LockBit 2.0 fidye yazılımı tarafından kullanılan teknikler
LockBit fidye yazılımından sorumlu olan hacker grubu faaliyetlerinde kısa süreli bir yavaşlamanın ardından, LockBit iyileştirilmiş Payload’lar ve altyapıda yaptığı pek çok değişiklik ile geri döndü. IBM X-Force verilerine göre LockBit’in saldırılarından en çok etkilenen sektörler finans ve üretim. Lockbit 2.0, diğer fidye yazılımlarına göre çok hızlı ve güçlü, kendi kendine yayılma özelliği var. Input/Output Completion Ports (IOCP’ler) tekneliğini kullanmaktadır. LockBit’in temel amacı, herkese açık uygulamalardan yararlanarak RDP – “CVE-2019-0708” gibi etki alanı yöneticisi hesabının erişimini elde etmektir, ardından değerli verilerin ve Active Directory ortamının keşfini yapmaya başlar. Şifreleme işlemi sırasında, etkilenen dosyalar “.lockbit” uzantısıyla eklenir. Örneğin, “1.jpg” gibi bir dosya “1.jpg.lockbit” olarak görünür. Bu işlem tamamlandıktan sonra, masaüstü duvar kağıdında, açılır pencerede (“LockBit_Ransomware. hta”) ve “Restore-My-Files.txt” metin dosyasında fidye notları oluşturulur.
LockBit 2.0 Ransomware, RDP, Kimlik Avı E-postaları ve Driveby indirmeleri ile yayılır. Sistem üzerindeki açık portlar kullanarak şifreleme işlemi yapar. LockBit 2.0 Ransomware, Event Logs ve Shadow Kopyaları silmektedir. Şifreleme sürecinin kesintiye uğramaması için Ransomware’in ikili dosyasını Kayıt Defteri anahtarının içine yerleştirilmiştir. Böylece, eğer kurban şifreleme aşaması henüz bitmemişken bilgisayarı kapatırsa, kurban bilgisayarı yeniden açtığında şifreleme işlemi tekrar başlar. Şifreleme bittiğinde, ise LockBit 2.0 Ransomware kendini siler.
Kaynak: cyberartspro.com