Akira Fidye Yazılımı Meşru Araçlarla Havayolu Endüstrisine Saldırıyor


Havayolları, yolcuların hassas kişisel ve finansal bilgilerinin yanı sıra seyahat programları ve sadakat programlarını da barındırdıkları için sıklıkla bilgisayar korsanlarının hedefi haline geliyor.

Havayolları tehdit aktörleri için çekici olduğundan, operasyonlarını aksatmak ekonomik ve itibar statülerine oldukça zarar verebilir.

BlackBerry’deki siber güvenlik araştırmacıları, Latin Amerika’da Haziran 2024’te bir havayolunu hedef alan Akira fidye yazılımı saldırısının, meşru araçlar ve LOLBAS aracılığıyla ilk erişim keşfi ve kalıcılığını elde etmek için SSH kullandığını keşfetti.

Akira Fidye Yazılımı Havayoluna Saldırıyor

Linux tabanlı saldırgan, fidye yazılımını kullanmadan önce kritik verileri sızdırmıştı.

AKIRA, aynı zamanda Storm-1567 RaaS grubu (diğer adıyla Punk Spider ve GOLD SAHARA) olarak da bilinir, çift gasp yöntemini benimser ve sıklıkla meşru yazılımları kötüye kullanır.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files

Bu grup, faaliyetlerine Mart 2023’te başladı ve ekonominin farklı sektörlerinde faaliyet gösteren dünya çapında 250’den fazla kuruluştan bugüne kadar 42 milyon doların üzerinde fidye aldı.

Akira sadece Windows sistemlerine odaklanmıyor, aynı zamanda VMware ESXi sanal makineleri için bir tanesi gibi Linux sürümleri de bulunuyor; bu da her türlü BT ortamı için ne kadar çok yönlü olabileceğini gösteriyor.

Saldırı zinciri (Kaynak – BlackBerry)

Akira fidye yazılımının Latin Amerika havayollarına yönelik saldırısı, CVE-2023-27532 aracılığıyla yama uygulanmamış bir Veeam yedekleme sunucusunun istismarı yoluyla gerçekleştirildi.

Daha önce Akira operatörleri CVE-2020-3259 ve CVE-2023-20269 kodlarını kullanarak erişim sağlıyordu.

Saldırganlar, bir yönetici kullanıcısı oluşturarak ve keşifleri için Advanced IP Scanner gibi meşru araçları kullanarak sisteme girmek için SSH kullandılar. 133 dakikada, WinSCP aracılığıyla bazı verileri sızdırmayı başardılar.

Ertesi gün antivirüs koruması kapatıldı ve ağ Akira fidye yazılımı (w.exe) ile enfekte oldu. Kurtarmayı kısıtlamak için gölge kopyalar silindi.

Bu saldırıda kalıcılık için Impacket’ten smbexec, NetScan ve AnyDesk gibi farklı ses programları ve LOLBAS metodolojileri kullanıldı.

BlackBerry araştırmacıları, bu olayın, etkilenen dosyaların serbest bırakılması için ödenebilecek fidye miktarları ve dolaylı zararlar açısından maksimum etki yaratmayı amaçlayan karmaşık taktikler içerdiğini söyledi.

Bu Latin Amerika havayolu şirketi, uç nokta kayıtlarını kullanan Akira fidye yazılımı tarafından saldırıya uğradı; bu kayıtlar Remmina’nın kullanıldığını gösteriyor ve bu da saldırganların büyük ihtimalle Linux tabanlı olduğunu gösteriyor.

Veri sızdırma işlemi 77.247.126.158 IP adresi üzerinden gerçekleşti. Saldırı, UTC çalışma saatleri içerisinde iki gün boyunca gerçekleşti ve saldırganların UTC’ye yakın veya UTC’de bir zaman diliminde, muhtemelen Batı Avrupa’da olabileceğini gösteriyor.

Akira, genellikle küçük ve orta ölçekli işletmeleri hedef alan bir Hizmet Olarak Fidye Yazılımı operasyonudur ancak Kuzey Amerika ve Avrupa’daki bazı büyük şirketlere de saldırmıştır.

Bu olay, bu tür karmaşık siber tehditleri engellemek için kurumsal ağlarda anında yama ve yazılım güncellemelerinin yapılmasının ne kadar kritik bir öneme sahip olduğunu ve bu grubun Latin Amerika’ya doğru yayıldığını ortaya koyuyor.

“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo



Source link