Manuel Statik Analiz — LockBit 2.0 Ransomware | Tehdit: KRITIK

Dosya Kimliği

SHA25647c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
Boyut900.464 byte
String Sayisi4.369

Token Privilege Yükseltme

OpenProcessToken          -- Hedef process token'ı aç
AdjustTokenPrivileges     -- SeDebugPrivilege / SeTakeOwnership ekle
CheckTokenMembership      -- Yönetici üyeliği kontrol
SetFileSecurityW          -- Dosya güvenlik tanımlayıcısı zorla yaz

String Tablosu (Ransomware Mesajları)

s:IDS_ALLFILES         -- "Tüm dosyalar" string ID'si
s:IDS_EXTRFILESTO      -- Dosya çıkarma string ID
s:IDS_EXTRFILESTOTEMP  -- Geçici klasör çıkarma string ID

LockBit Hakkında

LockBit, 2019'dan beri aktif olan ve dünya genelinde en aktif RaaS ailesidir. LockBit 2.0 (Temmuz 2021) ile hız rekorları kırdı. Active Directory'yi Mimikatz ile istismar eder ve Group Policy üzerinden dağılır. Windows ve Linux (ESXi) versiyonları vardır. Interpol 2022 ve 2023 operasyonları ile liderler tutuklanmıştır.

IOC

SHA25647c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
TeknikAdjustTokenPrivileges + SetFileSecurityW

LockBit2 — Malware Profile

LockBit 2.0, 2021 sonrası aktif RaaS. Hiz rekoru, AD/GP yayilim, Windows/Linux/ESXi. Interpol 2022-2023 operasyonu.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS/TOR
Target Systems
Kurumsal

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — LockBit2
# SHA256 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
TypeValueNote
sha256 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
Tags
lockbitlockbit2ransomwaretoken-privilegeadjust-tokenraas