Medusa Fidye Yazılımı Yükselişte: Veri Sızıntılarından Çoklu Gasplara
Medusa fidye yazılımıyla ilişkili tehdit aktörleri, taleplerini kabul etmek istemeyen kurbanların hassas verilerini yayınlamak için Şubat 2023'te dark web'de özel bir veri sızıntısı sitesinin piyasaya sürülmesinin ardından faaliyetlerini artırdı.
Palo Alto Networks Unit 42 araştırmacıları Anthony Galiette ve Doel Santos, paylaşılan bir raporda, "Çoklu gasp stratejilerinin bir parçası olarak, bu grup, verileri sızıntı sitelerinde yayınlandığında kurbanlara zaman uzatma, veri silme veya tüm verilerin indirilmesi gibi birden fazla seçenek sunacak" dedi.
"Tüm bu seçeneklerin, bu gruptan etkilenen kuruluşa bağlı olarak bir fiyat etiketi var."
Medusa (Medusa Locker ile karıştırılmamalıdır), 2023'te öne çıkmadan önce 2022'nin sonlarında ortaya çıkan bir fidye yazılımı ailesini ifade eder. Yüksek teknoloji, eğitim, üretim, sağlık ve perakende gibi çok çeşitli sektörleri fırsatçı bir şekilde hedeflemesiyle bilinir.
Çoğunluğu ABD, İngiltere, Fransa, İtalya, İspanya ve Hindistan'da olmak üzere 74 kadar kuruluşun 2023'te fidye yazılımından etkilendiği tahmin ediliyor.
Grup tarafından düzenlenen fidye yazılımı saldırıları, bilinen yamalanmamış güvenlik açıklarına sahip internete yönelik varlıkların veya uygulamaların istismar edilmesi ve meşru hesapların ele geçirilmesiyle başlar ve genellikle hedef ağlara bir dayanak elde etmek için ilk erişim aracılarını kullanır.
Siber güvenlik firması tarafından gözlemlenen bir örnekte, bir web kabuğunu yüklemek için bir Microsoft Exchange Server'dan yararlanıldı ve bu daha sonra ConnectWise uzaktan izleme ve yönetim (RMM) yazılımını kurmak ve yürütmek için bir kanal olarak kullanıldı.
Enfeksiyonların dikkate değer bir yönü, meşru faaliyetlerle uyum sağlamak ve algılamadan kaçınmak için arazi dışında yaşama (LotL) tekniklerine güvenmektir. Ayrıca, sabit kodlanmış bir güvenlik ürünleri listesini sonlandırmak için bir çift çekirdek sürücüsünün kullanılması da gözlemlenir.
İlk erişim aşamasını, güvenliği ihlal edilmiş ağın keşfi ve keşfi izler ve aktörler nihayetinde .dll, .exe, .lnk ve .medusa (şifrelenmiş dosyalara verilen uzantı) uzantılarına sahip olanlar için tüm dosyaları numaralandırmak ve şifrelemek için fidye yazılımını başlatır.
Güvenliği ihlal edilen her kurban için, Medusa'nın sızıntı sitesi, kuruluşlar hakkında bilgiler, talep edilen fidye, çalınan verilerin kamuya açıklanmasından önce kalan süre ve şirket üzerinde baskı uygulamak amacıyla görüntüleme sayısı görüntülenir.
Aktörler ayrıca kurbana farklı seçenekler sunuyor ve bunların tümü, çalınan verileri silmek veya indirmek için bir tür gasp içeriyor ve verilerin serbest bırakılmasını önlemek için bir süre uzatımı istiyor.
Fidye yazılımı, teknoloji şirketlerini, sağlık hizmetlerini, kritik altyapıyı ve aradaki her şeyi hedef alan yaygın bir tehdit olmaya devam ettikçe, arkasındaki tehdit aktörleri taktikleriyle daha da yüzsüzleşiyor, fiziksel şiddet tehditlerine ve hatta özel halkla ilişkiler kanallarına başvurarak kuruluşları kamuya açık bir şekilde adlandırmanın ve utandırmanın ötesine geçiyor.
Sophos araştırmacıları geçen ay yaptığı açıklamada, "Fidye yazılımı, tehdit ortamının birçok yönünü değiştirdi, ancak son zamanlardaki önemli bir gelişme, artan metalaştırma ve profesyonelleşmedir" dedi ve fidye yazılımı çetelerini "giderek daha fazla medya meraklısı" olarak nitelendirdi.
Unit 42'ye göre Medusa, yalnızca markalaşma çabalarını yürütecek bir medya ekibine sahip olmakla kalmıyor, aynı zamanda güvenliği ihlal edilmiş kuruluşların dosyalarının paylaşıldığı ve clearnet üzerinden erişilebildiği "bilgi desteği" adlı halka açık bir Telegram kanalından da yararlanıyor. Kanal Temmuz 2021'de kuruldu.
Araştırmacılar, "Medusa fidye yazılımının 2022'nin sonlarında ortaya çıkması ve 2023'teki kötü şöhreti, fidye yazılımı ortamında önemli bir gelişmeye işaret ediyor" dedi. "Bu operasyon, hem sistem güvenlik açıklarından hem de ilk erişim aracılarından yararlanan karmaşık yayılma yöntemlerini sergilerken, karada yaşama teknikleriyle tespit edilmekten ustaca kaçınıyor."
Gelişme, Arctic Wolf Labs'ın Akira ve Royal fidye yazılımı çetelerinin kurbanlarının ikincil gasp girişimleri için güvenlik araştırmacısı gibi davranan kötü niyetli üçüncü taraflarca hedef alındığı iki vakayı duyurmasıyla geldi.
Güvenlik araştırmacıları Stefan Hostetler ve Steven Campbell, "Tehdit aktörleri, mağdur kuruluşlara yardım etmeye çalıştıklarına dair bir anlatı uydurdu ve sızdırılan verileri silmek için ilgili orijinal fidye yazılımı gruplarının sunucu altyapısına girmeyi teklif etti" dedi ve tehdit aktörünün hizmet karşılığında yaklaşık 5 bitcoin istediğini belirtti.
Ayrıca, Finlandiya Ulusal Siber Güvenlik Merkezi'nin (NCSC-FI) 2023'ün sonlarına doğru ülkedeki Akira fidye yazılımı olaylarında bir artış olduğuna dair yeni bir tavsiyesini takip ediyor Cisco VPN cihazlarındaki bir güvenlik açığından yararlanarak (CVE-2023-20269, CVSS puanı: 5.0) yerel varlıkları ihlal etmek için.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi