Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Fidye yazılımı LockBit 5.0 Fidye Yazılımı

LockBit 5.0 Fidye Yazılımı

Mezo'de Fidye yazılımı'de
Çevir:

Fidye yazılımları, hem bireylerin hem de kuruluşların karşı karşıya olduğu en ciddi dijital tehditlerden biri olmaya devam ediyor. Modern versiyonları yalnızca dosyaları şifrelemek için değil, aynı zamanda hassas bilgileri sızdırmak ve mağdurları büyük miktarda para ödemeye zorlamak için de tasarlanmıştır. Günümüzün gelişen tehdit ortamında tetikte olmak, güçlü bir siber hijyen sağlamak ve çok katmanlı savunma sistemleri uygulamak kritik öneme sahiptir. Bu alandaki en tehlikeli son gelişmelerden biri LockBit 5.0 Fidye Yazılımı'dır.

LockBit 5.0: Cilalı ve Güçlü Bir Varyant

LockBit 5.0, LockBit fidye yazılımı ailesinin en son sürümüdür ve doğrudan LockBit 4.0 kod tabanına dayanırken, tespit edilmesini ve azaltılmasını zorlaştıran iyileştirmeler sunar. Çalıştırıldığında, sistem genelindeki dosyaları şifreler ve her dosya adına benzersiz, rastgele 16 karakterlik bir uzantı ekler. Örneğin, '1.png' adlı bir dosya '1.png.db9785905a3cad2c' olur. Şifrelemenin yanı sıra, etkilenen dizinlere 'ReadMeForDecrypt.txt' başlıklı bir fidye notu bırakır.

Fidye notu, mağdurlara dosya ve verilerinin ele geçirildiğini bildiriyor. Genellikle Tor üzerinden iletişim yoluyla kripto para birimiyle ödeme talep ediyor ve ödeme yapılmadığı takdirde çalınan bilgilerin sızdırılacağı konusunda uyarıyor. Mağdurların yetkililerle iletişime geçmemeleri tavsiye edilirken, saldırganlar korku ve acil durum hissi uyandırmaya çalışıyor.

Gelişmiş Yetenekler ve Taktikler

LockBit 5.0, fidye yazılımı geliştiricilerinin olgunluğunu gösteren teknik geliştirmeler içeriyor:

Ortaklar için özelleştirme : Fidye yazılımının Windows sürümü, ortakların şifreleme yöntemlerini ve hedeflerini seçmesine olanak tanıyan daha temiz ve daha esnek bir arayüz sunuyor.

Anti-analiz teknikleri : Kötü amaçlı yazılım araştırmalarını engellemek için bazı Windows izleme özelliklerini devre dışı bırakır.

Platformlar arası hedefleme : Windows'un ötesinde, LockBit 5.0, tüm sanallaştırılmış ortamları şifreleyebilen tehlikeli Linux ve VMware ESXi varyantlarını da içeriyor.

Seçici kaçınma : Coğrafi konum kontrolleri yaparak Rusya veya ilgili bölgelerde bulunan sistemlerden kaçınır.

Büyük bir sürüm olarak sunulmasına rağmen LockBit 5.0, karma algoritmaları ve dinamik API çözümlemesi gibi LockBit 4.0 kodunun önemli bölümlerini yeniden kullanıyor ve bu da onu artımlı ancak tehlikeli bir yükseltme haline getiriyor.

Dağıtım Vektörleri: LockBit 5.0 Nasıl Yayılır?

LockBit operatörleri, erişimi en üst düzeye çıkarmak için çeşitli bulaştırma yöntemlerine güvenir. Fidye yazılımı genellikle şu yollarla yayılır:

  • Meşru belgeler gibi görünen kötü amaçlı e-posta ekleri veya bağlantıları.
  • Sahte teknik destek portalları da dahil olmak üzere sahte veya güvenliği ihlal edilmiş web siteleri.
  • Yama uygulanmamış yazılım açıklarının istismar edilmesi.
  • Kötü amaçlı reklam kampanyaları, korsan yazılımlar ve yasadışı anahtar üreteçleri.
  • Eşler arası ağlar, üçüncü taraf indiriciler ve doğrulanmamış uygulama mağazaları.

Bu çok yönlü yaklaşım, saldırganların hem bireyleri hem de kurumsal sistemleri hedef almasına olanak tanıyarak yaygın hasar olasılığını artırıyor.

Fidye Yazılımlarına Karşı Savunmanızı Güçlendirme

LockBit 5.0 gibi karmaşık fidye yazılımlarına karşı savunma, proaktif ve katmanlı güvenlik önlemleri gerektirir. Kullanıcılar ve kuruluşlar, teknik güvenlik önlemleri ve güvenli tarama uygulamalarının bir karışımını benimsemelidir. En etkili stratejilerden bazıları şunlardır:

Sistemleri güncel tutun : Sömürülebilir güvenlik açıklarını kapatmak için işletim sistemi ve yazılım yamalarını derhal uygulayın.

Güçlü uç nokta koruması kullanın : Gelişmiş tehditleri tespit edebilen saygın antivirüs ve uç nokta algılama çözümlerini kullanın.

Güvenli e-posta ve web kullanımı uygulayın : Doğrulanmamış kaynaklardan gelen istenmeyen eklere, bağlantılara ve indirmelere karşı dikkatli olun.

Çevrimdışı yedeklemeleri koruyun : Kritik dosyaları fidye ödemeden kurtarmayı garantilemek için güvenli, çevrimdışı konumlarda saklayın.

En az ayrıcalıklı erişimi uygulayın : Kullanıcı izinlerini sınırlayın ve olası fidye yazılımı salgınlarını engellemek için ağları segmentlere ayırın.

Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin : Hesapların çalınan kimlik bilgileri aracılığıyla tehlikeye atılmasını önleyin.

Kullanıcıları düzenli olarak eğitin : Personelin ve bireylerin kimlik avı ve sosyal mühendislik girişimlerini tanıyabilmeleri için eğitilmesi çok önemlidir.

Son Düşünceler

LockBit 5.0, fidye yazılımı gruplarının maksimum etki için araçlarını sürekli olarak nasıl geliştirdiğini gözler önüne seriyor. Tüm ortamları şifreleme, analizden kaçınma ve kurbanlar üzerinde psikolojik baskı oluşturma yeteneği, onu özellikle yıkıcı bir tehdit haline getiriyor. En güvenilir savunma yöntemi, güncel teknoloji, dayanıklı yedekleme stratejileri ve kullanıcı farkındalığını bir araya getiren önlemedir. Bu katmanlı güvenlik önlemlerini uygulayarak, kullanıcılar ve kuruluşlar yıkıcı fidye yazılımı saldırılarına maruz kalma olasılıklarını önemli ölçüde azaltır.

System Messages

The following system messages may be associated with LockBit 5.0 Fidye Yazılımı:

~~~ You have been attacked by LockBit 5.0 - the fastest, most stable and immortal ransomware since 2019 ~~~~

>>>>> You must pay us.

Tor Browser link where the stolen infortmation will be published:
-
>>>>> What is the guarantee that we won't scam you?
We are the oldest extortion gang on the planet and nothing is more important to us than our reputation. We are not a politically motivated group and want nothing but financial rewards for our work. If we defraud even one client, other clients will not pay us. In 5 years, not a single client has been left dissatisfied after making a deal with us. If you pay the ransom, we will fulfill all the terms we agreed upon during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators' salaries. You can get more information about us on wikipedia hxxps://en.wikipedia.org/wiki/LockBit

>>>>> Warning! Do not delete or modify encrypted files, it will lead to irreversible problems with decryption of files!

>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you. They will forbid you from paying the ransom and will not help you in any way, you will be left with encrypted files and your business will die.

>>>>> When buying bitcoin, do not tell anyone the true purpose of the purchase. Some brokers, especially in the US, do not allow you to buy bitcoin to pay ransom. Communicate any other reason for the purchase, such as: personal investment in cryptocurrency, bitcoin as a gift, paying to buy assets for your business using bitcoin, cryptocurrency payment for consulting services, cryptocurrency payment for any other services, cryptocurrency donations, cryptocurrency donations for Donald Trump to win the election, buying bitcoin to participate in ICO and buy other cryptocurrencies, buying cryptocurrencies to leave an inheritance for your children, or any other purpose for buying cryptocurrency. Also you can use adequate cryptocurrency brokers who do not ask questions for what you buy cryptocurrency.

>>>>> After buying cryptocurrency from a broker, store the cryptocurrency on a cold wallet, such as https://electrum.org/ or any other cold cryptocurrency wallet, more details on https://bitcoin.org By paying the ransom from your personal cold cryptocurrency wallet, you will avoid any problems from regulators, police and brokers.

>>>>> Don't be afraid of any legal consequences, you were very scared, that's why you followed all our instructions, it's not your fault if you are very scared. Not a single company that paid us has had issues. Any excuses are just for insurance company to not pay on their obligation.

>>>>> You need to contact us via TOR sites with your personal ID

Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.

Tor Browser link for chat with us:
-
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal identifier to communicate with us ID: - <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>>>> Advertising:
Want a lamborghini, a ferrari and lots of titty girls? Sign up and start your pentester billionaire journey in 5 minutes with us.
-
After registration, you will receive the most flawless and reliable tools for encrypting almost all operating systems on the planet and a platform for negotiating with attacked companies.

Version: ChuongDong v1.01 | x64

Technical Analysis of LockBit 5.0

The LockBit 5.0 Windows version was found to have a better user interface with clean formatting for affiliates compared to previous versions.

It describes various options and settings for executing the ransomware, including basic options like specifying directories to encrypt or bypass, operation modes such as invisible mode and verbose mode, notes settings, encryption settings, filtering options and examples of usage.

"The detailed commands and parameters illustrate the flexibility and customization available to the attacker," the researchers commented.

Upon execution, the ransomware generates its signature ransom note and directs victims to a dedicated leak site. The infrastructure maintains LockBit's established victim interaction model, featuring a streamlined "Chat with Support" section for ransom negotiations.

Notably, the variant adds randomized 16-character file extensions to files following encryption, further complicating recovery. LockBit 5.0 also omits traditional markers at file endings, making analysis harder.

The malware deploys other anti-forensic techniques. This includes patching the EtwEventWrite API by overwriting it with a 0xC3 (return) instruction, disabling Windows Event Tracing capabilities.

As with previous LockBit versions, the new iteration uses geolocation checks, terminating execution when detecting Russian language settings or Russian geolocation.

The features observed in the Windows version were similar to those in the Linux and ESXi variants analyzed.

The ESXi variant specifically targets VMware virtualization infrastructure, which the researchers said represents a "critical escalation" in LockBit's capabilities.

This is because ESXi servers typically host multiple virtual machines, allowing attackers to encrypt entire virtualized environments with a single payload execution.

trend

En çok görüntülenen

Yükleniyor...