LockBit-in Tərifi
LockBit ransomware istifadəçilərin kompüter sistemlərinə girişini bloklayan və deşifrə açarı müqabilində fidyə tələb edən zərərli proqramdır. LockBit avtomatik şəkildə dəyərli hədəfləri müəyyən edir, yoluxmanı yayır və şəbəkə daxilində əlçatan olan bütün sistemləri şifrələyir. Bu ransomware əsasən iri müəssisələrə və təşkilatlara qarşı yüksək hədəfli hücumlarda istifadə olunur. Özünüidarə olunan kiberhücum kimi LockBit, dünya üzrə təşkilatları aşağıdakı təhdidlərlə üz-üzə qoymuşdur:
-
Əsas biznes funksiyalarının qəfil dayanması ilə əməliyyatların pozulması
-
Hücumçuların maliyyə qazancı üçün şantaj
-
Tələblərə əməl edilmədikdə məlumatların oğurlanması və qanunsuz şəkildə yayımlanması
LockBit ransomware nədir?
LockBit, uzun müddətdir davam edən şantaj əsaslı kiberhücumların yeni bir formasıdır. Əvvəllər “ABCD” ransomware kimi tanınan bu zərərli proqram zamanla fərqli və daha təhlükəli bir təhdidə çevrilmişdir. LockBit, deşifrə müqabilində maliyyə ödənişi tələb etdiyi üçün “kripto-virus” adlandırılan ransomware növünə aiddir. Əsas hədəfi fərdi istifadəçilər deyil, müəssisələr və dövlət qurumlarıdır.
LockBit hücumları ilk dəfə 2019-cu ilin sentyabr ayında “.abcd virusu” adı ilə qeydə alınıb. Bu ad, qurban fayllarının şifrələnərkən aldığı uzantıdan qaynaqlanırdı. Əvvəlki hədəflər arasında ABŞ, Çin, Hindistan, İndoneziya və Ukraynadakı təşkilatlar olmuşdur. Eyni zamanda Avropanın bir çox ölkəsində (Fransa, Böyük Britaniya, Almaniya) hücumlar müşahidə edilib.
Hədəflər əsasən:
-
Fəaliyyətin dayanmasından ciddi zərər görəcək
-
Böyük məbləğ ödəyə biləcək maliyyə imkanına sahib
olan qurumlardır. Buna görə də səhiyyə, maliyyə və iri müəssisələr tez-tez hədəfə alınır. Avtomatik seçim mexanizmi çərçivəsində LockBit, Rusiya və Müstəqil Dövlətlər Birliyi ölkələrində yerləşən sistemlərə hücumdan bilərəkdən yayınır. Bunun əsas səbəbi həmin regionlarda hüquqi təqibdən qaçmaqdır.
LockBit Ransomware-as-a-Service (RaaS) modeli ilə işləyir. İstifadə etmək istəyən tərəflər depozit ödəyərək hücum həyata keçirir və əldə olunan fidyə məbləği LockBit yaradıcıları ilə “affiliate”lər arasında bölüşdürülür. Hücumçular fidyənin təxminən 75%-nə qədərini əldə edə bilirlər.
-22.jpg)
LockBit ransomware necə işləyir?
Bir çox təhlükəsizlik mütəxəssisi LockBit-i “LockerGoga & MegaCortex” zərərli proqram ailəsinin bir hissəsi hesab edir. Bu, onların davranış baxımından oxşar olduğunu göstərir:
-
Manual idarə olmadan təşkilat daxilində öz-özünə yayılır
-
Kütləvi spam deyil, hədəfli hücumlar həyata keçirir
-
Windows PowerShell və SMB (Server Message Block) kimi alətlərdən istifadə edir
Ən təhlükəli xüsusiyyəti öz-özünə yayılma qabiliyyətidir. LockBit əvvəlcədən proqramlaşdırılmış avtomatik proseslərlə idarə olunur. Bu, onu digər ransomware-lərdən fərqləndirir, çünki adətən hücumçular şəbəkə daxilində həftələrlə əl ilə fəaliyyət göstərirlər.
Bir sistem ilkin olaraq yoluxdurulduqdan sonra LockBit digər əlçatan sistemləri avtomatik tapır, qoşur və skriptlər vasitəsilə yoluxmanı yayır. Bu proses tamamilə insan müdaxiləsi olmadan həyata keçirilir.
Bundan əlavə, LockBit demək olar ki, bütün Windows sistemlərində mövcud olan daxili alətlərdən istifadə edir. Bu səbəbdən endpoint təhlükəsizlik sistemləri onu aşkar etməkdə çətinlik çəkir. Şifrələyici icra faylı isə .PNG şəkil faylı kimi gizlədilir, bu da müdafiə mexanizmlərini aldadır.
LockBit hücumlarının mərhələləri
LockBit hücumları əsasən üç mərhələdən ibarətdir:
-
İstismar (Exploit)
-
Sızma (Infiltrate)
-
Yerləşdirmə (Deploy)
Mərhələ 1: Şəbəkə zəifliklərinin istismarı
İlkin giriş digər kiberhücumlara bənzər şəkildə baş verir. Hücumçular fişinq kimi sosial mühəndislik üsullarından istifadə edərək etibarlı şəxslər kimi çıxış edir və giriş məlumatlarını əldə edirlər. Alternativ olaraq, intranet serverlərə brute-force hücumları həyata keçirilir. Zəif konfiqurasiya olunmuş şəbəkələrdə bu proses bir neçə gün ərzində başa çata bilər.
Mərhələ 2: Dərin sızma və hazırlıq
Bu mərhələdən sonra LockBit bütün fəaliyyəti müstəqil şəkildə idarə edir. “Post-exploitation” alətləri vasitəsilə səlahiyyətləri artırır və lateral movement ilə sistemləri yoxlayır.
Bu mərhələdə:
-
Təhlükəsizlik proqramları deaktiv edilir
-
Bərpa mexanizmləri sıradan çıxarılır
Məqsəd, qurbanın fidyə ödəmədən sistemi bərpa etməsini mümkünsüz və ya çox ləng etməkdir.
Mərhələ 3: Şifrələmə
Şəbəkə tam hazır olduqdan sonra LockBit bütün əlçatan sistemlərdə yayılmağa başlayır. Yüksək səlahiyyətli tək bir sistem digər qurğulara əmrlər göndərərək LockBit-in yüklənməsini və icrasını təmin edir.
Bütün fayllar şifrələnir və hər qovluğa fidyə qeydi yerləşdirilir. Bəzi versiyalarda açıq şantaj mesajları da yer alır.
LockBit təhdid növləri
Variant 1 — .abcd uzantısı
İlk versiya faylları “.abcd” uzantısı ilə dəyişir və hər qovluğa Restore-My-Files.txt adlı fidyə qeydi əlavə edir.
Variant 2 — .LockBit uzantısı
İkinci versiyada fayllar “.LockBit” uzantısı alır. Daxili dəyişikliklərə baxmayaraq əsas xüsusiyyətlər oxşardır.
Variant 3 — LockBit 2.0
Bu versiyada Tor brauzeri tələb olunmur və qurbanlar adi internet saytına yönləndirilir.
LockBit-in davamlı yenilənməsi
Son versiyalar admin icazə bildirişlərini deaktiv edir və server məlumatlarını oğurlayır. Əməl edilmədikdə məlumatların ictimaiyyətə açıqlanacağı ilə hədələyir.
LockBit-in silinməsi və deşifrə
Yalnız virusu silmək faylları bərpa etmir. Deşifrə üçün açar tələb olunur. Əgər əvvəlcədən backup varsa, sistem image bərpası mümkündür.
LockBit-dən qorunma yolları
-
Güclü parollar
-
Multi-factor authentication (MFA)
-
Minimum səlahiyyət prinsipi
-
Köhnə hesabların silinməsi
-
Təhlükəsizlik konfiqurasiyalarının yenilənməsi
-
Offline backup strategiyası
-
Korporativ təhlükəsizlik həlləri (EDR)
