Federal Soruşturma Bürosu (FBI), bu Cuma günü yayınlanan yeni bir Flash Uyarısı'nda Loctbit Ransomware saldırıları ile ilişkili uzlaşmanın teknik detaylarını ve göstergelerini yayınlamıştır.
Ayrıca, organizasyonların bu rakiplerin ağlarını ihlal etme girişimlerini engellemelerine yardımcı olacak ve mağdurlardan acilen olayları yerel FBI siber kadrolarına bildirmelerini istedi.
Lockbit Ransomware çetesi, Eylül 2019'dan bu yana çok aktif olmuştur. ağları şifrelemek.
İki yıl sonra, Haziran 2021'de, Loctbit, Ransomware aktörlerinden sonra Cybercrime forumlarında yayınlanmasından sonra fidye yazılımı aktörleri yasaklandıktan sonra Lockbit 2.0 RAA'larını açıkladı [1, 2].
Relaunch ile Ransomware çete, Tor sitelerini yeniden tasarladı ve kötü amaçlı yazılımı reddetti, Windows etki alanları arasında cihazların otomatik şifrelemesi de dahil olmak üzere, Active Directory Grup Politikaları aracılığıyla aygıtların otomatik şifrelemesi de dahil olmak üzere daha gelişmiş özellikler ekledi.
Artık çete, ayrıca, sanal özel ağ (VPN) ve Uzak Masaüstü Protokolü (RDP) yoluyla kurumsal ağlara erişim sağlamak için içerdekileri işe alarak aracıları çıkarmaya çalışıyor.
Ocak ayında, LOCTIbit'in ayrıca, VMware ESXI sunucularını araç setine hedef alan bir Linux şifreleme eklediği keşfedildi.
HODBIT RANSOMWARE çalıştığı teknik detaylar arasında, FBI ayrıca kötü amaçlı yazılımın, Vites + F1 klavye kısayolunu kullanarak enfeksiyon işlemi sırasında etkinleştirilebilecek gizli bir hata ayıklama penceresiyle birlikte geldiğini ortaya koydu.
Göründükten sonra, şifreleme işlemi hakkındaki gerçek zamanlı bilgileri görüntülemek ve kullanıcı veri yıkımının durumunu trakrasyon yapmak için kullanılabilir.
Bu haftanın danışmanlığı, 2021 Ağustos'taki Avustralya Siber Güvenlik Ajansı tarafından yayınlanan bir uyarı izler.
GÜNLER, Accenture, bir Fortune 500 şirketi ve dünyanın en büyük BT hizmetlerinden biri ve danışmanlık firmalarından biri olan, Lodbit'in ağından çalındığı ve 50 milyon dolarlık bir fidye istediği ve 50 milyon dolarlık bir fidye sorduktan tehdit ettiğinden sonra ihlal edildiğini onayladı.
İki ay sonra, Accenture, Ağustos Saldırısı sırasında "Mülkiyet Bilgilerinin Ekstraksiyonu" sonrasında Ekim İNCELERİ'nde bir veri ihlali açıkladı.
FBI bu flaş uyanıklaştığını söylemediken, yöneticilerin ve siber profesyonellerin, şirketlerinin ağlarını hedef alan lockbit saldırılarıyla ilgili bilgileri paylaşmalarını istedi.
"FBI, paylaşılabilecek herhangi bir bilgi aramak, [Dahil), Yabancı IP adreslerine ve dan iletişim, bir örnek fidye notu, tehdit aktörleriyle, bitcoin cüzdan bilgisi, decryptor dosyası ve / veya iyi niyetli Federal Ajans, şifreli bir dosyanın örneği "dedi.
"FBI, bu belgenin alıcılarını, şüpheli veya cezai faaliyetlerle ilgili bilgileri yerel FBI saha bürosuna bildirmek için teşvik eder.
"İlgili tüm bilgileri FBI Cyber Squads'a bildirerek, FBI'nin gelecekteki izinsiz girişleri ve saldırıları önlemek için kötü amaçlı aktörleri ve Amerika Birleşik Devletleri Hükümeti ile birlikte, kötü amaçlı aktörleri ve koordine etmesine izin veren bilgilerin paylaşılmasına yardımcı oluyorsunuz."
FBI ayrıca, savunucuların Loctbit Ransomware saldırısı girişimlerine karşı ağlarını korumalarına yardımcı olacak azaltmalar sağlar:
Yöneticiler, bu önlemleri alarak Ransomware operatörlerinin ağ keşif çabalarını da engelleyebilir:
FBI ayrıca, ransomları ödemeyi teşvik etmediğini ve şirketlerin onlara gelecekteki saldırılardan veya veri sızıntılarından koruyacağı garantili olmadığı için buna karşı tavsiyede bulunduğunu da ekledi.
Dahası, fidyeware çetelerinin taleplerini vermek, operasyonlarını daha da finanse eder ve daha fazla mağdur hedeflemeye motive eder. Ayrıca, yasadışı faaliyetlerde bulunmak için onlara katılmak için diğer siber suç gruplarını da teşvik eder.
Buna rağmen, FBI, bir Ransomware saldırısının serpinti, şirketleri paydaşları, müşterileri veya çalışanları korumak için fitilleri ödemeyi düşünmeye zorlayabileceğini kabul etti. Kanun uygulayıcı ajansı, bu tür olayları yerel bir FBI saha ofisine bildirir.
Bir fidye ödedikten sonra bile, FBI hala ransomware olaylarını derhal rapor etmeye çağırıyor, çünkü ransomware saldırılarını takip ederek ve bunları eylemlerini yerine getirebilmelerini sağlayan, kanun yaptırımlarının gelecekteki saldırıları engellemesine izin verecek kritik bilgiler sağlayacaktır.
Blackpat (Alphv) Blackmatter, Darkside Çetelerle Bağlantılı Ransomware
Ransomware'deki hafta - 28 Ocak 2022 - NAS aygıtlarını internetten çıkarın
Loctbit Ransomware'in Linux versiyonu VMware ESXI sunucularını hedefler
Polis, yüksek profilli saldırıların arkasındaki fidye yazılımı bağlı kuruluşları tutuklar
Puma, Kronos Ransomware saldırısından sonra veri ihlaliyle çarptı
Kaynak: Bleeping Computer