Lockbit Ransomware Güncel Türkiye Güvenlik Zafiyeti

Lockbit Ransomware Güncel Türkiye Güvenlik Zafiyeti

Lockbit ilk olarak 2019’da ortaya çıkan bir ransomware grubudur. İlk kampanyalarda şifrelenmiş dosyalar üzerinde .abcd uzantısını kullandığı için ABCD Ransomware grubu olarak bilinmekteydi. Ancak sonrasında .LockBit şeklindeki uzantılarla faaliyetlerini sürdürdüğü için bu isimle anılmaya başlandı.

Kronolojik olarak bakıldığında, 2022 yılı en aktif oldukları dönem olmuştur. 2022’den itibaren en aktif Ransomware grupları arasında yer aldı ve halen de saldırganlar arasındaki popülerliğini sürdümeye devam etmektedir.

İstihbarat kaynaklarına göre Lockbit Ransom grubu Şubat 2024 tarihi itibariyle Türkiye’de bir çok kurumu hedef almıştır.

Lockbit’in 2024’te genel olarak en çok hedef aldığı sektörün sağlık sektörü olduğu gözlemlenmektedir. LockBit’in son zamanlardaki analizleri ışığında, uzaktan kontrol uygulamaları ve sistem üzerinde bulunan açık bırakılmış zafiyetlerden yararlanarak ilerlediği raporlanmaktadır. Ancak saldırı çok farklı teknik ve taktikleri ihtiva ettiğinden tek bir noktaya odaklanmak yerine, tespit ve müdahale sistemlerinden bütüncül bir takip mekanizması üzerinden ilerlenmesi önerilmektedir.

Hızlı Kazanım Önerileri

• Yedekleme ve depolama sunucularının loglarının takip edilmesi
• Ağ üzerindeki anomali hareketlerin takip edilmesi
• Firewall ve VPN üzerinde kullanıcı erişimlerinin kontrol edilmesi
• Komuta Kontrol kurallarının SIEM, EDR, XDR gibi tespit edici mekanizmalarda kontrol edilmesi ve gerekiyorsa güncellenmesi
• Phishing saldırıları için çalışanların acil bilgilendirilmesi
• Siber istihbarat kaynaklarının takip edilmesi ve istihbarat alt yapısının güncel tutulması
• Güncel zafiyetlere sahip işletim sistemi ve uygulamaların güvenlik güncellemelerinin yapılması
• EDR/XDR ürünlerinde önleyici kuralların istihbarat kaynakları dikkate alınarak devreye alınması

Barikat Siber Güvenlik Operasyonları Merkezi hizmet verdiği müşterilerine, istihbarat paylaşım platformu üzerinden güncel ioc dağıtımını otomatik olarak yapmaktadır.

IOC'ler

c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37 - secretsdump.exe
6329FFA8FFEEBBEB9A685DEFEE8E2AC0860B1C9F0586E312170BA26285C591FC - newcws.exe
D30F51BFD62695DF96BA94CDE14A7FAE466B29EF45252C6AD19D57B4A87FF44E - mimidrv.sys
61C0810A23580CF492A6BA4F7654566108331E7A4134C968C2D6A05261B2D8A1 - mimikatz.exe
AEF6CE3014ADD838CF676B57957D630CD2BB15B0C9193CF349BCFFECDDBC3623 - mimilib.dll
66928C3316A12091995198710E0C537430DACEFAC1DBE78F12A331E1520142BD - mimispool.dll
078163D5C16F64CAA5A14784323FD51451B8C831C73396B967B4E35E6879937B - psexec.c
EDFAE1A69522F87B12C6DAC3225D930E4848832E3C551EE1E7D31736BF4525EF - psexec.c
5EF168F83B55D2CBD2426AFC5E6FA8161270FA6A2A312831332DC472C95DFA42 - pskill.exe
7BA47558C99E18C2C6449BE804B5E765C48D3A70CEAA04C1E0FAE67FF1D7178D - pskill.exe
172.232.146.250
199.115.112.149
159.65.216.150
185.193.125.59
45.32.88.116
133.226.170.154
45.67.191.147
107.181.187.184
185.151.240.186
31.184.215.135
77.223.124.212
88.119.166.50
95.213.205.83
99.119.166.50
31.184.215.135
99.119.166.50
109.234.156.17

Uzun Vade Çözüm Önerileri

Ek Bilgiler

• https://www.usom.gov.tr/bildirim/tr-24-0179
• https://www.barikat.com.tr/blog/locbit-ransomware

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.