LockBit 3.0 fidye yazılımı analiz raporu yayınlandı

Bu yılın 24 Mart'ından Nisan ayının ilk haftasına kadar geçen 3 haftalık süre içerisinde, Vietnam siber aleminde finans, menkul kıymetler, enerji, telekomünikasyon gibi önemli alanlarda faaliyet gösteren büyük Vietnam şirketlerine yönelik fidye yazılımı biçiminde art arda hedefli saldırılar kaydedildi. Bu saldırılar, şirketlerin sistemlerinin bir süreliğine askıya alınmasına neden oldu ve sistemleri siber suçlu grupları tarafından hedef alınan birimlerde önemli ekonomik ve itibar kaybına yol açtı.

Yetkililer, son dönemde Vietnam'daki işletmelerin bilgi sistemlerine yönelik saldırıların nedenlerini ve gruplarını analiz edip araştırırken, bu olayların LockBit, BlackCat, Mallox gibi birçok farklı saldırı grubunun 'ürünleri' olduğunu tespit etti. Özellikle, 24 Mart sabahı saat 10:00'da VNDIRECT sistemine yapılan ve Vietnam borsasının ilk 3'ünde yer alan işletmelerin tüm verilerini şifreleyen fidye yazılımı saldırısıyla, yetkililer bu olayın arkasında LockBit 3.0 kötü amaçlı yazılımına sahip LockBit grubunun olduğunu tespit etti.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Ulusal Siber Güvenlik Merkezi, A05 Dairesi ( Kamu Güvenliği Bakanlığı ), Mart 2024'te VNDIRECT menkul kıymetler işletme sistemine yapılan saldırının LockBit 3.0 tarafından gerçekleştirildiğini doğruladı.

LockBit grubu, dünya çapında büyük işletmeleri ve kuruluşları hedef alan birçok fidye yazılımı saldırısı başlattı. Örneğin, 2023'te sırasıyla Haziran ve Ekim aylarında, bu kötü şöhretli fidye yazılımı grubu, Yarı İletken Üretim Şirketi TSMC'ye (Tayvan, Çin) ve Bilişim Teknolojileri Ürünleri ve Hizmetleri Şirketi CDW'ye saldırdı ve Lockbit grubunun işletmelerden 70-80 milyon ABD dolarına kadar fidye talep etti.

Vietnam'daki kurum, kuruluş ve işletmelerin genel olarak fidye yazılımı saldırılarından ve LockBit grubunun saldırılarından kaynaklanan tehlike seviyesini ve riskleri nasıl önleyip en aza indireceklerini daha iyi anlamalarına yardımcı olma arzusuyla, Bilgi Güvenliği Departmanına (Bilgi ve İletişim Bakanlığı) bağlı Ulusal Siber Güvenlik İzleme Merkezi - NCSC, siber uzayla ilgili bilgi kaynaklarını sentezledi ve 'LockBit 3.0 fidye yazılımı hakkında Analiz Raporu'nu yayınladı.

Dünyanın en tehlikeli fidye yazılımı grubu

NCSC tarafından hazırlanan yeni rapor, LockBit fidye yazılımı saldırı grubu hakkında bilgi; Etkin LockBit kümeleri; LockBit 3.0 ile ilgili kaydedilen siber saldırı göstergelerinin listesi; Fidye yazılımı saldırılarından kaynaklanan risklerin nasıl önleneceği ve en aza indirileceği gibi 4 ana içerik sunmaya odaklanıyor.

LockBit'i dünyanın en tehlikeli fidye yazılımı gruplarından biri olarak tanımlayan NCSC raporunda, LockBit'in 2019'daki ilk ortaya çıkışından bu yana çeşitli sektörlerdeki işletmeleri ve kuruluşları hedef alan çok sayıda saldırı gerçekleştirdiği de belirtildi. Grup, "Fidye Yazılımı Hizmeti Olarak (RaaS)" modeliyle faaliyet göstererek, tehdit aktörlerinin fidye yazılımları dağıtmasına ve kârlarını hizmetin arkasındakilerle paylaşmasına olanak tanıyor.

lockbit fidye yazılımı.jpg
Uzmanlara göre LockBit, dünyanın en tehlikeli fidye yazılımı gruplarından biri. İllüstrasyon: Bkav

Özellikle Eylül 2022'de, bu fidye yazılımını geliştirmek için kullanılabilecek bazı isimler de dahil olmak üzere LockBit 3.0'ın kaynak kodu, X platformunda (eski adıyla Twitter) 'ali_qushji' adlı bir kişi tarafından sızdırıldı. Bu sızıntı, uzmanların LockBit 3.0 fidye yazılımı örneğini daha ayrıntılı olarak analiz etmelerine olanak sağladı, ancak o zamandan beri tehdit aktörleri, LockBit 3.0'ın kaynak koduna dayalı yeni fidye yazılımı varyantları dalgası yarattı.

NCSC raporu, TronBit, CriptomanGizmo veya Tina Turner gibi aktif LockBit fidye yazılımı kümelerinin saldırı yöntemlerini analiz etmenin yanı sıra, birimlere LockBit 3.0 ile ilgili kaydedilmiş siber saldırı göstergelerinin bir listesini de sunuyor. Bir NCSC uzmanı , "Ulusal siber uzay portalının alert.khonggianmang.vn sayfasındaki IOC gösterge bilgilerini sürekli olarak güncelleyeceğiz" dedi.

'LockBit 3.0 Fidye Yazılımı Analiz Raporu'nda özellikle önemli bir bölüm olarak değinilen içerik, kurum, kuruluş ve işletmelere fidye yazılımı saldırılarından kaynaklanan riskleri nasıl önleyecekleri ve en aza indirecekleri konusunda rehberlik ediyor. Vietnam'daki birimlere fidye yazılımı saldırılarını önleme ve bunlara müdahale etme konusunda destek sağlamak için önemli notlar, Bilgi Güvenliği Departmanı tarafından 6 Nisan'da yayınlanan 'Fidye yazılımı saldırılarından kaynaklanan riskleri önleme ve en aza indirmeye yönelik bazı önlemlere ilişkin el kitabı'nda yer almış ve NCSC uzmanları tarafından uygulanması önerilmeye devam etmektedir.

W-anti-fidye yazılımı-1.jpg
Sistem ihlallerini erken tespit etmek için sürekli izleme, Bilgi Güvenliği Departmanı'nın kuruluşların fidye yazılımı saldırılarını önlemek için uygulamaya koymasını önerdiği dokuz önlemden biridir. İllüstrasyon fotoğrafı: Khanh Linh

Uzmanlara göre, günümüzde fidye yazılımı saldırıları genellikle bir kurum veya kuruluşun güvenlik zafiyetinden kaynaklanmaktadır. Saldırganlar sisteme sızar, varlığını sürdürür, saldırı kapsamını genişletir, kuruluşun BT altyapısını kontrol eder ve sistemi felç eder; amacı, şifrelenmiş verileri kurtarmak isteyen gerçek mağdur kuruluşları fidye ödemeye zorlamaktır.

VNDIRECT sistemine yönelik saldırının 5 gün önce gerçekleştiği sırada VietNamNet muhabirleriyle paylaşan Bilgi Güvenliği Departmanı temsilcisi, olay müdahale destek faaliyetlerini koordine eden birimin bakış açısından şu yorumu yaptı: Bu olay, Vietnam'daki kuruluşların ve işletmelerin ağ güvenliği ve emniyeti konusunda farkındalığı artırmak için önemli bir derstir.

Bu nedenle, özellikle finans, bankacılık, menkul kıymetler, enerji, telekomünikasyon vb. gibi önemli alanlarda faaliyet gösteren kurum, kuruluş ve işletmelerin, hem mevcut güvenlik sistemlerini hem de profesyonel personellerini acilen ve proaktif bir şekilde gözden geçirip güçlendirmeleri, aynı zamanda olay müdahale planları geliştirmeleri gerekmektedir.

Bilgi Güvenliği Departmanı'ndan bir temsilci , "Kuruluşların, bilgi güvenliği ve ağ güvenliğiyle ilgili olarak çıkarılan yönetmeliklere, gerekliliklere ve yönergelere sıkı sıkıya uyması gerekiyor. Her kuruluşun ve işletmenin kendisini ve müşterilerini olası siber saldırılardan koruması kendi sorumluluğundadır," diye vurguladı.

LockBit fidye yazılımı, şifreli dosya uzantısı ABCD'den esinlenerek ilk olarak biliniyordu ve birkaç ay sonra, ABCD'nin günümüzdeki adı Lockbit olan bir versiyonu ortaya çıktı. Bir yıl sonra grup, hassas verileri çalmak için StealBit adlı bir başka entegre kötü amaçlı yazılım içeren LockBit 2.0 (LockBit Red olarak da bilinir) adlı yükseltilmiş bir sürümünü yayınladı. LockBit 3.0, LockBit Black olarak da bilinir ve yeni özellikler ve gelişmiş saldırı önleme teknikleriyle 2022'de piyasaya sürülen en son sürümdür.
PVOIL sistemi fidye yazılımı saldırısından sonra neden hızlı bir şekilde kurtarılabiliyor?

PVOIL sistemi fidye yazılımı saldırısından sonra neden hızlı bir şekilde kurtarılabiliyor?

Çok büyük olmayan sistem boyutunun yanı sıra, PVOIL'in fidye yazılımı saldırısını hızla düzeltmesi ve birkaç gün içinde operasyonları geri yüklemesi için önemli bir etken de yedek verilerdir.
Fidye yazılımı saldırılarına karşı savunmayı artırmak için bir güvenlik kültürü oluşturmak

Fidye yazılımı saldırılarına karşı savunmayı artırmak için bir güvenlik kültürü oluşturmak

CDNetworks Vietnam'a göre, çalışanlara yönelik eğitime yatırım yaparak, bir güvenlik kültürü oluşturarak ve insan kaynakları ile güvenlik ekipleri arasında iş birliğini teşvik ederek işletmeler, fidye yazılımı saldırıları da dahil olmak üzere siber saldırılara karşı savunmalarını artırabilirler.
Veriler için fidye ödemek, bilgisayar korsanlarını fidye yazılımı saldırılarını artırmaya teşvik edecektir.

Veriler için fidye ödemek, bilgisayar korsanlarını fidye yazılımı saldırılarını artırmaya teşvik edecektir.

Uzmanlar, fidye yazılımı saldırısına uğrayan kuruluşların bilgisayar korsanlarına fidye ödememesi gerektiği konusunda hemfikir. Bu, bilgisayar korsanlarını başka hedeflere saldırmaya veya diğer bilgisayar korsanı gruplarını kendi sistemlerine saldırmaya teşvik edecektir.