Microsoft, fidye yazılımı tehdit aktörü Storm-0501’in yakın zamanda taktik değiştirdiği ve artık hibrit bulut ortamlarını hedef alarak tüm kurban varlıklarını tehlikeye atacak şekilde stratejisini genişlettiği konusunda uyarıyor.
Tehdit aktörü ilk olarak 2021 yılında Sabbath fidye yazılımı operasyonunun fidye yazılımı ortağı olarak ortaya çıktı. Daha sonra Hive, BlackCat, LockBit ve Hunters International çetelerinden dosya şifreleyen kötü amaçlı yazılımlar yaymaya başladılar. Son zamanlarda Ambargo fidye yazılımını dağıttıkları gözlemlendi.
Storm-0501’in son saldırıları ABD’deki hastaneleri, hükümeti, imalat ve ulaşım kuruluşlarını ve emniyet teşkilatlarını hedef aldı.
Storm-0501 saldırı akışı
Saldırgan, verileri çalmak ve fidye yazılımı yükünü yürütmek amacıyla zayıf kimlik bilgilerinden yararlanarak ve ayrıcalıklı hesaplardan yararlanarak bulut ortamlarına erişim elde eder.
Microsoft, Storm-0501’in ağa ilk erişimini çalınan veya satın alınan kimlik bilgileriyle veya bilinen güvenlik açıklarından yararlanarak elde ettiğini açıklıyor.
Son saldırılarda kullanılan kusurlardan bazıları CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler) ve muhtemelen CVE-2023-29300 veya CVE-2023-38203’tür (ColdFusion 2016).
Düşman, Impacket ve Cobalt Strike gibi çerçeveleri kullanarak yatay olarak hareket ediyor, bir Windows aracını taklit edecek şekilde yeniden adlandırılan özel bir Rclone ikili programı aracılığıyla verileri çalıyor ve PowerShell cmdlet’leriyle güvenlik aracılarını devre dışı bırakıyor.
Storm-0501, çalınan Microsoft Entra ID (eski adıyla Azure AD) kimlik bilgilerinden yararlanarak şirket içinden bulut ortamlarına geçerek senkronizasyon hesaplarını tehlikeye atıyor ve kalıcılık için oturumları ele geçiriyor.
Microsoft Entra Connect Sync hesapları, şirket içi Active Directory (AD) ile bulut tabanlı Microsoft Entra ID arasında veri senkronizasyonu için çok önemlidir ve genellikle çok çeşitli hassas eylemlere izin verir.
Saldırganlar, Dizin Senkronizasyon Hesabının kimlik bilgilerine sahipse, AADInternals gibi özel araçları kullanarak bulut parolalarını değiştirebilir ve böylece ek korumaları atlayabilirler.
Bulut ortamında bir etki alanı yöneticisi veya başka bir yüksek ayrıcalıklı şirket içi hesap da mevcutsa ve uygun korumalardan (örn. çok faktörlü kimlik doğrulama) yoksunsa Storm-0501, buluta tekrar erişmek için aynı kimlik bilgilerini kullanabilir.
Tehdit aktörü, bulut altyapısına erişim sağladıktan sonra, Microsoft Entra kiracısı içinde yeni bir birleştirilmiş etki alanı oluşturarak kalıcı bir arka kapı yerleştirir; bu, “Immutableid” özelliğinin kendileri tarafından bilindiği veya ayarlandığı herhangi bir kullanıcı olarak kimlik doğrulaması yapmalarına olanak tanır.
Son adımda saldırganlar ya kurbanın şirket içi ve bulut ortamlarına Embargo fidye yazılımını dağıtacak ya da daha sonra arka kapı erişimini sürdürecek.
“Tehdit aktörü ağ üzerinde yeterli kontrolü elde ettikten, hassas dosyaları başarılı bir şekilde çıkardıktan ve bulut ortamına yatay olarak geçmeyi başardıktan sonra, Embargo fidye yazılımını kuruluş genelinde dağıttı” Microsoft
Microsoft, “Tehdit aktörünün her zaman fidye yazılımı dağıtımına başvurmadığını ve bazı durumlarda ağa yalnızca arka kapı erişimini sürdürdüğünü gözlemledik” dedi.
Fidye yazılımı verisi, kuruluşun cihazlarındaki dosyaları şifrelemek için, zamanlanmış görevler veya Grup İlkesi Nesneleri (GPO’lar) aracılığıyla Etki Alanı Yöneticisi gibi güvenliği ihlal edilmiş hesaplar kullanılarak dağıtılır.
Kaynak: Microsoft
Ambargo fidye yazılımı etkinliği
Embargo tehdit grubu, şirketlerin ihlallerini gerçekleştiren bağlı kuruluşların veri yükünü dağıtmasını ve kârın bir kısmını geliştiricilerle paylaşmasını kabul eden hizmet olarak fidye yazılımı (RaaS) operasyonlarını yürütmek için Rust tabanlı kötü amaçlı yazılım kullanıyor.
Ağustos 2024’te, bir Embargo fidye yazılımı üyesi, American Radio Relay League’e (ARRL) saldırdı ve çalışan bir şifre çözücü karşılığında 1 milyon dolar aldı.
Bu yılın başlarında, mayıs ayında, bir Ambargo üyesi, Avustralya’nın en büyük ipotek kredisi ve yatırım yönetimi firmalarından biri olan Firstmac Limited’i ihlal etti ve bir çözüm için müzakere için son tarih dolduğunda 500 GB’lık çalıntı hassas veriyi sızdırdı.