Fidye yazılımı oluşturma süreci, teknik destek hizmeti, basın merkezleri ve reklam kampanyalarıyla bir süre önce bir yeraltı endüstrisine dönüştü. Diğer her endüstride olduğu gibi burada da rekabetçi bir ürün yaratabilmek için sürekli bir iyileştirme süreci gerekiyor. Örneğin LockBit, bir etki alanı denetleyicisi aracılığıyla yerel bilgisayarlara bulaşmayı otomatikleştirme özelliğinin reklamını yapan siber suç gruplarının sonuncusudur.
LockBit, Hizmet Olarak Fidye Yazılımı (RaaS) modeli ile müşterilerine (gerçek saldırganlara) altyapı ve kötü amaçlı yazılım sağlar ve elde edilen fidyeden pay alır. Kurbanın ağına girmek, yüklenicinin sorumluluğundadır. Fidye yazılımının ağ üzerindeki dağıtımında ise LockBit tarafından tasarlanan oldukça ilginç bir teknolojiden yararlanılır.
LockBit 2.0’ın dağıtımı
Bleeping Computer‘ın hazırladığı raporlara göre, saldırganlar ağa erişim sağlayıp etki alanı denetleyicisine ulaştıktan sonra, kötü amaçlı yazılımlarını ağ üzerinde çalıştırıyor ve daha sonra otomatik olarak ağdaki her bir cihaza gönderilen yeni kullanıcı grubu ilkeleri oluşturuyor. İlkeler önce işletim sisteminin yerleşik güvenlik teknolojisini devre dışı bırakıyor. Diğer ilkeler daha sonra tüm Windows makinelerde fidye yazılımı yürütülebilir dosyasını çalıştırmak için zamanlanmış bir görev oluşturuyor.
Bleeping Computer, araştırmacı Vitali Kremez’in söylediği şekilde, fidye yazılımının bilgisayarların listesini almak amacıyla Basit Dizin Erişim Protokolü (LDAP) sorguları gerçekleştirmek için Windows Active Directory API’sini kullandığını belirtiyor. LockBit 2.0 daha sonra Kullanıcı Hesabı Denetimini (UAC) aşıyor ve şifrelenen cihazda herhangi bir uyarı çıkmasına izin vermeden sessiz bir şekilde çalışmaya başlıyor.
Görünüşe göre bu, kitlesel pazarda kötü amaçlı yazılımın kullanıcı grubu ilkeleri aracılığıyla yayılması amacıyla ilk kez kullanılan bir yöntem. Ayrıca LockBit 2.0, fidye mesajını oldukça tuhaf bir şekilde, fidye notunu ağa bağlı tüm yazıcılardan yazdırarak iletiyor.
Şirketimi bu gibi tehditlerden nasıl koruyabilirim?
Bir etki alanı denetleyicisinin gerçek anlamda bir Windows sunucusu olduğunu ve bu nedenle korumaya ihtiyacı olduğunu unutmayın. İçinde işletmelere yönelik uç nokta güvenlik çözümlerimizin çoğunun yer aldığı ve Windows üzerinde çalışan sunucuları en modern tehditlerden koruyan Kaspersky Security for Windows Server, sahip olduğunuz güvenlik önlemlerinizin bir parçası olmalıdır.
Bununla birlikte, fidye yazılımının grup ilkeleri aracılığıyla yayılması, bir saldırının son aşamaya geldiğini gösterir. Kötü amaçlı etkinlik çok daha erken bir zamanda, örneğin saldırganların ağa ilk girdikleri anda veya etki alanı denetleyicisini ele geçirmeye çalıştıklarında ortaya çıkarılmalıdır. Yönetilen Tespit ve Yanıt çözümleri, özellikle bu tür bir saldırıya ilişkin işaretlerin tespit edilmesi konusunda etkilidir.
En önemlisi ise siber suçlular ilk erişim için genellikle sosyal mühendislik tekniklerini ve kimlik avı e-postalarını kullanırlar. Çalışanlarınızın bu tarz yöntemlerle kandırılmasını önlemek için düzenli eğitimler düzenleyerek siber güvenlik farkındalıklarını geliştirin.