Phobos Fidye Yazılımı Agresif Bir Şekilde ABD'nin Kritik Altyapısını Hedef Alıyor
ABD siber güvenlik ve istihbarat kurumları, hükümeti ve kritik altyapı varlıklarını hedef alan Phobos fidye yazılımı saldırıları konusunda uyardı ve tehdit aktörlerinin dosya şifreleyen kötü amaçlı yazılımları dağıtmak için benimsediği çeşitli taktik ve teknikleri özetledi.
Hükümet, "Hizmet olarak fidye yazılımı (RaaS) modeli olarak yapılandırılan Phobos fidye yazılımı aktörleri, belediye ve ilçe hükümetleri, acil servisler, eğitim, halk sağlığı hizmetleri ve kritik altyapı dahil olmak üzere varlıkları hedef alarak birkaç milyon ABD dolarını başarılı bir şekilde fidye olarak aldı" dedi.
Danışmanlık, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi'nden (MS-ISAC) gelmektedir.
Mayıs 2019'dan beri aktif olan Phobos fidye yazılımının bugüne kadar Eking, Eight, Elbie, Devos, Faust ve Backmydata olmak üzere birden fazla çeşidi tespit edildi. Geçen yılın sonlarında Cisco Talos, 8Base fidye yazılımının arkasındaki tehdit aktörlerinin finansal olarak motive edilmiş saldırılarını gerçekleştirmek için bir Phobos fidye yazılımı varyantından yararlandığını açıkladı.
Phobos'un muhtemelen fidye yazılımının özel şifre çözme anahtarını kontrol eden merkezi bir otorite tarafından yakından yönetildiğini gösteren kanıtlar var.
Fidye yazılımı türünü içeren saldırı zincirleri, SmokeLoader gibi gizli yükleri bırakmak için genellikle ilk erişim vektörü olarak kimlik avından yararlanmıştır. Alternatif olarak, savunmasız ağlar, açıkta kalan RDP hizmetlerini avlayarak ve deneme yanılma saldırısı yoluyla bunlardan yararlanarak ihlal edilir.
Başarılı bir dijital zorla girmeyi, tehdit aktörlerinin ek uzaktan erişim araçlarını bırakması, kötü amaçlı kod yürütmek ve algılamadan kaçınmak için işlem enjeksiyon tekniklerinden yararlanması ve güvenliği ihlal edilmiş ortamlarda kalıcılığı sürdürmek için Windows Kayıt Defteri değişiklikleri yapması izler.
Ajanslar, "Ek olarak, Phobos aktörlerinin belirteçleri çalmak, erişim kontrollerini atlamak ve SeDebugPrivilege sürecinden yararlanarak ayrıcalıkları yükseltmek için yeni süreçler oluşturmak için yerleşik Windows API işlevlerini kullandıkları gözlemlendi" dedi. "Phobos aktörleri, etki alanı yöneticisi erişimine ulaşana kadar kurban makinelerinde önbelleğe alınmış parola karmalarını kullanarak kimlik doğrulaması yapmaya çalışır."
E-suç grubunun, aktif dizini numaralandırmak için Bloodhound ve Sharphound gibi açık kaynaklı araçlar kullandığı da biliniyor. Dosya hırsızlığı WinSCP ve Mega.io aracılığıyla gerçekleştirilir, ardından kurtarmayı zorlaştırmak amacıyla birim gölge kopyaları silinir.
Açıklama, Bitdefender'ın aynı anda iki ayrı şirketi etkileyen titizlikle koordine edilmiş bir fidye yazılımı saldırısını detaylandırmasıyla geldi. Senkronize ve çok yönlü olarak tanımlanan saldırı, CACTUS adlı bir fidye yazılımı aktörüne atfedildi.
Bitdefender'ın teknik çözümler direktörü Martin Zugec, geçen hafta yayınlanan bir raporda, "CACTUS, farklı sunuculara çeşitli türlerde uzaktan erişim araçları ve tüneller yerleştirerek bir kuruluşun ağına sızmaya devam etti" dedi.
"Başka bir şirkete geçme fırsatı bulduklarında, diğer ağa sızmak için operasyonlarını geçici olarak duraklattılar. Her iki şirket de aynı grubun bir parçası, ancak bağımsız olarak çalışıyor, herhangi bir yerleşik güven ilişkisi olmadan ayrı ağlar ve etki alanları sürdürüyor."
Saldırı, adı açıklanmayan şirketin sanallaştırma altyapısının hedef alınmasıyla da dikkat çekiyor ve CACTUS aktörlerinin Hyper-V ve VMware ESXi ana bilgisayarlarına saldırmak için odaklarını Windows ana bilgisayarlarının ötesine genişlettiğini gösteriyor.
Ayrıca, Ağustos 2023'teki ilk ifşasından 24 saatten kısa bir süre sonra internete maruz kalan bir Ivanti Sentry sunucusunda kritik bir güvenlik açığından (CVE-2023-38035, CVSS puanı: 9.8) yararlandı ve yeni yayınlanan güvenlik açıklarının fırsatçı ve hızlı bir şekilde silahlandırılmasını bir kez daha vurguladı.
Arctic Wolf'a göre fidye yazılımı, finansal olarak motive olmuş tehdit aktörleri için önemli bir para döndürücü olmaya devam ediyor ve ilk fidye yazılımı talepleri 2023'te bir önceki yıla göre %20'lik bir artışla ortalama 600.000 dolara ulaştı. 2023'ün 4. çeyreği itibariyle, ortalama fidye ödemesi kurban başına 568,705 ABD dolarıdır.
Dahası, bir fidye talebi ödemek, gelecekte koruma anlamına gelmez. Bir kurbanın verilerinin ve sistemlerinin güvenli bir şekilde kurtarılacağının ve saldırganların çalınan verileri yeraltı forumlarında satmayacağının veya onlara tekrar saldırmayacağının garantisi yoktur.
Siber güvenlik şirketi Cybereason tarafından paylaşılan veriler, "kuruluşların şaşırtıcı bir şekilde %78'inin fidyeyi ödedikten sonra tekrar saldırıya uğradığını ve bunların %82'sinin bir yıl içinde" olduğunu gösteriyor. Bu kurbanların %63'ünden "ikinci kez daha fazla ödeme yapmaları istendi".
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı