, GMER, Process Hacker ve kayıt defteri düzenlemeleri gibi araçları kullanmaktadır. Gelişmiş Bağlantı Noktası Tarayıcısı gibi tarayıcıları kullanarak etki alanı denetleyicileri gibi yüksek değerli hedefleri tanımlamak için ağ bağlantılarını numaralandırır. LockBit 1.0 durumunda, ayrıcalık yükseltmeyi uyguladıktan sonra kötü amaçlı yazılım (Malvare), yerleşik Windows araçlarının yardımıyla bir dizi veri kurtarma istisnasını yürütmek için artık yükseltilmiş bir süreçten yararlanmaktadır. Daha sonra günlükleri temizler ve ardından yazılım, dosya şifreleme işlemini başlatmakta.

Yatay hareket için LockBit, daha önce toplanan kimlik bilgilerini kullanarak ağlar içindeki SMB dosya paylaşım bağlantıları aracılığıyla yayılır. Diğer yatay hareket teknikleri arasında, güvenliği ihlal edilmiş Grup İlkesi nesneleri aracılığıyla dağıtım yapılması veya PsExec veya Cobalt Strike gibi araçların kullanılması yer alır.

LockBit‘in fidye yazılımı yükü, dosyaları ve ağ paylaşımlarını AES ve RSA şifrelemesini kullanarak şifreler. Daha hızlı işlem için her dosyanın yalnızca ilk birkaç KB’sini şifreler ve bir “.lockbit” uzantısı ekler. LockBit ayrıca masaüstü duvar kağıdını bağlı kuruluşları işe alan bir fidye notuyla değiştirmekte. Fidye notlarını bağlı yazıcılara yazdırabilir. Amaç, sistemleri bozmak ve fidye ödemelerini zorla almak için erişimi kısıtlamaktır.