Trend Micro, Birleşik Krallık Ulusal Suç Ajansı (NCA) ile işbirliği içinde LockBit şifreleyicinin geliştirilmekte olan ve yayınlanmamış sürümünü analiz ederek tüm ürün yelpazesini gelecekte siber suçlular için kullanılamaz hale getirdi.
Bir suç grubu olarak LockBit, yenilik yapması ve yeni şeyler denemesiyle biliniyordu. Bu yenilikçi gelişme sırasında LockBit, v1 sürümünden (Ocak 2020) LockBit 2.0'a (Haziran 2021'den itibaren "Kırmızı" lakaplı) ve LockBit 3.0'a ("Siyah", Mart 2022'den itibaren) kadar fidye yazılımının çeşitli sürümlerini yayınladı. Ekim 2021'de tehdit aktörü Linux'u tanıttı. Son olarak, Ocak 2023'te, artık kullanılmayan Conti fidye yazılımından alındığı anlaşılan kodu içeren geçici bir "Yeşil" sürümü ortaya çıktı. Ancak bu sürüm yeni bir sürüm 4.0 değildi.
Son zorluklar ve düşüş
Son zamanlarda grup, önde gelen RaaS sağlayıcılarından biri olarak konumunu ve itibarını tehdit eden hem dahili hem de harici sorunlarla mücadele ediyor. Bunlar arasında kurbanlardan gelen sahte gönderiler ve fidye yazılımı operasyonlarındaki dengesiz altyapı da yer alıyor. İddia edilen yayınlarda eksik indirme dosyaları ve ortaklara yönelik yeni kurallar da grubun ilişkilerini daha da gerginleştirdi. Rakip gruplardan ortak bulma girişimleri ve yeni LockBit sürümünün çok gecikmiş bir şekilde piyasaya sürülmesi de grubun çekiciliğini kaybettiğini gösteriyor.
LockBit 4.0 ele geçirildi
Yakın zamanda, LockBit'in önceki sürümlerden farklı, platformdan bağımsız bir kötü amaçlı yazılımın geliştirilmekte olan bir sürümü olduğuna inandığımız bir örneğini analiz edebildik. Örnek, şifrelenmiş dosyalara, yapılandırmanın bir parçası olan ve bu nedenle yine de değiştirilebilen "locked_for_LockBit" son ekini ekler. Mevcut geliştirme durumu nedeniyle, grubun kesinlikle üzerinde çalıştığı LockBit 4.0'ın temelini oluşturabileceğine inandığımız bu değişkene LockBit-NG-Dev adını verdik.
Temel değişiklikler aşağıdakileri içerir:
- LockBit-NG-Dev .NET'te yazılmış ve CoreRT ile derlenmiştir. Kod .NET ortamı ile birlikte kullanıldığında platform bağımsızdır.
- Bu dile geçiş nedeniyle kod tabanı tamamen yenidir; bu da onu tespit etmek için muhtemelen yeni güvenlik modellerinin oluşturulması gerekeceği anlamına gelir.
- V2 (Kırmızı) ve v3 (Siyah) ile karşılaştırıldığında daha az özelliğe sahip olmasına rağmen, geliştirme devam ettikçe bunların eklenmesi muhtemeldir. Bu haliyle hala işlevsel ve güçlü bir fidye yazılımıdır.
- Kullanıcının yazıcıları aracılığıyla fidye notlarını kendi kendine dağıtma ve yazdırma yeteneği kaldırıldı.
- Uygulamanın artık geçerli tarihi kontrol ederek bir geçerlilik süresi var; bu, muhtemelen operatörlerin bağlı kuruluş kullanımı üzerinde kontrol sahibi olmalarına yardımcı olacak ve güvenlik şirketlerinin otomatik analiz sistemlerinin işini zorlaştıracak.
- V3'e (Black) benzer şekilde, bu sürüm hala rutinler için bayraklar, sonlandırılacak işlemlerin ve hizmet adlarının bir listesini ve kaçınılması gereken dosya ve dizinleri içeren bir yapılandırmaya sahiptir.
- Ek olarak, şifrelenmiş dosyaların dosya adları yine de rastgele bir adla yeniden adlandırılabilir.
Trend Micro ayrıca İngilizce blog makalesinde LockBit-NG-Dev'in ayrıntılı teknik analizini çevrimiçi olarak sunmaktadır.
TrendMicro.com'da daha fazlası
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.