Kaspersky, 2022'de sızdırılan ve LockBit 3.0 builder ile geliştirilen özel fidye yazılımının, Batı Afrika'da Gine-Bissau'da meydana gelen bir olayda kendi kendine yayılarak kimlik taklit yeteneklerini sergilediğini tespit etti.
Şirketten yapılan açıklamaya göre, son zamanlarda yaşanan siber saldırılarda kullanılan LockBit 3.0 tabanlı fidye yazılımının, yasa dışı yollarla elde edilen ayrıcalıklı sistem yöneticisi kimlik bilgilerini kullanarak kurumsal ağlarda kendi kendine yayılabildiği gözlemlendi.
Saldırıda, virüs bulaşmış ana bilgisayarlar üzerinden, virüsün ağın daha geniş bir kısmına yayılması amaçlandı.
Söz konusu saldırıların sadece bölgesel değil, global olarak da tehdit oluşturduğu konusunda uyarıda bulanan Kaspersky tarafından yapılan analize göre, kötü amaçlı yazılım aynı zamanda saldırıyı daha etkili hale getirmeyi amaçlıyor. Saldırganlar, virüsü yalnızca belirli dosya türlerine veya sistemlere bulaşacak şekilde özelleştirebiliyor.
Tehdit aktörü, yasa dışı yollarla elde edilen kimlik bilgilerini kullanarak ayrıcalıklı haklara sahip bir sistem yöneticisinin kimliğine bürünüyor. Bu ayrıcalıklı hesaplar, saldırıyı yürütmek ve kurumsal altyapının en kritik bölgelerine erişim sağlamak için geniş olanaklar sunuyor.
Özelleştirilmiş fidye yazılımı, yüksek ayrıcalıklı etki alanı kimlik bilgilerini kullanarak ağ üzerinde bağımsız bir şekilde yayılabiliyor. Ayrıca, verileri şifrelemek ve izlerini silmek amacıyla Windows Defender'ı devre dışı bırakma, ağ paylaşımlarını şifreleme ve Windows Olay Günlüklerini silme gibi kötü amaçlı faaliyetlerde bulunabiliyor. Bu kötü amaçlı yazılımın davranışı, virüs bulaşan bir ana bilgisayarın, ağdaki diğer ana bilgisayarlara virüsü aktarmaya çalışmasıyla sonuçlanıyor.
Özelleştirilmiş yapılandırma dosyaları sayesinde, kötü amaçlı yazılım, mağdur şirketin özel sistem yapılandırmalarına uyum sağlayabiliyor. Saldırganlar, fidye yazılımını sadece.xlsx ve .docx gibi belirli dosya türlerine veya yalnızca belirli sistemlere bulaşacak şekilde programlayabiliyor.
Kaspersky'nin yaptığı testlerde, bu özel yapılandırılmış yazılım bir sanal makine üzerinde çalıştırıldığında, kötü amaçlı eylemlerin yanı sıra masaüstünde özel bir fidye notu oluşturduğu gözlendi. Söz konusu not, gerçek bir saldırı durumunda, kurbanın şifre çözücüyü nasıl elde edeceği ve saldırganlarla iletişim kurma yöntemleri hakkında bilgi veriyor.
Kaspersky, saldırganların etkilenen sistemlerdeki uzak bağlantılar için kayıtlı parolaları ele geçirmek amacıyla SessionGopher komut dosyasını kullandığını belirledi.
Kendi kendine yayılma ve kimliğe bürünme yeteneği olmayan ancak sızdırılan LockBit 3.0 kurucusuna dayanan diğer saldırılar dünya genelindeki çeşitli sektörlerde ve bölgelerde, özellikle Rusya, Şili ve İtalya'da sıkça meydana gelen olaylarla saldırıların coğrafi yayılımının genişlediğini gösteriyor.
Kaspersky'nin güvenlik ürünleri, bu tehditleri Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen ve Trojan-Ransom.Win32.Generic olarak tanımlıyor, SessionGopher ise HackTool.PowerShell.Agent.l veya HackTool.PowerShell.Agent.ad olarak algılanıyor.
Fidye yazılımı olarak hizmet veren (RaaS) siber suç örgütü, Şubat 2024'te düzenlenen bir operasyonla ele geçirildi ancak örgüt operasyondan kısa bir süre sonra tekrar faaliyete geçtiğini açıkladı.
VERİLERİNİZİ SIK SIK YEDEKLEYİN
Kaspersky, yaptığı analizde fidye yazılımı saldırılarına karşı mücadelede etkinlik sağlamak amacıyla alınması gereken önlemleri de açıkladı.
Kullanıcıların verilerini sık sık yedeklemelerini ve bu yedekleri düzenli olarak test etmelerini tavsiye eden Kaspersky, "Fidye yazılımının kurbanı olduysanız ve henüz bilinen bir şifre çözücü yoksa, kritik şifrelenmiş dosyalarınızı saklayın. Devam eden bir tehdit araştırma çabası sonucunda veya yetkililer tehdidin arkasındaki aktörün kontrolünü ele geçirmeyi başarırsa şifre çözmeye dair bir çözüm ortaya çıkabilir. Yakın zamanda yetkililer LockBit fidye yazılımı grubunu çökertmek için bir operasyon düzenledi. Operasyon sırasında, kolluk kuvvetleri özel şifre çözme anahtarları elde etti ve bilinen kimliklere dayalı olarak dosyaların şifresini çözmek için araçlar hazırladı. check_decryption_id.exe ve check_decrypt.exe gibi bu araçlar, dosyaların kurtarılıp kurtarılamayacağını değerlendirmenize yardımcı olur." değerlendirmesinde bulundu.
ABDULVAHİT GÜRASLAN
