LockBit fidye yazılımı saldırıları, hedeflere bulaşmak için çok çeşitli tekniklerin kullanılması ve aynı zamanda uç nokta güvenlik çözümlerini devre dışı bırakmak için adımlar atılmasıyla sürekli olarak gelişmektedir.
Cybereason güvenlik analistleri Loïc Castel ve Gal Romano, “LoïcBit’in hizmetlerini kullanan bağlı kuruluşlar, saldırılarını tercihlerine göre gerçekleştiriyor ve amaçlarına ulaşmak için farklı araçlar ve teknikler kullanıyor.” söz konusu. “Saldırı, öldürme zinciri boyunca ilerledikçe, farklı vakalardan gelen faaliyetler benzer faaliyetlere yaklaşma eğilimindedir.”
Çoğu grup gibi bir hizmet olarak fidye yazılımı (RaaS) modeli üzerinde çalışan LockBit, ilk olarak Eylül 2019’da gözlemlendi ve o zamandan beri Conti, Hive gibi diğer tanınmış grupları geride bırakarak bu yıl en baskın fidye yazılımı türü olarak ortaya çıktı. , ve BlackCat.
Bu, araçlarını ve altyapısını kullanma karşılığında saldırıları gerçekleştiren ve kurbanlardan alınan her başarılı fidye ödemesinin %80’ini kazanan bağlı kuruluşlara erişim lisansı veren kötü amaçlı yazılım yazarlarını içerir.
LockBit ayrıca, hedefin varlıklarını şifrelemeden önce büyük miktarda veriyi sızdırmak için popüler çifte gasp tekniğini kullanır ve Mayıs 2022 itibariyle siber suçlu sendikasını veri sızıntısı sitesinde en az 850 kurbanı netleştirir.
 |
| Saldırı Yaşam Döngüsü – Vaka Çalışması 1 |
 |
| Saldırı Yaşam Döngüsü – Vaka Çalışması 2 |
göre sızıntı sitesi veri analizi Palo Alto Networks Unit 42 tarafından LockBit, 2022’nin ilk çeyreği için fidye yazılımıyla ilgili tüm ihlal olaylarının %46’sını oluşturdu. 44 saldırıyla bağlantılıonu en aktif fidye yazılımı türü yapıyor.
LockBit fidye yazılımı saldırılarının ilk bulaşma için birkaç yol kullandığı bilinmektedir: Herkese açık RDP bağlantı noktalarını kullanmak, kötü amaçlı yükleri indirmek için kimlik avı e-postalarına güvenmek veya bağlı kuruluşların hedeflenen ağa uzaktan erişim elde etmesine izin veren yamalanmamış sunucu kusurlarından yararlanmak.
Bu adımı takiben, aktörlerin ağ üzerinde yanlamasına hareket etmelerini, kalıcılık oluşturmalarını, ayrıcalıkları yükseltmelerini ve fidye yazılımını başlatmalarını sağlayan keşif ve kimlik bilgisi hırsızlığı faaliyetleri gelir. Buna ayrıca, yedeklemeleri silmek ve güvenlik duvarları ve antivirüs yazılımı tarafından algılamayı bozmak için çalışan komutlar eşlik eder.
LockBit’in sahneye çıkmasından bu yana geçen üç yıl içinde, tehdit aktörlerinin LockBit 2.0’ı Haziran 2021’de piyasaya sürmesi ve hizmetin üçüncü taksiti olan LockBit 3.0’ı geçen ay Zcash kripto para ödemesi desteğiyle başlatmasıyla RaaS şeması iki önemli yükseltme aldı. seçenekler ve bir hata ödül programı – bir fidye yazılımı grubu için ilk.
Girişim, web sitesinde ve soyunma yazılımında güvenlik kör noktalarının bulunması, parlak fikirlerin sunulması, çetenin bağlı kuruluş programının başkanının suçlanması veya web sitesini barındıran sunucunun IP’sini açığa çıkarabilecek yöntemlerin belirlenmesi için 1 milyon dolara kadar ödül sunacağını iddia ediyor. TOR ağında.
Hata ödül programı, hacker gruplarının İK departmanları, düzenli özellik yayınları ve hatta zorlu sorunları çözmek için bonuslar içeren meşru BT işletmeleri olarak giderek daha fazla işlev gördüğünün bir başka işaretidir.
Bununla birlikte, göstergeler, LockBit Black olarak da adlandırılan LockBit 3.0’ın, Kasım 2021’de kapatılan DarkSide’ın yeniden markalanmış bir versiyonu olan BlackMatter olarak bilinen başka bir fidye yazılımı ailesinden ilham aldığı yönünde.
Emsisoft araştırmacısı Fabian Wosar, “Kodun büyük bölümleri doğrudan BlackMatter/Darkside’dan kopyalandı” söz konusu Bu hafta başlarında bir tweet’te. “Sanırım LockBit’in kirli ellerini başka bir grubun koduna bulaştırdığı açık.”