LockBit 5.0’a Karşı Alınması Gereken Önlemler
LockBit 5.0’a Karşı Alınması Gereken Önlemler
Kurumlar Ne Yapmalı, Nereden Başlamalı?
LockBit 5.0, klasik bir fidye yazılımı sürümünden ziyade LockBit sonrası ransomware ekosistemini temsil eder. Bu nedenle savunma yaklaşımı da “antivirüs kur – bitti” seviyesinde olamaz. Bu yazı, kurumların pratikte alması gereken gerçekçi ve uygulanabilir önlemleri özetler.
LockBit benzeri saldırılarda asıl sorun “zararlının içeri girmesi” değil, içeri girdikten sonra saatlerce/dakikalarca fark edilmemesidir. Bu nedenle odak: erken tespit + etkiyi sınırlama.
1️⃣ Kimlik ve Yetki Yönetimi (En Kritik Katman)
LockBit saldırılarının büyük kısmı çalıntı kimlik bilgileri ile başlar. Özellikle Domain Admin ve servis hesapları hedeflenir.
- MFA: VPN, RDP, O365, Azure AD – her yerde zorunlu
- Domain Admin hesaplarını günlük işlerde kullanma
- Service account parolalarını uzun ve rotasyonlu yap
- Privileged Access Workstation (PAW) yaklaşımı uygula
- Gereksiz local admin yetkilerini kaldır
2️⃣ EDR / XDR Olmadan Olmaz
LockBit 5.0 benzeri tehditler, klasik antivirüs imzalarını bilerek ve isteyerek aşacak şekilde tasarlanır.
- EDR/XDR (Defender for Endpoint, Sophos, CrowdStrike vb.) aktif olmalı
- “Alert only” değil, block & isolate modları açık olmalı
- Living-off-the-Land (PowerShell, PsExec, WMI) davranışları izlenmeli
- EDR kapatma girişimleri kritik alarm olarak tanımlanmalı
3️⃣ Network Segmentasyonu ve RDP Gerçeği
LockBit yayıldığında genellikle: RDP + SMB + yönetim portları üzerinden lateral movement yapar.
- RDP’yi internetten tamamen kapat
- RDP gerekiyorsa: VPN + MFA + IP kısıtı
- Sunucu, kullanıcı, yedek ağlarını ayır
- SMB, RPC, WinRM trafiğini segmentler arası sınırla
4️⃣ Yedekleme: Sadece Var Olması Yetmez
LockBit operatörleri artık doğrudan yedekleri hedef alır. Bu yüzden yedekleme mimarisi kritik savunma katmanıdır.
- Offline veya immutable backup (Object Lock, air-gap)
- Backup sunucusu domain admin olmamalı
- Backup’lar düzenli restore testinden geçmeli
- Yedek ortamı ayrı network segmentinde olmalı
5️⃣ Loglama, SIEM ve Erken Tespit
LockBit saldırıları genellikle saatler veya günler öncesinden sinyal verir. Bu sinyaller log’larda gizlidir.
- Windows Event Log’lar merkezi toplanmalı
- Authentication, privilege escalation, process creation izlenmeli
- SIEM üzerinde anormal davranış kuralları tanımlanmalı
- EDR + Firewall + AD log’ları korele edilmeli
6️⃣ Incident Response Planı (Kağıt Üstünde Kalmasın)
Birçok kurum saldırı anında şu soruya takılır: “Şimdi ne yapacağız?” Bu soru soruluyorsa, plan yok demektir.
- Saldırı anında kimin ne yapacağı net olmalı
- Network izolasyonu nasıl yapılacak önceden bilinmeli
- Hangi sistemler kapatılır, hangileri çalışır kalır?
- Hukuk, KVKK, iletişim planı hazır olmalı
Sonuç: LockBit 5.0 Teknik Değil, Operasyonel Bir Tehdittir
LockBit 5.0’a karşı savunma: tek bir ürün veya tek bir ayar değildir. Kimlik, network, endpoint, yedekleme ve süreçlerin birlikte çalışması gerekir.
Doğru soru şudur:
“LockBit 5.0 gelir mi?”
“Geldiğinde biz ne kadar hazırız?”