Güvenlik çözümleriniz LockBit enfeksiyonunu engelleyebilir ancak yine de şifrelenmiş dosyalara sahip olabilirsiniz: Symantec’in tehdit araştırmacılarına göre bazı bağlı kuruluşlar, LockBit’in işaretlenmesi ve engellenmesi durumunda bir geri dönüş seçeneği olarak 3AM fidye yazılımını kullanıyor.
Gece 3’te fidye yazılımı
LockBit, uzun süredir ortalığı kasıp kavuran bilinen bir fidye yazılımı ailesidir.
Peki ya sabahın üçü? Bu şekilde dublajlanmıştır çünkü. ‘Öğle vakti’ Şifrelenmiş dosyalara eklenen uzantıya sahip 3AM, Rust’ta yazılmış yeni bir fidye yazılımı ailesidir.
Araştırmacıların analizine göre, virüs bulaştığı bilgisayarda çalışan güvenlik ve yedeklemeyle ilgili yazılımları sonlandırmaya çalışıyor ve hedeflenen dosyaları şifreleyip orijinal dosyaları sildikten sonra, onları da silmeye çalışıyor.
Araştırmacılar, “Şu ana kadar fidye yazılımı yalnızca sınırlı bir şekilde kullanıldı” dedi; şirketin tehdit avcıları, bunun bir fidye yazılımı yan kuruluşu tarafından yapılan tek bir saldırıda kullanıldığını gördü.
Ayrıca fark edilmeyecek kadar etkili veya gizli görünmüyor. “Saldırganlar bu yazılımı kuruluşun ağındaki yalnızca üç makineye dağıtmayı başardılar ve bu üç bilgisayardan ikisinde engellendi.”
Yine de saldırganlar bir miktar başarı elde etti: onları şifrelemeye çalışmadan önce, dosyaları sızdırdı. Bu da kurbana şantaj yapmaya çalışabilecekleri anlamına geliyor.
“Yeni fidye yazılımı aileleri sıklıkla ortaya çıkıyor ve çoğu da aynı hızla ortadan kayboluyor veya hiçbir zaman önemli bir ilgi çekmeyi başaramıyor. Ancak 3AM’in bir LockBit üyesi tarafından geri dönüş olarak kullanılması, saldırganların ilgisini çekebileceğini ve gelecekte tekrar görülebileceğini gösteriyor.” yorum yaptı.
Fidye yazılımı dağıtımından önce
Şirket, ilk sistemin nasıl ele geçirildiğini söylemiyor.
“Tehdit aktörünün ilk şüpheli faaliyeti, gpres sonucu Belirtilen kullanıcı için bilgisayarda uygulanan ilke ayarlarının dökümünü alma komutu. Saldırgan ayrıca çeşitli Cobalt Strike bileşenlerini çalıştırdı ve bilgisayardaki ayrıcalıkları yükseltmeye çalıştı.
Saldırganlar daha sonra keşif yapmaya başladı ( ben kimim, netstat, QuserVe net pay komutları), atlayabilecekleri diğer sunucuları numaralandırmaya çalıştı (ile Quser Ve Net görüntü komutları), kalıcılık için yeni bir kullanıcı ekledi ve kurbanların dosyalarını kendi FTP sunucularına aktardı.
Symantec, güvenlik ihlali göstergeleri sağladı: iki kötü amaçlı yazılım örneği ve Cobalt Strike işaretleri için IP adresleri ve dosya karmaları.