LockBit ransomware yoluxmuş kompüterlərdəki faylları şifrələyən kiberhücum növüdür və hücumçular deşifrə açarları qarşılığında fidyə tələb edirlər. Əvvəllər “ABCD ransomware” adı ilə tanınan LockBit, ən azı 2020-ci ilin yanvar ayından etibarən aktivdir. LockBit-i inkişaf etdirən kiber cinayətkarlar onu Ransomware as a Service (RaaS) modeli ilə təklif edir, yəni tərəfdaşlar bu zərərli proqramdan istifadə edərək hücumlar həyata keçirir və fidyə gəlirinin bir hissəsini təşkilata ötürürlər.
LockBit 2022-ci ildə dünyada ən geniş yayılmış ransomware olmuşdur və 2024-cü ilə qədər 2.000-dən çox qurbanı olmuş, 120 milyon ABŞ dollarından çox fidyə toplamışdır. LockBit əməliyyatları səhiyyə, təhsil, maliyyə, dövlət qurumları, texnologiya, avtomobil və pərakəndə satış sahələri daxil olmaqla bir çox sektoru hədəf almışdır. Hücumlar ABŞ, Kanada, Hindistan, Braziliya və bir çox digər ölkələrdə qeydə alınmışdır. (mənbəyə istinad)
2024-cü ilin fevral ayında hüquq-mühafizə orqanları LockBit ransomware qrupuna bağlı iki Rusiya vətəndaşını ittiham etmiş və LockBit cinayət təşkilatına aid bir sıra veb-saytları ələ keçirmişdir. Bu addımlar hücumçuların faylları şifrələmək və qurbanlardan fidyə tələb etmək imkanlarını müvəqqəti olaraq məhdudlaşdırmışdır. Lakin bir neçə gün ərzində LockBit qrupu serverlərini bərpa etmiş və proqram təminatını yenidən işə salmışdır.
LockBit ransomware hücumları necə həyata keçirilir
LockBit ransomware sistemlərə daxil olmaq və faylları şifrələmək üçün müxtəlif texnika və taktiklardan istifadə edir.
Yoluxma
LockBit ilkin girişi əsasən phishing e-mailləri, proqram təminatındakı zəifliklərin istismarı və ya oğurlanmış giriş məlumatları vasitəsilə əldə edir. Hücumçular VPN, Remote Desktop Protocol (RDP) və digər giriş nöqtələrindən istifadə edirlər. LockBit qrupu həmçinin narazı daxili əməkdaşları cəlb etməyə çalışır; bu şəxslər hesab məlumatlarını təqdim etdikdə və ya hücumu daxildən başladıqda mükafat ala bilirlər.
Yayılma (Propagation)
Sistemə daxil olduqdan sonra LockBit qrupu Windows PowerShell, PsExec və lateral hərəkət üsullarından istifadə edərək şəbəkəni araşdırır və yüksək dəyərli hədəfləri müəyyən edir. LockBit həmçinin öz-özünə yayılma imkanına malikdir və əlavə sistemləri avtomatik olaraq taparaq yoluxa bilir.
Hazırlıq
LockBit zərərli proqramı post-exploitation alətlərindən istifadə edərək hesab səlahiyyətlərini artırır, Group Policy dəyişiklikləri edir və şifrələmədən əvvəl bir sıra tədbirlər həyata keçirir. Buraya təhlükəsizlik proqramlarının söndürülməsi və məlumatların bərpasını mümkün edən mexanizmlərin deaktiv edilməsi daxildir. Məqsəd qurbanın fidyə ödəmədən məlumatlara çıxışını mümkün qədər çətinləşdirməkdir.
Məlumatların sızdırılması (Exfiltration)
LockBit-in daha yeni versiyaları faylları xarici serverlərə ötürə bilir. Bu isə hücumçulara oğurlanmış məlumatları dərc etməklə qurbanları şantaj etmək imkanı verir.
Şifrələmə
Hazırlıq mərhələsi tamamlandıqdan sonra ransomware faylları şifrələyir və istifadəçinin deşifrə açarı olmadan məlumatlara çıxışını tamamilə bloklayır. Eyni zamanda hər qovluqda fidyə qeydi yerləşdirilir.
İkili şantaj (Double Extortion)
LockBit-in müasir variantları məlumat sızdırma alətləri təqdim edir. Bu zaman hücumçular həm faylların açılması, həm də oğurlanmış məlumatların Tor şəbəkəsində yayımlanmaması üçün ikiqat fidyə tələb edirlər.
LockBit ransomware variantları
LockBit ransomware illər ərzində sürətlə inkişaf etmişdir. LockBit kodundan istifadə edən ransomware ilk dəfə 2019-cu ildə müşahidə edilmişdir. İlkin versiyada fayllar “.ABCD” uzantısı ilə adlandırılırdı.
-
Yanvar 2020: “LockBit” uzantısından istifadə edən variant rusdilli kiber cinayət forumlarında görüldü.
-
İyun 2021: LockBit 2.0 təqdim olundu və “StealBit” adlı məlumat oğurlama aləti əlavə edildi.
-
Oktyabr 2021: LockBit 1.0-ın Linux-ESXi Locker versiyası Linux və VMware ESXi sistemlərini hədəf almağa başladı.
-
Mart 2022: LockBit 3.0 (LockBit Black) ortaya çıxdı və Black Matter və ALPHV (BlackCat) ransomware-lərinə oxşarlıq göstərdi.
-
Yanvar 2023: LockBit Green variantı Conti ransomware mənbə kodunu daxil etdi.
-
Aprel 2023: macOS sistemlərini hədəf alan LockBit şifrələyiciləri VirusTotal-da aşkarlandı.
LockBit ransomware-dən müdafiə
LockBit və digər ransomware hücumlarından qorunmaq üçün FBI və CISA kimi qurumlar bir sıra ən yaxşı təcrübələri tövsiyə edir.
Çoxqatlı müdafiə
Antivirus, anti-ransomware proqramları, EDR (Endpoint Detection and Response) həlləri və istifadəçi maarifləndirilməsi əsas qoruma tədbirləridir. Bəzi hallarda ransomware təmizləmə alətləri də istifadə oluna bilər.
Şəbəkə seqmentasiyası
Şəbəkənin bölünməsi hücumçuların sistem daxilində lateral hərəkət imkanlarını məhdudlaşdırır.
Güclü giriş nəzarəti
Multi-Factor Authentication (MFA) və güclü parollar icazəsiz girişlərin qarşısını alır.
Müntəzəm ehtiyat nüsxələr
Offline saxlanılan müntəzəm backup-lar fidyə ödəmədən bərpa imkanı yarada bilər.
Zəifliklərin idarə edilməsi
Əməliyyat sistemləri və proqram təminatlarının vaxtında yenilənməsi istismar edilə bilən boşluqları aradan qaldırır. Xüsusilə Windows və Linux sistemlərində SMB və RDP təhlükəsizliyi vacibdir.
Davamlı monitorinq
Təhlükələrin erkən aşkarlanması və güclü insident cavab planı zərərin minimuma endirilməsinə kömək edir.
