Ransomware Trendleri ve Analizler

LockBit 2.0 Ransomware ve Bilmeniz Gerekenler

LockBit Ransomware nedir?

LockBit 2.0 Ransomware, fidye ödemesi karşılığında kullanıcıların bilgisayar sistemlerine erişimini engellemek için tasarlanmış kötü amaçlı bir yazılımdır. LockBit, değerli hedefler için otomatik olarak inceleme yapacak, enfeksiyonu yayacak ve bir ağdaki tüm erişilebilir bilgisayar sistemlerini şifreleyecektir. Bu Ransomware, kuruluşlara ve diğer kuruluşlara yönelik yüksek oranda hedefli saldırılar için kullanılır. Kendi kendini yöneten bir siber saldırı olarak LockBit saldırganları, aşağıdaki tehditlerden bazılarıyla küresel çapta kuruluşları tehdit ederek iz bırakmıştır:

 

  • Temel işlevlerin aniden durmasıyla operasyonların kesintiye uğraması.
  • Saldırganın mali kazancı için gasp.
  • Veri hırsızlığı ve mağdurun fidye ödememesi durumunda şantaj olarak yasa dışı yayın.

LockBit 2.0 Ransomware nasıl çalışır?

LockBit 2.0 Ransomware, birçok otorite tarafından “LockerGoga & MegaCortex” kötü amaçlı yazılım ailesinin bir parçası olarak kabul edilir. Bu basitçe, davranışları bahsedilen yerleşik hedefli Ransomware biçimleriyle aynı özellikleri paylaştığı anlamına gelir. Özetle, bu saldırıların şunlar olduğunu anlıyoruz:

 

  • Manuel yönlendirme gerektirmek yerine bir organizasyon içinde kendi kendine yayılma.
  • Spam kötü amaçlı yazılımlar gibi dağınık bir şekilde yayılmak yerine hedefli bir dağılım sergileme.
  • Windows Powershell ve Sunucu İleti Bloğu (SMB) gibi yayılmak için benzer araçları kullanma.

En önemlisi, kendi kendine yayılma yeteneğidir, yani manuel yönlendirme gerektirmeden, kendi kendine yayılır. LockBit, programlamasında önceden tasarlanmış otomatik süreçler tarafından yönetilir. Bu, onu, keşif ve gözetimi tamamlamak için bazen haftalarca ağda manuel olarak yaşayarak yürütülen diğer birçok Ransomware saldırısından benzersiz kılar.

Saldırgan tek bir ana bilgisayara manuel olarak virüs bulaştırdıktan sonra, diğer erişilebilir ana bilgisayarları bulabilir, onları virüslü olanlara bağlayabilir ve bir komut dosyası kullanarak enfeksiyonu yayabilir. Bu, tamamen insan müdahalesi olmadan tamamlanır ve tekrarlanır.

Ayrıca, neredeyse tüm Windows bilgisayar sistemlerinde yerel olan kalıplardaki araçları kullanır. Uç nokta güvenlik sistemleri, kötü niyetli etkinlikleri işaretlemekte zorlanırlar. Ayrıca, yürütülebilir şifreleme dosyasını ortak. PNG görüntü dosyası biçimi olarak göstererek gizler ve sistem savunmasını daha da aldatır.

https://lh3.googleusercontent.com/zNuyRCPbjXWUkIx2_nUx0GF6VZe4kk41l8zXp5dregqD1OkptOGIFOhUptmW1tSHWSOe5TXkpmff6ZQQBvGewF76DHu37NkcFB7izR1UVeSdLlndQaZT2kLdvzWpDdDJe2Solwpk

Masaüstü duvar kağıdı olarak LockBit 2.0 fidye notu

LockBit 2.0 Enfeksiyon Rutini

Hedeflenen bir şirket ağına ilk erişim için, LockBit çetesi, genellikle geçerli uzak masaüstü protokolü (RDP) hesabı kimlik bilgileri aracılığıyla, hedeflere fiili saldırı gerçekleştiren bağlı kuruluşları ve yardımcıları ele alır. LockBit’in yaratıcıları, amaca yardımcı olmak için ortaklarına, erişim sağlamak ve verileri otomatik olarak sızdırmak için bir araç olan kullanışlı bir StealBit truva atı türü sağlıyor.

StealBit, veri hırsızlığı etkinliklerinin genel verimliliğini en üst düzeye çıkarmak için Microsoft giriş/çıkış (G/Ç) tamamlama bağlantı noktası iş parçacığı modelini uygular. Örneğin, StealBit, genel sızma zaman aralığını kısaltmak için birden çok dosyanın içeriğinin sızdırılmasını paralel hale getirir. Bu, Ransomware operatörleri için önemlidir, çünkü hızlı veri hırsızlığı, saldırı sürecinde keşfedilme şansını azaltır.

https://lh3.googleusercontent.com/J4z7NVmvMrLXzXPFlUvyTGgXkMIeF3qBFbZ1Ehj_U9DS7IFPWfd8evoSOraXWnna3mujcxZXALOOTvmBgM0aNSNOFdNUfcoEOTrHMWKwuby0rInAbZMmY1ErQDuUEGdva_W7Vxoz

Hata Ayıklayıcıda StealBit Truva Atı

 

LockBit 2.0, eklemi olduğu gibi muhafaza etmek için bir dizi araç kullanır. Bir ağ tarayıcısı, ağ yapısının stokunu alır ve hedef etki alanı denetleyicilerini tanımlar. Ayrıca, güvenlik araçlarını sonlandırmak, RDP bağlantılarını etkinleştirmek, Windows Olay günlüklerini temizlemek ve Microsoft Exchange, MySQL ve QuickBooks gibi önemli işlemlerin kullanılamamasını sağlamak gibi çeşitli amaçlar için birden çok toplu iş dosyası kullanır. Ayrıca Microsoft Exchange’i durdurur ve diğer ilgili hizmetleri devre dışı bırakır.

Ancak hepsi bu kadar da değil: “LockBit 2.0, kurban sistemindeki süreçleri ve hizmetleri sonlandırmak için Process Hacker ve PC Hunter gibi meşru araçları da kötüye kullanıyor.”

Bu ilk aşamadan sonra sıra yanal harekete geliyor.

Etki alanı denetleyicisine girdikten sonra, Ransomware yeni grup ilkeleri oluşturur ve bunları ağdaki her cihaza gönderir. Bu ilkeler, Windows Defender’ı devre dışı bırakır ve Ransomware ikili dosyasını her Windows makinesine dağıtır ve yürütür.

Bu ana Ransomware modülü şifrelenmiş her dosyaya “.lockbit” son ekini ekler. Ardından, her şifreli dizine çifte gasp tehdidinde bulunan bir fidye notu bırakır; not kurbanları dosyaların şifreli olduğunu ve fidyeyi ödemezlerse içeriğin herkese açık olarak yayınlanabileceği konusunda uyarır.

LockBit 2.0’ın son adımı, kurbanların masaüstü duvar kağıtlarını, kurbanların fidyeyi nasıl ödeyebileceklerine ilişkin talimatları da içeren bir görselle değiştirmesiyle sonuçlanır.

https://lh3.googleusercontent.com/_dbGhgxmvODszCHlH9ntTWNjDDVZJjUvXEJFeKSLsM0buYgpFYq7m2pOUabF1yqyFdX-qIo3yHYujNjZP97cefilvnqoYXU034pufeylFMaVTuHGi8EBIYYZkYNh3iP45I-NBvGD

LockBit grubu, StealBit’in reklamını yapıyor

Tedarik Zinciri Saldırıları

Tedarik zinciri saldırısı, bir düşman tarafından güvenilir bir kod parçasına Kötü Amaçlı Yazılım bulaştırmak için kullanılan bir saldırı tekniğidir. Kötü amaçlı yazılım, bu güvenilir tedarikçiden müşterilerinin ağına sessizce yayılır; bu, müşteri bu kod parçasını güvenilir bir tedarikçiden (örneğin Kaseya) kullanmışsa, otomatik olarak tüm makinelere bu Kötü Amaçlı Yazılım bulaşmış demektir.

Ransomware grupları, saldırılarının yayılmasını ve etkisini en üst düzeye çıkarmak için Tedarik Zinciri saldırılarından yararlanmaya çalışır:

 

  • REvil adlı Ransomware Grubu, VSA Yazılımını kullanan tüm müşterilerin güvenliğini tehlikeye atan kötü amaçlı bir güncelleme paketi başlatmak için Kaseya VSA uzaktan yönetim hizmetinde CVE-2021-30116’yı kullandı.

 

  • APT41 olarak bilinen Tehdit Grubu, Air India’nın dahili altyapısında Labirent Ransomware yürütmek için bir Tedarik Zinciri saldırısı kullandı.

 

  • DEV-0322 APT grubu, SolarWinds Yazılımında (Temmuz 2021) Serv-U tarafından yönetilen dosya aktarım Yazılımını kullandı. Bu saldırı bir adım daha ileri giderek Clop Ransomware’i dağıttı ve saldırının büyüklüğünü artırdı.

Tedarik Zinciri Saldırılarının çoğu, Üçüncü Taraf Yazılımlarında veya entegrasyonlarındaki bir Güvenlik Açığı nedeniyle bir kuruluşun ağının tehlikeye girdiği Üçüncü Taraf Yazılımlarında meydana geldi. Bu Siber Saldırı eğilimi, Siber Güvenlik bilincine sahip olmayan Ticari veya Açık Kaynaklı Yazılım sahiplerinde yaygın olarak görülür.

 

  • Colonial Pipeline saldırısı sırasında DarkSide Ransomware grubu, Üçüncü Taraf VPN Ağlarındaki Güvenlik Açıkları dizisini kötüye kullandı.

 

  • Java günlük kitaplıklarındaki Log4Shell Güvenlik Açığı, artık halka açık yüzlerce ürünü saldırganlara karşı savunmasız hale getirdi. Conti TellYouThePass, Khonsari ve daha pek çoğu gibi Ransomware grupları şimdi bu güvenlik açığını sömürmeye çalışıyor.

 

  • Büyük bir tedarik zinciri saldırısı, bir arka kapı içerecek şekilde 93 WordPress teması ve eklentisini tehlikeye attı ve tehdit aktörlerine web sitelerine tam erişim sağladı. Toplamda, tehdit aktörleri 360.000’den fazla aktif web sitesinde kullanılan bir WordPress eklentisi geliştiricisi olan AccessPress’e ait 40 tema ve 53 eklentiyi riske attı.

Saldırı Vektör Trendleri

Genel olarak Siber saldırılar, İlk Erişim ile başlar ve yavaş yavaş Ransomware Saldırısına dönüşür. Geçen yıl boyunca, Saldırı Teknikleri ve Taktikleri üzerine yaptığımız çalışma, Tehdit Aktörlerinin saldırı kapsamlarını ve karmaşıklıklarını arttırdıklarını gösterdi.

Kırmızı Ekip Araçları: Siber suçlular, açık kaynak kırmızı ekip oluşturma araçlarını benimseyerek etki düzeylerini artırdı. Klasik örneklerden biri, Cobalt Strike’ın saldırganlar için bir numaralı araç haline gelmesidir.

ETW Saldırıları: Windows için Olay İzleme (ETW) günlüğe kaydetme mekanizmasını kullanan atlama teknikleri, güvenlik ürünlerini atlatabilir ve siber saldırılar başlatabilir. İnternet Paylaşım Servisleri: Kullanıcıların internet bant genişliğinin belirli bir yüzdesini diğer cihazlar için ayırmasına izin veren proxy yazılım platformları, tehdit aktörlerinin saldırılarının kaynağını gizlemesine ve IP tabanlı güvenlik kontrollerini etkisiz hale getirmesine izin verebilir.

Linux Varyantları: DarkSide’dan REvil’e kadar birçok Ransomware grubu, saldırı yeteneklerini genişletmek için artık kodlarına Go ve Rust gibi diğer dillerdeki bir Linux varyantını ekliyor.

Uzak Masaüstü Protokolü: Saldırganlar, Uzak Masaüstü Protokolü’nden (RDP) veya bunun ağda nasıl dağıtıldığına ilişkin bir zayıflıktan yararlanabilir. RDP, bir sistemi uzaktan kontrol etmek için kullanılır. Güvenlik açığını ele geçiren bir saldırgan sistem üzerinde tam kontrole sahip olur. Microsoft’un Uzak Masaüstü Protokolündeki kritik bir güvenlik açığı olan CVE-2019-0708, iki Ransomware ,şe ilişkilendirmesine sahiptir: DoppelPaymer ve Redkeeper.

Sanal Özel Ağlar: Çalışanların bir şirketin ağına uzaktan eriştiği Sanal Özel Ağlar (VPN’ler), ağ sızması için erişim noktası görevi gören güvenlik açıklarına sahip olabilir.

Bu sofistike saldırı vektörlerini Infalcon Adversary Emulation adlı ürünümüzle test edebiliriz, Infalcon Adversary Emulation alıştırmaları aracılığıyla organizasyonun şunları yapması mümkündür:

 

  • Öldürme zincirinin her aşamasında savunma olayı müdahale süreçlerinde bulunan iyileştirme alanlarını belirler.

 

  • Hedefli bir saldırıyı nasıl tespit edip engelleyeceğiniz konusunda kuruluşun uygulamalı deneyimini oluşturur.

 

  • Ortamı optimize çalışma durumuna döndürmek için müdahale ve azaltma faaliyetleri geliştirmeniz gerektiğini gösterir.

 

  • Hedefli saldırıları tespit etmek ve kesinti süresini iyileştirmek için ağ güvenliğini güçlendirir.

 

  • Mevcut güvenlik ürünlerindeki yanlış yapılandırmaları ve kapsam boşluklarını belirler.

Dikkat Edilmesi Gereken Eğilimler

Aktif araştırmamızda bazı ilginç eğilimler belirledik; bu başlık altında, 2022’de sorun olabileceğini düşündüğümüz eğilimleri vurguluyoruz.

 

  • NPM paketleri (JavaScript kitaplığı) gibi yazılım kodu kitaplıklarındaki güvenlik açıklarında zaten bir artış görüyor olsak da, Ransomwareı gruplarının er ya da geç bunların peşine düşmeye başlayacağına inanıyoruz.

 

  • APT gruplarının uygulama programlama arayüzlerinin (API’ler) peşine düştüğünü gözlemledik. Ransomwareı gruplarının, güvenliği ihlal edilmiş API’lerin saldırganlar için bir adım daha kolay hale getirmesi ve kuruluşların verilerini korumasını çok daha zor hale getirmesi nedeniyle bunu takip etmek için uzun süre beklemeyeceğine inanıyoruz . Koddaki yanlış yapılandırma, gözden kaçan bir açıdan birincil saldırı vektörlerinden birine dönüşecektir.

 

  • Log4Shell Güvenlik Açığı’nın nasıl şekillendiğine bakarak bu eğilimi şimdiden görebiliyoruz. Her geçen gün, daha yeni CVE’ler, önceki sorunları düzeltmek için yayınlanan sürümler aracılığıyla koddaki yanlış yapılandırmayla ilişkilendirilir.

 

Ransomware Veri Sızıntıları

Ransomware araştırmamızın bir parçası olarak, Ransomware Grupları tarafından sızdırılan verileri anlamak için Dark Web’den Tehdit İstihbaratı da topluyoruz. Yalnızca 2021’de birleştirilen 35 Ransomware grubu tarafından çeşitli sızıntı sitelerinde yayınlanan toplam 1285 kurban ve verileri belirledik.

Ransomware grupları, fidye parasını ödemek istemeyen şirketlere karşı bunu bir taktik olarak kullanır. Saldırganlar genellikle Veri Sızdırma Kötü Amaçlı Yazılım Aracını kullanırlar (LockBit 2.0 adlı Ransomware gruplarının StealBit adlı bir araca sahip olması gibi), bu nedenle Adversary Emulation, bu gibi bir saldırı türüne karşı riski belirlemek için çok önemlidir.

Aşağıda tüm Ransomware “sızdıran sitelerin” bir listesi bulunmaktadır. Bu sitelerin hiçbirine bağlantı vermeyeceğiz ve geçmiş veya şimdiki kurbanları listelemeyeceğiz. Bu listeler yalnızca, kurban şirketlere, aşağıda listelenen Ransomware türlerinden herhangi birinin bulaşması durumunda, olayı, verilerin sızdırıldığı ve üçüncü bir tarafın eline geçtiği klasik bir veri ihlali olarak ele almaları gerektiğini bildirmek amacıyla oluşturulmuştur.

LOCKBIT 2. 0:

https://lh3.googleusercontent.com/KIZdXG9_EwbZuTxpUjpiuk60IHdEC2KjRKhz0SOALwzAsIP-6zjA1QI5jY5R2y9vreIIkKnw6HJcnphc4IKRwzchWqf60x3p8Q6L7ZoejomCPQLy6-PkMDmtSuxQQ1DCToJnZDuw

DARKSIDE

https://lh6.googleusercontent.com/hs_qZ-k5lH1pwVFsuS4psXt0EyxcyjM_b_o1msF0eNVNka421V6z920ZC8tO9X1jWve8ZybayNtqwhuGVlArV-4PnEs4CMVO9wIrTvVclO0DYNlsyCTc32fNCOuCHtZxAO8_0AxJ

CONTI

https://lh4.googleusercontent.com/Ww4EzXi816cOy4hJsK1F4JTYz4ZFcH14SeE4yMIuiJ-CndBmPkstVLQOjTmaGbc21qbd9Pu2rBr8RC44WEJtaQTrsPIMzuklGovMhzAqCfkGXpZKJnDyzE0e6XNWxq_wBO5JW1su

Ransomware’e Karşı Nasıl Korunabilirim?

Bu sorunun çok hızlı bir cevabı yok ama tehdit aktörlerine karşı saldırıları önlemek için bir ortak önlemler listesi hazırladık. Siber güvenlik, profesyoneller tarafından yapılması gereken sürekli bir ekip çalışmasıdır ve savunucuların tehdit aktörlerinden bir adım ötede olması gerektiğini başarmak için, InfinitumLabs her zaman çalışır.

Ransomwarelarına ve diğer Tehdit Gruplarına yönelik saldırıları önlemek için ortak önlemler:

  • Tüm verilerin düzenli, çevrimdışı ve şifreli olarak saklanması sağlanmalıdır. Bu yedeklere, orijinal verilerin bulunduğu herhangi bir sistemden, değiştirilmek veya silinmek üzere erişilemediğinden emin olunmalıdır.

 

  • Ağınızdaki tüm makinelere diğer tüm makinelerden erişilemeyecek şekilde ağ segmentasyonu uygulanması gereklidir.

 

  • Tüm ana bilgisayarlara virüsten koruma yazılımı yüklenmeli ve düzenli olarak güncellenmelidir. Ayrıca gerçek zamanlı algılamayı etkinleştirmek oldukça büyük önem arz eder.

 

  • Güncellemeler/yamalar yayınlanır yayınlanmaz işletim sistemleri, yazılımlar ve donanımsal yazılımlar güncellenmelidir.

 

  • Yeni veya tanınmayan kullanıcı hesapları için etki alanı denetleyicileri, sunucular, iş istasyonları ve etkin dizinleri incelenmelidir.

 

  • Yönetici ayrıcalıklarına sahip kullanıcı hesapları denetlenmeli ve erişim denetimleri en az ayrıcalık göz önünde bulundurularak yapılandırılmalıdır. Tüm kullanıcılara yönetici ayrıcalıkları verilmemelidir.

 

  • Kullanılmayan Uzaktan Erişim/Uzak Masaüstü Protokolü (RDP) bağlantı noktaları devre dışı bırakılmalı ve herhangi bir olağandışı etkinlik için Uzaktan Erişim/RDP günlüklerini izlenmelidir.

 

  • Kuruluş dışından alınan e-postalara bir e-posta başlığı eklenmesi düşünülmelidir.

 

  • Gelen e-postalardaki köprüler devre dışı bırakılmalıdır.

 

  • Kullanıcı hesabı ile giriş sırasında veya hizmetlerde oturum açarken çift kimlik doğrulaması kullanılmalıdır.

 

  • Tüm hesaplar için rutin denetim yapıldığından emin olunmalıdır.

 

  • Sürekli izleme ve saldırganlara karşı uyarılar için tanımlanan tüm IOC’lerin ağ SIEM’ine girildiğinden emin olunmalıdır.