Dün gece Türkiye’deki birçok kurumu etkileyen Lockbit fidye yazılımı saldırısı, bilgisayar korsanlarının giderek sofistike hale gelen yöntemleriyle bir kez daha dikkat çekti. Bu saldırılarda, genellikle SecureConnect gibi güvenlik duvarlarını aşarak veya sistem zafiyetlerini kullanarak içeri sızan saldırganlar, sistemlere erişim sağlar sağlamaz gizlice bekleyerek zaman içinde zarar verici eylemler gerçekleştiriyorlar.
Saldırganlar, içeri sızdıklarında hemen eyleme geçmek yerine, genellikle 10 ila 15 gün süren bir sessizlik dönemi geçirirler. Bu süre zarfında, kurban kuruluşun ağ yapısını ve veri altyapısını dikkatlice analiz eder, savunma sistemlerini aşmaya çalışır ve en savunmasız noktaları belirlerler. Bu süreçte, depolama ve yedekleme sistemleri gibi kritik altyapılar özellikle hedef alınır.
Lockbit fidye yazılımı saldırısının hedefi olan kurumlar, sadece veri kaybı riskiyle karşı karşıya kalmakla kalmaz, aynı zamanda itibar kaybı, finansal zarar ve operasyonel kesintilerle de mücadele etmek zorunda kalabilirler. Bu nedenle, bu tür saldırıların önlenmesi ve etkilerinin en aza indirilmesi için güçlü güvenlik önlemleri alınması kritik önem taşır.
Kurumlar, güvenlik duvarlarından içeri sızan herhangi bir şüpheli faaliyeti hızla tespit etmek ve müdahale etmek için etkin bir izleme ve tepki mekanizması kurmalıdır. Ayrıca, sistemlerin ve yazılımların düzenli olarak güncellenmesi, güvenlik açıklarının kapatılması ve personelin güvenlik eğitimlerinin sürekli olarak yenilenmesi de gereklidir.
Bu tür fidye yazılımı saldırıları, sadece bireysel kurumları değil, aynı zamanda ülke genelindeki ekonomik ve toplumsal istikrarı da tehdit edebilir. Bu nedenle, bilgi güvenliği ve siber güvenlik konularına yönelik bilinç ve yatırımların artırılması gerekmektedir. Yalnızca güçlü bir işbirliği ve koordinasyon ile siber tehditlere karşı etkili bir mücadele yürütülebilir.
Özetle yapılması gereken kontroller
- Tüm storage ve yedekleme sistemlerinizde arayüzleri üzerinden logları kontrol ediniz.
- Firewall üzerinden son 15 günde ilgili sistemlere erişimleri kontrol ediniz.
- İnternete açık VMware altyapılarının internet ile iletişimini kesiniz.
VMware erişlim loglarını ve diğer tüm logları kontrol ediniz.
HASH bilgileri
Hash1: 413d3f5d45d29dc79f79750eaf367ac97a6c26a7
Hash2: 06889459709295d3b7c44eb363547a780656bde0
Bu hashleri sistemlerinizde aratabilirsiniz. 1.hash windows diye isimli bir exe , 2.hash ise system32 altında değiştirilmiş fontsrvhost.exe
IP adresleri
101.97.36.61,168.100.9.137,185.230.212.83,206.188.197.22,141.98.9.137,81.19.135.219,81.19.135.220,81.19.135.226,172.232.146.250,199.115.112.149,159.65.216.150,185.193.125.59,45.32.88.116,133.226.170.154,45.67.191.147,107.181.187.184,109.234.156.179,185.151.240.186,31.184.215.135,77.223.124.212,88.119.166.50,95.213.205.83,99.119.166.50,149.248.16.68,95.179.241.108,192.210.232.93
Kaynak:
https://www.linkedin.com/company/infinitumlabs/posts/?feedView=all
https://www.cisa.gov/sites/default/files/2023-10/StopRansomware-Guide-508C-v3_1.pdf
https://www.cisa.gov/sites/default/files/2023-03/aa23-075a-stop-ransomware-lockbit.pdf