Önceki Olayların Gözden Geçirilmesi: LockBit Kimdir?
LockBit, ilk olarak Eylül 2019'da ortaya çıkan ve dosyaları şifrelerken '.abcd' sonekini ekleyen ilk sürüm nedeniyle bir zamanlar "ABCD Fidye Yazılımı" olarak bilinen aktif bir hizmet olarak fidye yazılımı (RaaS, Hizmet Olarak Fidye Yazılımı) grubudur. Teknolojik olgunluğu, yüksek derecede otomasyonu ve yüksek gasp verimliliği ile tanınan grup, dünyanın dört bir yanındaki işletmelere, hükümetlere, eğitim ve sağlık kurumlarına karşı çok sayıda saldırı başlattı ve çeşitli ulusal güvenlik kurumları (APT) kuruluşları tarafından gelişmiş bir kalıcı tehdit olarak sınıflandırıldı. Bu organizasyonu geçen yıl açıklamıştık.
LockBit'in teknolojisi sürekli olarak evrim geçirerek birden fazla versiyon geliştirmiştir:
LockBit 1.0 (2019): " .abcd " uzantısı ile karakterize edilir, Windows platformunu destekler, RSA + AES algoritması ile şifreleme yapar, hızlı çalışma hızı vardır;
LockBit 2.0 (2021): Otomatik yayılma yeteneği getirildi, fidye verimliliği artırıldı;
LockBit 3.0 / LockBit Black (2022): Modüler tasarım, güçlü analiz direnci sunar ve ilk kez bir güvenlik açığı ödül programı başlatarak dış güvenlik araştırmacılarına fidye yazılımını test etmeleri için ödüller sunar;
LockBit Green (söylentilere göre 2023 versiyonu): Dağılmış Conti fidye çetesi kodlarının bir kısmını entegre ettiği iddia ediliyor.
RaaS modelinin tipik bir örneği olarak LockBit, çekirdek geliştiriciler aracılığıyla fidye yazılımı araç setleri sağlar, belirli saldırılardan, sızmalardan ve dağıtımlardan sorumlu olmak için "franchise (Affiliates)" çeker ve ortalama bir saldırgan için %70 oranında paylaşılabilen fidye paylaşımı yoluyla işbirliğini teşvik eder. Buna ek olarak, "çifte gasp" taktiği son derece baskıcıdır: bir yandan dosyaları şifreler, diğer yandan verileri çalar ve herkese açık hale getirmekle tehdit eder ve kurban fidyeyi ödemeyi reddederse, veriler özel sızıntı sitesinde asılacaktır.
Teknik olarak LockBit, Windows ve Linux sistemlerini destekler, yüksek performanslı şifreleme elde etmek için çok iş parçacıklı şifreleme teknolojisi ve AES-NI komut seti kullanır, intranet üzerinden yatay olarak hareket etme yeteneğine sahiptir (PSExec, RDP patlatma vb. gibi) ve veritabanları gibi temel hizmetleri aktif olarak kapatır ve şifrelemeden önce yedeklemeleri siler.
LockBit saldırıları genellikle son derece sistematik olup, tipik APT özelliklerine sahiptir. Tüm saldırı zinciri genel olarak aşağıdaki gibidir:
İlk erişim (oltalama e-postaları, zafiyet istismarı, RDP zayıf parolası)
LockBit aktif olduğu dönemde birçok sansasyonel olaya neden oldu:
2022 yılında İtalya Vergi Dairesi'ne yapılan saldırı, milyonlarca vergi mükellefinin verilerini etkiledi;
Kanada'daki SickKids hastanesini saldırmakla suçlandı, ardından özür diledi ve şifre çözücü sağladı;
Birçok üretici (savunma, tıbbi cihaz şirketleri gibi) LockBit şifrelemesiyle karşı karşıya kaldı;
2022 ikinci çeyrekte, dünya genelindeki fidye saldırılarının %40'ından fazlasını oluşturuyordu;
1000'den fazla şirket üzerinde etki yarattı, Conti, REvil gibi eski çeteleri çok geride bıraktı;
Fidye alma başarı oranı çok yüksek, 2022 yılında talep edilen 100 milyon dolarlık fidyenin yarısından fazlası başarıyla alındı.
Ancak, LockBit kadar güçlü olsa da, hatasız değildir. 19 Şubat 2024'te, LockBit'in web sitesi Birleşik Krallık Ulusal Suç Ajansı, ABD Federal Soruşturma Bürosu, Avrupa Polis Teşkilatı ve Uluslararası Polis Teşkilatı'nın ortak bir uygulama operasyonunda kapatıldı ve çok sayıda LockBit üyesi tutuklandı veya aranıyor, ancak çekirdek geliştirme ekibi hala tamamen yok edilmedi, bazı örnekler hala karanlık ağda dolaşıyor ve yan kuruluşlar tarafından kullanılmaya devam ediyor.
Acil Durum: LockBit Sitesi Hacklendi
Bugün, SlowMist (, LockBit'in onion sitesinin hacklendiğine dair istihbarat aldı. Saldırganlar sadece kontrol panelini ele almakla kalmayıp, aynı zamanda veritabanını içeren bir paket dosyası da yayınladılar. Bu durum, LockBit'in veritabanının ifşa edilmesine neden oldu; bu veritabanında Bitcoin adresleri, özel anahtarlar, sohbet kayıtları ve ilişkili şirketler gibi hassas bilgiler yer alıyor.
LockBitSupp: Sadece yetki kodu olan hafif kontrol paneli saldırıya uğradı, hiçbir şifre çözücü çalınmadı ve hiçbir şirket verisi zarar görmedi.
Rey: Evet, ama bu Bitcoin adresleri, konuşma içerikleri ve anahtarlar gibi bilgilerin sızdırıldığı anlamına geliyor... Bu durum itibarı da etkiler, değil mi?
Rey: Locker Builder (Şifreleme Oluşturucu) veya kaynak kodu çalındı mı?
Rey: Yeniden işleme başlayacak mısınız? Eğer öyleyse, ne kadar süre alacak?
LockBitSupp: Sadece Bitcoin adresi ve sohbet içeriği çalındı, şifre çözücü çalınmadı. Evet, bu gerçekten itibarı etkiliyor, ancak düzeltildikten sonra yeniden çevrimiçi olmanın da itibara etkisi olacak. Kaynak kodu çalınmadı. Kurtarma çalışmaları üzerinde çalışıyoruz.
Rey: Tamam, iyi şanslar dilerim. Cevabın için teşekkür ederim.
) sızıntı analizi
SlowMist### ( ile ilgili sızdırılan dosyaları ilk anda indirdik (sadece iç araştırma amacıyla, yedekler zamanında silinmiştir). LockBit'in iç işletim platformunun yapısını ve işlevsel bileşenlerini geri kazanmaya çalışarak, dizin yapısını, kod dosyalarını ve veritabanı içeriğini ilk analizini gerçekleştirdik.
Katalog yapısına baktığımızda, bu hafif bir PHP mimarisi ile yazılmış LockBit kurban yönetim platformuna benziyor.
Katalog Yapısı Analizi:
api/、ajax/、services/、models/、workers/ projelerin belirli bir modülerliğe sahip olduğunu gösteriyor, ancak Laravel gibi çerçevelerin (örneğin app/Http/Controllers) kurallarına uymuyor;
DB.php, prodDB.php, autoload.php, functions.php veritabanı ve işlevlerin yönlendirmesinin manuel olarak yönetildiğini belirtir;
vendor/ + composer.json Composer kullanıldı, bu da muhtemelen üçüncü taraf kütüphanelerin dahil edildiğini gösteriyor, ancak tüm çerçeve kendiniz yazmış olabilirsiniz;
victim/ ve notifications-host/ gibi klasör adları özellikle güvenlik araştırmalarında oldukça şüpheli.
Bu yüzden, "Prag"dan gelen bu hackerın muhtemelen PHP 0 gün veya 1 gün kullanarak web sitelerini ve konsolu ele geçirdiğini düşünüyoruz.
Aklama fonlarının akışı oldukça net, nihayetinde ticaret platformuna giriyor. Uzunluk sınırlamaları nedeniyle, MistTrack gelecekte kripto para adresleri ile ilgili daha fazla analiz gerçekleştirecek, ilgilenenler X: @MistTrack_io'yu takip edebilir.
Şu anda, LockBit resmi olarak bu olayla ilgili en son açıklamayı yaptı. Genel çeviri aşağıdaki gibidir:
"7 Mayıs 2025'te, otomatik kayıt özelliğine sahip hafif kontrol panellerimizden birinin güvenliği ihlal edildi ve herkesin yetkilendirmeyi atlayarak panele doğrudan erişmesine izin verildi. Veritabanı çalındı, ancak şifre çözücüyü veya kurban şirketi içeren hassas bir veri yoktu. Şu anda özel izinsiz giriş yöntemini araştırıyor ve yeniden yapılandırma sürecini başlatıyoruz. Ana kontrol paneli ve blog hala normal şekilde çalışıyor. ”
“Saldırganın ‘xoxo’ adında bir kişi olduğu ve Prag'dan geldiği iddia ediliyor. Onun kimliği hakkında kesin bilgi sağlayabilirsen — yeter ki bilgi güvenilir olsun, satın almak için para vermeye hazırım.”
LockBit'in bu yanıtı oldukça ironik. Daha önce, ABD Dışişleri Bakanlığı, LockBit çetesi'nin temel üyeleri veya ana iş birlikçilerinin kimlik ve konum bilgilerini almak için 10 milyon dolara kadar ödül teklif etmişti; ayrıca, )Affiliates( üyelerinin saldırı eylemlerini ifşa etmeyi teşvik etmek için 5 milyon dolara kadar ek ödül sunulmuştur.
Bugün, LockBit hacklendi ve kanalda saldırganların ipuçlarını aramak için ödül vermeye başladı - sanki "ödül avcısı mekanizması" kendi başına geri tepercesine, bu da gülünç bir durum yarattı ve iç güvenlik sisteminin açıklarını ve kaosunu daha da ortaya çıkardı.
) özet
LockBit, 2019'dan beri aktif olan, dünyanın en tehlikeli fidye yazılımı çetelerinden biridir ve toplam fidye tahsilatının (açıklanmayan veriler dahil) en az 150 milyon dolar olduğunu tahmin edilmektedir. RaaS (fidye hizmeti) modeli, birçok katılımcıyı saldırılara çekmektedir. Bu çete, 2024 yılının başlarında "Operation Cronos" adlı bir yasadışı müdahale ile karşılaşmasına rağmen, hala aktif durumdadır. Bu olay, LockBit'in iç sistem güvenliğinin ciddi bir tehdit altında olduğunu gösteriyor ve bu durum, itibarını, katılımcıların güvenini ve operasyonel istikrarını etkileyebilir. Aynı zamanda, siber alanda siber suç örgütlerine karşı "ters saldırı" eğilimini de göstermektedir.
Slow Mist güvenlik ekibi taraflara öneriyor:
Sürekli istihbarat izleme: LockBit'in yeniden yapılanma dinamiklerini ve potansiyel varyant sürümlerini yakından takip etmek;
Karanlık ağ gelişmelerini takip etme: İlgili forumlar, siteler ve istihbarat kaynaklarını gerçek zamanlı olarak izleme, ikincil sızıntıları ve veri kötüye kullanımını önleme;
RaaS tehdit savunmasını güçlendirme: Kendi maruz kalma yüzeyini gözden geçirme, RaaS araç zincirinin tanınması ve engellenmesi mekanizmalarını güçlendirme;
Organizasyon yanıt mekanizmasının geliştirilmesi: Kendi organizasyonuyla doğrudan veya dolaylı bir bağlantı tespit edilirse, derhal ilgili otoriteye bildirilmesi ve acil durum planının başlatılması önerilir;
Fon Takibi ve Dolandırıcılık Önleme Etkileşimi: Kendi platformuna şüpheli ödeme yolları akışının tespit edilmesi durumunda, zincir üzerindeki izleme sistemi ile birlikte kara para aklamayı önleme tedbirlerini güçlendirmek gerekmektedir.
Bu olay, güçlü teknik yeteneklere sahip hacker gruplarının bile siber saldırılardan tamamen kaçamayacağını bize bir kez daha hatırlatıyor. Bu da güvenlik profesyonellerinin sürekli savaşmasının nedenlerinden biridir.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Kara Koyma: Dünyanın Bir Numaralı Fidye Çetesi LockBit'in Hack Olayı Analizi
Önceki Olayların Gözden Geçirilmesi: LockBit Kimdir?
LockBit, ilk olarak Eylül 2019'da ortaya çıkan ve dosyaları şifrelerken '.abcd' sonekini ekleyen ilk sürüm nedeniyle bir zamanlar "ABCD Fidye Yazılımı" olarak bilinen aktif bir hizmet olarak fidye yazılımı (RaaS, Hizmet Olarak Fidye Yazılımı) grubudur. Teknolojik olgunluğu, yüksek derecede otomasyonu ve yüksek gasp verimliliği ile tanınan grup, dünyanın dört bir yanındaki işletmelere, hükümetlere, eğitim ve sağlık kurumlarına karşı çok sayıda saldırı başlattı ve çeşitli ulusal güvenlik kurumları (APT) kuruluşları tarafından gelişmiş bir kalıcı tehdit olarak sınıflandırıldı. Bu organizasyonu geçen yıl açıklamıştık.
LockBit'in teknolojisi sürekli olarak evrim geçirerek birden fazla versiyon geliştirmiştir:
RaaS modelinin tipik bir örneği olarak LockBit, çekirdek geliştiriciler aracılığıyla fidye yazılımı araç setleri sağlar, belirli saldırılardan, sızmalardan ve dağıtımlardan sorumlu olmak için "franchise (Affiliates)" çeker ve ortalama bir saldırgan için %70 oranında paylaşılabilen fidye paylaşımı yoluyla işbirliğini teşvik eder. Buna ek olarak, "çifte gasp" taktiği son derece baskıcıdır: bir yandan dosyaları şifreler, diğer yandan verileri çalar ve herkese açık hale getirmekle tehdit eder ve kurban fidyeyi ödemeyi reddederse, veriler özel sızıntı sitesinde asılacaktır.
Teknik olarak LockBit, Windows ve Linux sistemlerini destekler, yüksek performanslı şifreleme elde etmek için çok iş parçacıklı şifreleme teknolojisi ve AES-NI komut seti kullanır, intranet üzerinden yatay olarak hareket etme yeteneğine sahiptir (PSExec, RDP patlatma vb. gibi) ve veritabanları gibi temel hizmetleri aktif olarak kapatır ve şifrelemeden önce yedeklemeleri siler.
LockBit saldırıları genellikle son derece sistematik olup, tipik APT özelliklerine sahiptir. Tüm saldırı zinciri genel olarak aşağıdaki gibidir:
LockBit aktif olduğu dönemde birçok sansasyonel olaya neden oldu:
Ancak, LockBit kadar güçlü olsa da, hatasız değildir. 19 Şubat 2024'te, LockBit'in web sitesi Birleşik Krallık Ulusal Suç Ajansı, ABD Federal Soruşturma Bürosu, Avrupa Polis Teşkilatı ve Uluslararası Polis Teşkilatı'nın ortak bir uygulama operasyonunda kapatıldı ve çok sayıda LockBit üyesi tutuklandı veya aranıyor, ancak çekirdek geliştirme ekibi hala tamamen yok edilmedi, bazı örnekler hala karanlık ağda dolaşıyor ve yan kuruluşlar tarafından kullanılmaya devam ediyor.
Acil Durum: LockBit Sitesi Hacklendi
Bugün, SlowMist (, LockBit'in onion sitesinin hacklendiğine dair istihbarat aldı. Saldırganlar sadece kontrol panelini ele almakla kalmayıp, aynı zamanda veritabanını içeren bir paket dosyası da yayınladılar. Bu durum, LockBit'in veritabanının ifşa edilmesine neden oldu; bu veritabanında Bitcoin adresleri, özel anahtarlar, sohbet kayıtları ve ilişkili şirketler gibi hassas bilgiler yer alıyor.
![])https://img.gateio.im/social/moments-ec107b6678a78200582bd65b422ac683(
Daha dramatik olanı, hackerların değiştirilmiş sitede anlamlı bir cümle bıraktığıdır: "Suç işlemeyin, suç kötü bir şeydir, Prag'dan geliyor."
Kısa süre sonra, ilgili veriler GitHub gibi platformlara yüklendi ve hızla yayıldı.
! [])https://img.gateio.im/social/moments-b85028cd868818a42b45c68e4e83a88d(
LockBit resmi olarak ardından kanalı üzerinden Rusça bir yanıt verdi, anlamı aşağıdaki gibidir:
![])https://img.gateio.im/social/moments-0e1ddd21116426070d0b50e217c2c51c(
) sızıntı analizi
SlowMist### ( ile ilgili sızdırılan dosyaları ilk anda indirdik (sadece iç araştırma amacıyla, yedekler zamanında silinmiştir). LockBit'in iç işletim platformunun yapısını ve işlevsel bileşenlerini geri kazanmaya çalışarak, dizin yapısını, kod dosyalarını ve veritabanı içeriğini ilk analizini gerçekleştirdik.
![])https://img.gateio.im/social/moments-5d58a1b8f0663f172a3b53e867afca4c(
Katalog yapısına baktığımızda, bu hafif bir PHP mimarisi ile yazılmış LockBit kurban yönetim platformuna benziyor.
Katalog Yapısı Analizi:
Bu yüzden, "Prag"dan gelen bu hackerın muhtemelen PHP 0 gün veya 1 gün kullanarak web sitelerini ve konsolu ele geçirdiğini düşünüyoruz.
Yönetim kontrol paneli aşağıdaki gibidir:
![])https://img.gateio.im/social/moments-638ae43ae7dd23b3f4a46d1b65aa047e(
Bölüm sohbet iletişim bilgileri:
![])https://img.gateio.im/social/moments-05a790a5f442363d6dd8d4f540a6a08e(
Kırmızı çerçeve ile belirtilen bilgilere bakalım: Mağdur CEO co ... coinbase'den mi? Fidye ödemesi mi?
Ayrıca, sızan veritabanı yaklaşık 60.000 BTC adresini de kapsıyor:
![])https://img.gateio.im/social/moments-98af86d17156f34bffaf3572b6d1064b(
Sızdırılan veritabanında 75 kullanıcının hesap şifreleri var:
![])https://img.gateio.im/social/moments-9ad7b2a165b0b44b488a8ce629c92ee5(
![])https://img.gateio.im/social/moments-b165ac3ae81709c364c99de146b8822c(
İlginç pazarlık sohbeti:
![])https://img.gateio.im/social/moments-9bb7fc74fe43af66816b212207e3ecd8(
Rastgele ödeme başarılı olan siparişleri bul:
![])https://img.gateio.im/social/moments-f87e3bee4e601a8f6719260e46efb302(
Sipariş adresi:
![])https://img.gateio.im/social/moments-8d95205587817fc4e9a8f778a3e8e223(
MistTrack ile Bitcoin alma adreslerini izleyin:
![])https://img.gateio.im/social/moments-82ba79a37998661c4fc78828b70571f8(
Aklama fonlarının akışı oldukça net, nihayetinde ticaret platformuna giriyor. Uzunluk sınırlamaları nedeniyle, MistTrack gelecekte kripto para adresleri ile ilgili daha fazla analiz gerçekleştirecek, ilgilenenler X: @MistTrack_io'yu takip edebilir.
Şu anda, LockBit resmi olarak bu olayla ilgili en son açıklamayı yaptı. Genel çeviri aşağıdaki gibidir:
![])https://img.gateio.im/social/moments-ee3f47701516799a0cfc67864a3f23e6(
LockBit'in bu yanıtı oldukça ironik. Daha önce, ABD Dışişleri Bakanlığı, LockBit çetesi'nin temel üyeleri veya ana iş birlikçilerinin kimlik ve konum bilgilerini almak için 10 milyon dolara kadar ödül teklif etmişti; ayrıca, )Affiliates( üyelerinin saldırı eylemlerini ifşa etmeyi teşvik etmek için 5 milyon dolara kadar ek ödül sunulmuştur.
Bugün, LockBit hacklendi ve kanalda saldırganların ipuçlarını aramak için ödül vermeye başladı - sanki "ödül avcısı mekanizması" kendi başına geri tepercesine, bu da gülünç bir durum yarattı ve iç güvenlik sisteminin açıklarını ve kaosunu daha da ortaya çıkardı.
) özet
LockBit, 2019'dan beri aktif olan, dünyanın en tehlikeli fidye yazılımı çetelerinden biridir ve toplam fidye tahsilatının (açıklanmayan veriler dahil) en az 150 milyon dolar olduğunu tahmin edilmektedir. RaaS (fidye hizmeti) modeli, birçok katılımcıyı saldırılara çekmektedir. Bu çete, 2024 yılının başlarında "Operation Cronos" adlı bir yasadışı müdahale ile karşılaşmasına rağmen, hala aktif durumdadır. Bu olay, LockBit'in iç sistem güvenliğinin ciddi bir tehdit altında olduğunu gösteriyor ve bu durum, itibarını, katılımcıların güvenini ve operasyonel istikrarını etkileyebilir. Aynı zamanda, siber alanda siber suç örgütlerine karşı "ters saldırı" eğilimini de göstermektedir.
Slow Mist güvenlik ekibi taraflara öneriyor:
Bu olay, güçlü teknik yeteneklere sahip hacker gruplarının bile siber saldırılardan tamamen kaçamayacağını bize bir kez daha hatırlatıyor. Bu da güvenlik profesyonellerinin sürekli savaşmasının nedenlerinden biridir.