Lockbit Ransomware Attack son günlerde uzun bir aradan sonra tekrar karşımıza çıkıyor ve sistemlerimizi tehdit etmekte.
Bu saldırılarda, saldırganlar güvenlik duvarlarını aşarak veya sistem zafiyetlerini kullanarak içeri sızmakta ve sistemlere erişim sağlar sağlamaz gizlice bekleyerek zaman içinde zarar verici eylemler gerçekleştiriyorlar. Buradaki en büyük sorun, anlık olarak zaafiyet gündeminde sizin bir sorununuz yokmuş gibi görünse de , aslında içeride bekleyen zararlı doğru zaman geldiğinde aksiyon alacaktır.
Bu tür fidye yazılımı saldırıları, bireysel olarak mali açıdan verdiği zararın yanında itibari ve güvenilirlik açısından kurumlara ciddi zararlar vermektedir. Siber tehditlere karşı yürütülen mücadelenin en başında gelen farkındalık arttırılmalı ve bu tarz tehditlere maruziyet azaltılmalıdır.
Sistemlerinizde aşağıdaki kontrolleri yaparak mevcut durumunuzu görebilirsiniz.
- Firewall son 30 gün ilgili sistemlere erişim loglarınızı inceleyiniz.
- Sanallaştırma platformlarının internete erişimlerini kısıtlayınız ve son 30 gün loglarını kontrol ediniz.
- Storage ve backup loglarınızı kontrol ediniz.
Alınması Önerilen Aksiyonlar
- Yazılım uygulamalarını yüklemek ve çalıştırmak için kullanıcı izinlerini kısıtlayın.
- Bulut tabanlı kaynaklara erişmek veya bunları değiştirmek için kullanıcı/rol izinlerini kısıtlayın.
- Belirli kullanıcılar/roller tarafından müşteri tarafından yönetilen key üzerinde gerçekleştirilebilecek eylemleri sınırlandırın.
- Ağda oturum açmayı kısıtlamak için grup ilkesini kullanarak yerel hesapların uzaktan erişimini yerel hesaplar tarafından engelleyin. Rehberlik için Microsoft’un Yerel Hesapların Uzaktan Kullanımını Engelleyin.
- RDP için Windows Defender Remote Credential Guard ve kısıtlı yönetici modunu kullanın.
- Gereksiz hesapları ve grupları kaldırın ve kök erişimini kısıtlayın.
- Local adminleri kontrol edin ve sınırlandırın.
- Hesaplarda ve gruplarda aşırı ayrıcalıklar için Active Directory’yi (AD) denetleyin.
- Daha fazla güvenlik sağlamak için Windows etki alanlarında Korumalı Kullanıcılar için pass-the-hash saldırılarına karşı ayrıcalıklı kullanıcı hesapları kullanın .
- Kullanıcı ve yönetici hesaplarını üç ayda bir etkin olmayan veya yetkisiz hesaplar için denetleyin ve kaldırın.
HASH bilgileri
Hash1: 413d3f5d45d29dc79f79750eaf367ac97a6c26a7
Hash2: 06889459709295d3b7c44eb363547a780656bde0
Bu hashleri sistemlerinizde aratabilirsiniz. 1.hash windows diye isimli bir exe , 2.hash ise system32 altında değiştirilmiş fontsrvhost.exe
IP adresleri
101.97.36.61,168.100.9.137,185.230.212.83,206.188.197.22,141.98.9.137,81.19.135.219,81.19.135.220,81.19.135.226,172.232.146.250,199.115.112.149,159.65.216.150,185.193.125.59,45.32.88.116,133.226.170.154,45.67.191.147,107.181.187.184,109.234.156.179,185.151.240.186,31.184.215.135,77.223.124.212,88.119.166.50,95.213.205.83,99.119.166.50,149.248.16.68,95.179.241.108,192.210.232.93
Kaynaklar:
https://www.cisa.gov/sites/default/files/2023-03/aa23-075a-stop-ransomware-lockbit.pdf
https://www.cozumpark.com/lockbit-fidye-yazilimi-turkiyedeki-kurumlari-etkiliyor-acil-onlem-alin/
https://www.cisa.gov/sites/default/files/2023-10/StopRansomware-Guide-508C-v3_1.pdf
https://www.linkedin.com/company/infinitumlabs/posts/?feedView=all