Fidye yazılımı saldırıları, Hizmet Olarak Fidye Yazılımı (RaaS) sağlayıcılarının ortaya çıkmasıyla yeni bir istikamete girmiştir. LockBit de 2019'dan bu yana varlığını sürdüren bir RaaS sağlayıcısıdır. Yıllar içinde, siber güvenlik açısından diğer türden fidye yazılımlarına göre daha büyük sıkıntılara neden olmuştur. Raporlara göre, bu grup 2022'nin ikinci yarısında ve 2023'ün ilk çeyreğinde tüm fidye yazılımı saldırılarının üçte birinden fazlasını oluşturmuştur.

Bu blog'da LockBit fidye yazılımının evrim sürecinden bahsederek LockBit saldırı aşamalarını MITRE ATT&CK çerçevesiyle eşlemenin önemini anlamanıza yardımcı olmayı amaçlamaktayız. MITRE ATT&CK, bir saldırı senaryosunun saldırganın bakış açısından anlaşılmasını sağlayacak bir bilgi tabanı görevi görmektedir. LockBit saldırı aşamalarının MITRE ATT&CK ile eşlenmesi tehdit algılama ve olay yanıtı süreçlerinizin geliştirilmesini sağlar. Saldırganın eylem için izlediği yolda düzeltmeler yaparak büyük bir hasar oluşmasını önlemek üzere önceden harekete geçerek bunlara karşı koymanıza yardımcı olur.

LockBit iş başında

LockBit'i MITRE ATT&CK ile eşlemeden önce, saldırı senaryosunun anlaşılması gerekir. Bu bölümde, bir LockBit saldırısının arka planında neler olup bittiğini anlamanıza yardımcı olmayı amaçlamaktayız.

  • LockBit fidye yazılımında kimlik avı e-postaları, RDP hesaplarına yönelik deneme yanılma saldırıları veya güvenlik açığı bulunan uygulamalarda açıktan faydalanılması yoluyla ağa ilk erişim sağlanır.
  • Daha sonra saldırı hedefinin ağının derinliklerine ulaşır ve yürütme için Windows PowerShell veya SMB protokolünü kullanan güvenlik açığı sonrası araçlarıyla saldırıyı gerçekleştirmek için gereken ortamı hazırlar.
  • Fidye yazılımı yükünün dağıtımını yapar ve ilk ana bilgisayarı enfekte eder. Bu enfekte olmuş ana bilgisayar, enfekte olmuş bir komut dosyasını SMB protokolünü kullanarak güvenlik ihlali bulunan tüm cihazlarla paylaşarak bu yazılımı otomatik olarak birden fazla cihaza yayar.
  • Enfekte cihazlardaki tüm dosyalar şifrelenir ve bu saldırının mağduru olmuş olan cihazlarda bir fidye notu görüntülenir.
  • Dosyaların şifresi yalnızca LockBit'in tescilli şifre çözme aracı yardımıyla çözülebilir.

Geliştirilme süreci

LockBit fidye yazılımında düzenli yükseltmeler yapıldığından, LockBit, en karmaşık fidye yazılımı türlerinden biridir. Şimdi, LockBit'in yıllar içinde nasıl gelişim gösterdiğine göz atalım.

  • ABCD fidye yazılımı: LockBit fidye yazılımının ilk çeşidi Eylül 2019'da sunulmuştur. Bunun ardından, grup bir RaaS sağlayıcısı olarak ün kazanmıştır. Bu fidye yazılımı, fidyeyi kripto para olarak talep ettiğinden, bir kripto virüs alt sınıfı olarak da kabul edilmekteydi. Şifrelenmiş dosyalar .abcd uzantılıydı ve güvenlik ihlali olan cihazlarda dosyaları geri yükleme talimatlarının yer aldığı bir fidye notu görüntülendi.
  • LockBit: Ocak 2020'de RaaS sağlayıcısı, şifrelenmiş dosyalarda kullandığı .lockbit uzantısıyla kendisini tanıttı. Bu sürüm, çoğunlukla bir önceki versiyona benziyordu. Daha sonra fidye yazılımı, kendi kendine yayılmasıyla, yani, enfekte olmuş bir komut dosyasını herhangi bir insan müdahalesi olmadan cihazlar arasında dağıtmasıyla tanınır hale geldi.
  • LockBit 2.0: LockBit Red olarak da bilinen LockBit 2.0, Haziran 2021'de piyasaya sürüldü ve StealBit ile LockBit saldırılarının etkisini en üst düzeye çıkardı. Dahili bir veri hırsızlığı aracı olan StealBit, saldırı mağdurlarını daha yüksek fidyeler ödemeye zorlayacak biçimde iki taraflı şantaj için kullanıldı. Ayrıca, LockBit iştiraklerinden bazıları fidye yazılımı saldırısına ek olarak bir DDoS saldırısı başlatarak üçlü şantajı gerçekleştirdi. Grup ayrıca fidye notunu güncelleyerek, kuruluş içindeki kişileri bir saldırı anlaşmasına davet eden ve toplanan fidyeden pay teklif eden bir reklam ekledi.
  • LockBit Linux-ESXi Locker sürüm 1.0: LockBit'in bu sürümü, Ekim 2021'de Linux ana bilgisayarlarını hedef almak ve birden fazla VM barındıran ESXi sunucularındaki dosyaları şifrelemek amacıyla dağıtıldı. Bu sürüm, veri şifrelemesi için hem Gelişmiş Şifreleme Standardı'nı (AES) hem de eliptik eğri şifrelemesini (ECC) kullandığından karmaşık olarak kabul edildi. AES, bilgileri gizlemek için birden fazla aşama halinde şifreleme yapılmasını içerir ve ECC de diğer şifreleme tekniklerinden daha hızlı olan bir tür açık anahtar şifreleme tekniğidir. AES ve ECC'nin birlikte kullanımı, LockBit saldırısını gerçekleştiren tarafların çalınan verilerde gerçekleştirdiği şifrelemeyi güçlendirdi.
  • LockBit 3.0: Mart 2022'de sunulan ve LockBit Black olarak da bilinen LockBit 3.0, ikili şantaj tekniklerinin geliştirilmiş halinin sunulduğu LockBit 2.0'ın yükseltilmiş bir sürümüydü. Bu türün, ticari bir sızma testi aracı olan Cobalt Strike ile birden fazla cihazda bir kötü amaçlı yazılım bulaşma zinciri oluşturmak üzere Windows Defender'ı kullandığı biliniyordu. Bu türde, Windows Defender'ı atlatarak başka saldırganların enfekte olmuş cihazlardan verileri sızdırabileceği bir yan yükleme yolu oluşturuldu. Bu sürüm, gelişmiş veri şifreleme ve sızdırma yöntemleriyle işletmeleri çok zor durumda bıraktı.
  • LockBit Green: Conti fidye yazılımının kaynak kodunu alan grup, Ocak 2023'te LockBit Green'i yayınladı. Bu fidye yazılımı türü, temel olarak bulut tabanlı hizmetleri hedef almak amacıyla geliştirilmişti. Güvenlik uzmanlarına göre, bu türün kaynak kodu, LockBit'e atıfta bulunmak üzere değiştirilmiş olan fidye notu haricinde, Conti şifreleyicisiyle tamamen aynıydı.
  • macOS'ta LockBit: Nisan 2023'te, RaaS sağlayıcısının macOS'a özel yeni bir fidye yazılımı çeşidiyle yeniden meydana çıktığı bildirildi. Bu, Apple macOS'un çalıştırıldığı cihazlardaki dosyaları şifreleyebilen gelişmiş yapıtlar içeriyordu.

MITRE ATT&CK çerçevesinin önemi

LockBit'i kullanan taraflar, yalnızca kurumsal güvenliği sabote etmek için değil, aynı zamanda başka RaaS sağlayıcılarını alt etmek için de sundukları yazılımları yıkıcı yenilikler yoluyla geliştirmek için sürekli olarak çalışıyor. Dolayısıyla, öyle ya da böyle, fidye yazılımı çeşitlerindeki teknolojik gelişmeler ve RaaS sağlayıcıları arasındaki rekabetin artması, kuruluşların fidye yazılımı saldırılarına yenik düşmesine neden oldu. Saldırganların taktiklerinin, tekniklerinin ve genel bilgilerin yer aldığı gelişmiş bir bilgi tabanı olan MITRE ATT&CK çerçevesi, umutsuz durumdaki kuruluşların bu tür saldırılarla mücadele etmesine yardımcı olur.

LockBit saldırı senaryosunun MITRE ATT&CK ile eşlenmesi

Bu bölümde, LockBit fidye yazılımı tarafından kullanılan en yaygın teknikleri CISA tarafından bildirilen şekliyle ele alacağız. LockBit saldırı taktikleri, Şekil 1'de gösterildiği gibi ilk erişimi, yürütmeyi, sızdırmayı ve etkiyi içerir.

LockBit saldırı aşamalarıŞekil 1: LockBit saldırı aşamaları.

İlk erişim

İlk erişim, saldırganların ağa ulaşmak için izlediği taktiktir. LockBit saldırganları, bir hedefin ağına yetkisiz erişim sağlamak için aşağıdaki tekniklerden faydalanır:

Teknik Açıklama
Harici uzak servisler [T1133] Olağan bir kullanıcı gibi görünen saldırganlar, yönlendirme ile ele geçirdikleri kimlik bilgileriyle dışa dönük uzak servislerden dahili kurumsal ağa bağlanır.
Yanıltıcı güvenlik ihlali [T1189] Saldırganlar, kullanıcıları bir komut dosyasının otomatik olarak yürütüldüğü, güvenlik ihlali olan ya da kötü amaçlı bir web sitesine yönlendirir.
Kimlik Avı [T1566] Saldırganlar, mağdurların cihazlarında kötü amaçlı kodları çalıştırmak üzere kötü amaçlı bağlantılar ve ekler içeren e-postalar kullanarak mağdurların kimlik bilgilerini çalar.

Yürütme

Yürütme, saldırganlar tarafından mağdurun güvenlik ihlali bulunan cihazına bulaştırmak üzere kötü amaçlı komut dosyalarını çalıştırmak için izlediği bir taktiktir. LockBit saldırganlarının yürütme ve bulaştırma sırasında yaygın olarak kullandığı bir teknik:

Teknik Açıklama
Komut ve komut dosyası yazma yorumlama aracı [T1059] Saldırganlar, Windows Komut Kabuğu, PowerShell, Unix kabukları ve AppleScript gibi komut yorumlama araçlarını kullanarak kötü amaçlı komut dosyalarını yürütür.

Sızdırma

Sızdırma, saldırganların mağdurun ağındaki hassas verileri çalmak için izlediği bir taktiktir. LockBit tarafından kullanılan sızdırma teknikleri aşağıda listelenmektedir:

Teknik Açıklama
Otomatik sızdırma [T1020] Saldırganlar, verileri bir komut ve kontrol kanalı üzerinden otomatik olarak aktaran ve bu şekilde verileri sızdırma sürecini kolaylaştıran StealBit gibi dahili veri hırsızlığı araçlarını kullanır.
Web hizmeti üzerinden sızdırma: Bulut depolamasına sızdırma [T1567.002] Saldırganlar, bir komut ve kontrol kanalı kullanmak yerine verileri doğrudan bulut depolamasına iletmek amacıyla Google Docs gibi bulut hizmetleriyle mevcut olan iletişimi kötüye kullanır.

Etki

Etki, saldırganların bir saldırı mağdurunun ağındaki işlemleri bozmak için izlediği kapanış taktiğidir. Aşağıdaki tabloda, LockBit'in bir saldırı mağdurunun ağında etki yaratmak için kullandığı teknikler verilmektedir:

Teknik Açıklama
Etki için şifrelenmiş veriler [T1486] Saldırganlar, şifre çözme anahtarı karşılığında yüklü bir fidye talep etmek üzere kullanıcının dizin ve dosya izinlerini değiştirerek sızdırılan verileri şifreler.
Tahrif: Dahili tahrif [T1491.001] Saldırganlar, kullanıcıları korkutmak ve tehdit etmek amacıyla kullanıcının dahili web sitelerinde ve masaüstü duvar kağıtlarında ödeme talimatlarını da içeren bir fidye notunun görüntülenmesini sağlar.
Hizmet durdurma [T1489] Saldırganlar, sistemlerdeki kritik hizmetleri önleyerek kullanılamaz hale getirir ve mağdurun ağındaki olay yanıtını destekleyen süreçleri engeller.
Sistem kurtarmayı engelleme [T1490] Saldırganlar, veri şifrelemesini tamamlamak üzere yedekleme, gölge kopyalar ve otomatik onarım gibi bozuk sistemlerin kurtarılmasını sağlayan işletim sistemi özelliklerini etkisiz hale getirir.

Saldırganların eylemde izlediği yola bağlı olarak, yukarıdaki taktik ve tekniklere ilaveten MITRE ATT&CK'nin başka taktikleri, teknikleri ve prosedürleri de LockBit saldırı senaryosuyla eşlenebilir. E-kitabımızda MITRE ATT&CK hakkında daha fazla bilgi bulabilirsiniz.

Eşleme iş başında

Şimdi soru şu: Kuruluşlar, MITRE ATT&CK ile eşleyerek LockBit gibi fidye yazılımı saldırılarını nasıl engelleyebilir?

Cevabımız da bu: MITRE ATT&CK çerçevesi için özel, analiz odaklı raporlar sunan ve imza tabanlı saldırıların algılanmasıyla tehdit bilgilerine dayalı savunmayı destekleyen birleşik bir SIEM çözümüne sahip olmaları gerekir. Aşağıdaki Şekillerde, LockBit saldırganlarının izlediği çeşitli taktikler ile ilgili olarak bir SIEM çözümü tarafından oluşturulabilecek olası raporlar gösterilmektedir.

Şekil 2'de, saldırının ilk aşaması olan ilk erişim taktiği hakkında örnek bir rapor sunulmaktadır.

LockBit saldırı aşamalarıŞekil 2: Bir MITRE ATT&CK ilk erişim raporu.

Şekil 3'te, bir SIEM çözümünün yürütme taktiğini izlemek için oluşturabileceği bir rapor gösterilmektedir.

LockBit saldırı aşamalarıŞekil 3: Bir MITRE ATT&CK yürütme raporu.

Şekil 4'te, bir SIEM çözümü tarafından sunulan bir sızdırma taktiği raporu gösterilmektedir.

LockBit saldırı aşamalarıŞekil 4: Bir MITRE ATT&CK sızdırma raporu.

Şekil 5'te son taktik olan etkinin gösterildiği bir rapor verilmektedir.

LockBit saldırı aşamalarıŞekil 5: Bir MITRE ATT&CK etki raporu.

Kuruluşunuzu LockBit gibi fidye yazılımlarına karşı güvenceye almak ister misiniz? Veri güvenliği ve bulut güvenliği özellikleriyle donatılmış kapsamlı bir SIEM çözümü olan ManageEngine Log360'ın kişiselleştirilmiş bir tanıtımını almak için kaydolmak isteyebilirsiniz.

Bir SIEM çözümüne göz atmak ister misiniz?

EN SON İÇERİKLERE ABONE OLUN

En güncel bilgilere sahip olmak istiyorum

İlgili Yazılar

Ana Sayfa »