Lockbit 2.0 Ransomware

CagedTech'de Ransomware'de

Çevir:

LockBit Fidye Yazılımı, Eylül 2019'da bir RaaS (Hizmet Olarak Fidye Yazılımı) şemasında sunulduğunda kötü amaçlı yazılım ortamında ortaya çıktı. Tehdidin operatörleri, gerçek fidye yazılımı saldırılarını gerçekleştirecek ve daha sonra karı bölüşecek olan bağlı kuruluşlar arıyordu - bağlı kuruluşlar fonların yaklaşık %70-80'ini toplayacak, geri kalanı LockBit yaratıcılarına verilecekti.

Operasyon, lansmanından bu yana oldukça aktif kaldı ve tehdidin arkasındaki grubun temsilcileri, hacker forumlarında varlığını sürdürüyor. Önde gelen birkaç forum, kendilerini fidye yazılımı planlarından uzaklaştırmaya ve bu tür konuların tartışılmasını yasaklamaya karar verdiğinde, LockBit yeni oluşturulan bir veri sızıntısı sitesine geçti. Orada, siber suçlular, tehdit edici yaratımlarının bir sonraki sürümünü - aynı zamanda RaaS olarak sunulacak olan LockBit 2.0'ı ortaya çıkardılar. 2.0 sürümü, bilgisayar korsanlarının daha önce diğer fidye yazılımı ailelerinde ortaya çıkan birden fazla özelliği bir araya getirmesiyle büyük ölçüde genişletilmiş zararlı yeteneklere sahiptir. Bunun da ötesinde, tehdit, Windows etki alanlarını otomatik olarak şifrelemek için grup ilkelerini kötüye kullanmasına izin veren daha önce hiç görülmemiş bir teknikle donatılmıştır.

LockBit 2.0'ın Yeni Teknikleri Sergileniyor

LockBit 2.0 hala fidye yazılımıdır ve bu nedenle amacı, orada depolanan verileri şifrelemeden ve bir fidye talep etmeden önce, ihlal edilen ağa mümkün olduğunca çok sayıda cihaza bulaştırmaktır. Ancak, bu işlemlerde standart uygulama olan üçüncü taraf açık kaynak araçlarına güvenmek yerine LockBit 2.0, dağıtımını ve anti-güvenlik önlemlerini otomatikleştirdi. Yürütülmesinin ardından tehdit, etki alanı denetleyicisinde, daha sonra güvenliği ihlal edilmiş ağa bağlı tüm makinelere teslim edilen birkaç yeni grup ilkesi oluşturacaktır. Bu ilkeler aracılığıyla, kötü amaçlı yazılım, Microsoft Defender'ın gerçek koruma özelliğinin yanı sıra uyarıları, varsayılan eylemleri ve istenmeyen bir davetsiz misafir algılandığında genellikle Microsoft'a gönderilen örnekleri devre dışı bırakabilir. Ayrıca yürütülebilir dosyasını başlatmak için zamanlanmış bir görev oluşturur.

İşlemin bir sonraki adımı, LockBit 2.0'ın yürütülebilir dosyasının algılanan her aygıtın Masaüstüne kopyalandığını görür. Önceden oluşturulmuş zamanlanmış görev, bir UAC (Kullanıcı Hesabı Denetimi) atlama uygulayarak başlatacaktır. Bu yöntem, LockBit 2.0'ın, kullanıcının dikkatini çekebilecek herhangi bir uyarıyı tetiklemeden, kendi programlamasında gizlice ilerlemesini sağlar.

Şifreleme işlemi tamamlandığında LockBit 2.0, daha önce Egregor Ransomware tehditlerinin bir parçası olarak gözlemlenen bir özelliği etkinleştirir. Ağa bağlı tüm yazıcıları tehdidin fidye notunu durmadan yaymaya zorlamayı içerir.