Sanayi ve Teknoloji Bakanlığı’na bağlı Doğu Anadolu Projesi (DAP) Bölge Kalkınma İdaresi Başkanlığı, LockBit çetesinin fidye yazılım saldırısına uğradı.
DAP Bölge Kalkınma İdaresi Başkanlığı’nın dosyalarını şifrelediğini iddia eden LockBit çetesi, fidye taleplerinin karşılanması için Sanayi ve Teknoloji Bakanlığı’na 7 Şubat’a kadar süre verdi.
SANAYİ VE TEKNOLOJİ BAKANLIĞI’NA FİDYE YAZILIM SALDIRISI GERÇEKLEŞTİRİLDİ
Son aylarda birçok devlet kurumu ve özel şirkete fidye yazılımı saldırısı düzenleyen LockBit grubunun son kurbanı Sanayi ve Teknoloji Bakanlığı’na bağlı DAP Bölge Kalkınma İdaresi Başkanlığı oldu.
Bölge Kalkınma İdaresi’nin yürüttüğü Doğu Anadolu Projesi’nin genel amacı, uygulandığı illerdeki yatırımların gerektirdiği araştırma, planlama, programlama, projelendirme, izleme, değerlendirme ve koordinasyon hizmetlerinin yerine getirilmesi suretiyle Doğu Anadolu Bölgesi’nin kalkınmasını hızlandırmak olarak biliniyor.
Kendisine ait sızıntı sitesinden yaptığı paylaşımla Sanayi ve Teknoloji Bakanlığı’nın DAP Bölge Kalkınma İdaresi Başkanlığı dosyalarını şifrelediğini belirten çete, fidye taleplerinin karşılanması için bakanlığa 7 Şubat 2002, saat 08.10’a kadar süre verdi. Aksi takdirde çete, şfirelediği dosyaları yayımlamakla tehdit ediyor.
Halihazırda Sanayi ve Teknoloji Bakanlığı’ndan söz konusu siber saldırıya dair yapılan bir açıklama bulunmuyor.
LOCKBİT ÇETESİ KİMDİR?
LockBit fidye yazılımı çetesinin 2019’dan beri aktif olduğu bilinirken 2021 yılının haziran ayında çetenin, “LockBit 2.0” adlı yeni fidye yazılımı sürümüyle yeniden ortaya çıkmıştı.
Son zamanlarda aralarında Türkiye’de faaliyet gösteren özel kuruluşlar da olmak üzere birçok devlet kurumu ve şirketi hedefleyen LockBit’in son sürüm fidye yazılımıyla çok daha aktif olduğu, çeşitli siber güvenlik şirketlerinin yaptığı araştırmalar neticesinde ortaya çıkarılmıştı.
Çoğunlukla VMware ESXi sanal makinelerini hedefleyen LockBit çetesinin geçtiğimiz günlerde yeni bir Linux şifreleyicisinin de siber saldırılarda kullanıldığı keşfedilmişti.
LockBit, veri hırsızlığı iddialarını abartmasıyla tanınır hâle gelirken yayımlayacak hiçbir dosyası olmadan da sızıntı sitelerine şirket ve kuruluşların adlarını eklerken yakalanmıştı. Ancak operasyonlarını devlet kurumlarına yönelten LockBit çetesi, Fransız Adalet Bakanlığı’na da saldırmış ve 10 Şubat’a kadar fidye ödenmemesi durumunda belgeleri sızdırmakla tehdit etmişti. Söz konusu saldırıysa hükümet yetkililerince doğrulanmıştı.
FBI UYARDI
Son dönemde oldukça aktif olan çetenin kurbanı olanlar arasında Riviana, Accenture, Wormington&Bollinger, Anasia Group, Bangkok Airways, İtalyan enerji şirketi ERG, Vlastuin Group, E.M.I.T. Aviation Consulting, SCIS Air Security, Peabody Properties, DATA SPEED SRL, Fransa Adalet Bakanlığı, Day Lewis, Buffington Hukuk Bürosu ve dünya çapında onlarca başka şirket yer alırken bu listeye Türkiye Sanayi ve Teknoloji Bakanlığı eklendi.
LockBit’in gerçekleştirdiği operasyonlardan sonra Federal Soruşturma Bürosu (FBI), LockBit fidye yazılımı operasyonlarıyla ilgili teknik ayrıntıları ve tehlike göstergelerini içeren acil bir uyarı yayımlamıştı.
FBI’ın yaptığı uyarıda LockBit fidye yazılımını önlemek için alınabilecek hafifletici önlemler de içeriyor:
- Parola oturum açma bilgilerine sahip tüm hesapların (ör. hizmet hesabı, yönetici hesapları ve etki alanı yönetici hesapları) güçlü ve benzersiz parolalara sahip olmasını zorunlu kılın
- Mümkün olduğu ölçüde tüm hizmetler için çok faktörlü kimlik doğrulaması kullanın
- Tüm işletim sistemlerini ve yazılımlarınızı güncel tutun
- Yönetici paylaşımlarına gereksiz erişimi kaldırın
- Kritik dosyalarda yetkisiz değişiklikleri önlemek için Windows işletim sisteminde korunan dosyaları etkinleştirin.
Ayrıca FBI, herhangi bir saldırganın, söz konusu kuruluşun kurumsal ortamını öğrenmesini sınırlamak için aşağıdaki eylemleri gerçekleştirmelerini belirtiyor:
- Bir ağ izleme aracıyla belirtilen fidye yazılımının anormal etkinliğini ve olası geçişini belirleyin, tespit edin ve araştırın
- Yönetici düzeyinde ve daha üst düzeyde ayarlanan hesaplar için zamana dayalı erişim uygulayın
- Komut satırı ve komut dosyası etkinliklerini ve bunların izinlerini devre dışı bırakın
- Verilerin çevrimdışı yedeklerini koruyun, düzenli olarak yedekleme ve geri yüklemeyi sürdürün
- Tüm yedekleme verilerinin şifrelendiğinden, değiştirilemez olduğundan ve tüm kuruluşun veri altyapısını kapsadığından emin olun
Bununla birlikte FBI, kurbanların fidye ödemekten kaçınmasını tavsiye ediyor.
Sophos araştırması: Türkiye’deki şirketlerin %63’ü fidye yazılım saldırısına uğradı
LOCKBIT’İN TEKNİKLERİ
Payloadlarında ve altyapılarında yaptığı değişikliklerle dönen çetenin yeni fidye yazılımı, diğer fidye yazılımlarından 6 kat daha hızlı bir şekilde verileri şifreliyor. IBM X-Force verilerine göre LockBit’in saldırılarından en çok etkilenen sektörlerin finans ve üretim olduğu görülüyor.
LockBit’in temel amacı, herkese açık uygulamaları ve “CVE-2019-0708” gibi zafiyetleri istismar ederek etki alanı yöneticisi hesabının erişimini elde etmek olarak biliniyor. Erişim elde etmesinin ardından çete, değerli verilerin ve Active Directory ortamının keşfini yapmaya başlıyor.
LockBit 2.0, RDP, Kimlik Avı E-postaları ve Drive-by indirmeleri ile yayılırken sistem üzerindeki açık portları kullanarak şifreleme işlemini başlatıyor. LockBit 2.0 ayrıca event loglarını ve shadow kopyalarını siliyor.
Şifreleme sürecinin sekteye uğramaması için yazılımın ikili dosyasını kayıt defteri anahtari içine yerleştiren çete, şifreleme aşaması bitmeden bilgisayar kapanırsa, kurban yeniden bilgisayarı açtığında şifreleme işlemini tekrar başlatabiliyor.
