Siber güvenlik araştırmacıları yakın zamanda fidye yazılımının yeni bir çeşidi olan “3AM”i keşfetti.
3AM adı kurbanların sistemlerine bıraktığı fidye notlarından geliyor. Bu yeni tehdit, Tehdit Aktörlerinin başlangıçta iyi bilinen LockBit fidye yazılımını dağıtmaya çalıştığı ancak başarısız olduğu bir durumda keşfedildi.
03:00 fidye yazılımına ilişkin veriler, dağıtıldığı gözlemlenen örneklerin sınırlı olması nedeniyle hâlâ yetersiz kalıyor; Tüm göstergeler, LockBit ve diğer bilinen değişkenlerin hedef sistem(ler)i tehlikeye atma konusunda başarısız olması durumunda fidye yazılımı ortakları tarafından dağıtılan bir yedekleme türü olarak kullanıldığına işaret ediyor.
Başarısız LockBit saldırıları için Olası Olası Durum?
Şu anda, araştırmacılar bu varsayımı çoğunlukla LockBit’in konuşlandırıldığının gözlemlendiği ancak amaçlanan hedef tarafından oluşturulan kapsamlı güvenlik önlemleri nedeniyle yürütülemediği münferit bir olaya dayandırıyorlar.
Bu noktada fidye yazılımı ortağı olduğu varsayılan Tehdit Aktörü, daha sonra hedefi tehlikeye atmak için alternatif bir vektör olarak 3AM fidye yazılımını kullanmaya çalıştı.
3AM Fidye Yazılımının Özellikleri
Çoğu fidye yazılımı çeşidinden farklı olarak 3AM, Rust programlama dilinde kodlanmıştır ve şu anda bilinen herhangi bir fidye yazılımı grubuyla bağlantılı gibi görünmemektedir.
Spesifik hedefleri Veeam, Ivanti ve McAfee gibi yedekleme ve güvenlik hizmetleridir ve hedeflenen sistemlerde dosya şifrelemeyi başlatmadan önce bunları devre dışı bırakmak açık bir amaçtır.
3AM’in Gasp Teknikleri ve Müzakere platformu
3AM, çoğu fidye yazılımı çeşidine özgü oldukça standart gasp tekniklerini kullanır. Hedef veriler başlangıçta Tehdit Aktörüne sızdırılır ve sızdırılan dosyalar daha sonra şifrelenir.
Kurbanlar, oturum açtıklarında veya yukarıda belirtilen şifrelenmiş dosyaları açmaya çalıştıklarında bir fidye notu ile karşılanacak; notta, talep edilen fidye ödenmediği takdirde verilerinin açık artırmaya çıkarılacağı belirtiliyor.
Benzer şekilde, 3AM’in de oldukça basit bir Tor Müzakere ağı var ve kurbanlar fidye notunda verilen geçiş anahtarını kullanarak bunlara erişebilirler. Çoğu Fidye Yazılımı grubu için oldukça basit ve standart olsa da bu adım, konu müzakere/fidye ödemesi aşamasına geldiğinde Tehdit Aktörü için ekstra bir güvenlik katmanı ekler.
3AM Fidye Yazılımının Komut Satırı Parametreleri
3AM fidye yazılımı, her biri benzersiz bir amaca sahip olan çeşitli komut satırı parametrelerine göre çalışır. Bunları hizmet ettikleri amaçla birlikte aşağıda listeledik:
• “-k”: Bu, 32 karakterlik Base64 dizesini, genellikle fidye notundaki “erişim anahtarını” gerektirir.
• “-p” ve “-h”: Bu parametrelerin işlevleri henüz tanımlanmamıştır.
• “-m”: Bu, “yerel” veya “net” olabilen operasyonel yöntemi belirtir.
• “-s”: Bu, dosyalar içindeki uzaklıkları belirleyerek şifreleme işleminin hızını kontrol eder.
Kullanılan Kaçınma, Keşif ve Kalıcılık yöntemleri
Tehdit aktörü ilk olarak cihazdaki belirli bir kullanıcı için zorunlu politika ayarlarını elde etmek amacıyla “gpresult” komutunu kullandı. Saldırgan ayrıca birkaç Cobalt Strike modülü çalıştırdı ve PsExec’i kullanarak makineye erişim düzeyini artırmaya çalıştı.
3AM fidye yazılımı, tespit edilmekten kaçınmak için Cobalt Strike Bileşenlerini dahil etmek ve PsExec gibi ayrıcalık yükseltme araçlarını çalıştırmak gibi birden fazla teknik kullandı. Keşif amacıyla “netstat”, “whoami” ve “net share” gibi komutları uygular.
LockBit fidye yazılımını kullanmaya yönelik ilk girişimleri başarısız olduktan sonra saldırganlar sabah 3’e yöneldi. 3AM kullanımının yalnızca küçük bir kısmı başarılı oldu. Saldırganlar, kuruluşun ağında yalnızca üç makineye kötü amaçlı yazılım dağıtmayı başarabildi, ardından ikisi bunu engelledi.
3AM ayrıca şifre çözme ve veri kurtarma süreçlerinin işe yaramamasını sağlamak için yeni bir kullanıcı hesabı oluşturarak ele geçirilen sistemlerde kalıcılık sağlamaya çalışıyor ve kurbanların verilerine yeniden erişebilmeleri için fidye ödenmesi gerekiyor.
Sonuç: Henüz Gelişmeyen Bir Tehdit mi?
Sürekli olarak yeni fidye yazılımı aileleri ortaya çıkıyor, ancak bunların çoğunluğu ya hemen yok oluyor ya da hiçbir zaman fazla ilgi çekmeyi başaramıyor. Ancak bir LockBit bağlı kuruluşunun geri dönüş olarak sabah 3’ü kullandığı göz önüne alındığında, saldırganların hala bununla ilgilenmesi ve gelecekte tekrar ortaya çıkması mümkündür.
3AM, fidye yazılımı oyununda sessiz etkisi olan nispeten yeni bir varyanttır. Bunun nedeni kısmen bu varyantın kurbanı olduğu doğrulanan sistem sayısının az olmasıdır (araştırmacılar şu anda yalnızca 3 kurban tespit etti ve hafifletme çabaları bunlardan 2’sinin sabah 03.00’e kadar şifrelenmesini engellemeyi başardı).
Bu, 3AM’nin standart hafifletme ve güvenlik protokolleriyle karşılanabileceğini gösteren iyi bir işaret olsa da, kötü şöhretli LockBit fidye yazılımı türevine yedek olarak kullanılması, fidye yazılımı operatörleri ve bağlı kuruluşlar arasında kesinlikle güvenilirlik sağlayacaktır.
Bu nedenlerden dolayı yakın gelecekte 3AM’in daha da geliştirilmesini ve iyileştirilmesini bekliyoruz, bu da onu dikkat edilmesi gereken bir tehdit haline getiriyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.