Fidye yazılımı grupları genellikle araçları, teknikleri ve prosedürleri geri dönüştürür. Hatta bazıları bağlı kuruluşlar için oyun kitapları da sağlıyor.
Çok sayıda kişi uzaktan erişim için Cobalt Strike kullanıyor, RDP kaba kuvvet kullanıyor ve ağ makinelerini kontrol etmek için Etki Alanı Denetleyicisi sunucularını hedefliyor.
Sophos X-Ops’taki siber güvenlik araştırmacıları, geçtiğimiz günlerde Ocak 2023’ten itibaren fidye yazılımı saldırılarına ilişkin dört fidye yazılımı saldırısını inceledikleri araştırmalarını kamuoyuna bildirdiler.
Aşağıdaki saldırıları araştırdılar: –
- Hive tarafından bir saldırı
- Kraliyet tarafından iki saldırı
- Black Basta’dan bir saldırı
Bu saldırılarda, araştırmacıların kamuoyuna açıkladıkları en şaşırtıcı şey, bu fidye yazılımı gruplarının saldırı modellerinde birkaç benzerlik bulmalarıdır.
Davranış kalıpları
Aşağıda, Sophos MDR’deki güvenlik analistleri tarafından gözlemlenen tüm davranış modellerinden bahsetmiştik:-
- Saldırganlar, ele geçirilmiş Etki Alanı Denetleyicisi sunucularında rastgele olmayan, benzersiz kullanıcı adları ve karmaşık parolalarla yönetici hesapları oluşturdu.
- Aynı adlar kullanılarak uygulanan sabit takım kalıcılığı yöntemleri.
- Fidye yazılımı kurmak için eşleşen dağıtım öncesi toplu betiklerden yararlanıldı.
- Nihai fidye yazılımı yükü, hedeflenen kuruluşun adını taşıyan bir .7z arşivi aracılığıyla dağıtılır. Burada aynı parola ile .7z arşivi parola korumalıdır ve eşleşen bir kabuk komutuyla yürütülür.
Aynı Kalıbı İzleyen Fidye Yazılımı Saldırıları
Sophos MDR’nin dikkatini çeken şey, Royal fidye yazılımının, dış “bağlı” saldırganlardan kaçınan münhasırlığıyla tanınan bir grup olan saldırı kümesine dahil edilmesiydi.
Bir küme, ilişkilendirmeyi garanti etmez, ancak bazı senaryolarda, güçlü kanıtlarla aynı şeyi yapabilir. Paylaşılan davranışlar aynı saldırganları doğrulamaz ancak Kroll Inc. analizi beşinci bir saldırının bu kümeyle aynı hizada olduğunu gösterdiğinden benzer bir oyun kitabı önerir.
Aşağıda, kullanılan aynı toplu komut dosyalarından ve dosyalardan bahsetmiştik: –
- dosya1.bat
- dosya2.bat
- ip.txt
- gp.bat
Tehdit aktörleri, kalıcılık yöntemleri oluşturmak için Zamanlanmış Görevleri kullanır ve görevleri aşağıdaki ad türleriyle adlandırırlar:-
- Microsoft Güncellemesi
- Windows güncelleme
- Windows Güncellemesi 1
- Windows Güncellemesi 2
- Windows Sensörü
- Windows Sensörü qe 1
API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun
Şimdi üye Ol
Ortak Araçlar ve Teknikler
Kullanılan yaygın araçlar ve teknikler: –
- Advanced Port Scanner kullanarak ağ keşfi
- Base64 dizelerine dönüştürülen PowerShell komutlarının kapsamlı kullanımı
- Cobalt Strike ile ikincil yedek uzaktan erişim kurulumu
- TeamViewer, WizTree veya Citrix Enterprise Browser gibi ticari araçların kullanımı
- Uzak Masaüstü aracılığıyla yanal hareket
- Kimlik bilgileri ayıklamak için NTDS ve Kayıt Defteri kovanını boşaltma
- PsExec gibi çift kullanımlı araçların kullanımı
- Pastebin gibi genel hizmetlerde barındırılan yükler
- Sistemden çıkmak için rclone kullanımı
- Nihai koruma kaçırma için, tehdit aktörleri sistemleri Güvenli Mod’da yeniden başlatır.
Bu yılın başlarında farklı bir uç nokta güvenlik ürünü olan bir hedefe yönelik Hive fidye yazılımı saldırısının günlükleri, tehdit kümesi davranışının ilk işaretlerini ortaya çıkardı.
Bu saldırıları incelemek hem benzerlikleri hem de önemli farklılıkları ortaya çıkarır; ancak, ilk erişim yöntemleri, muhtemelen farklı İlk Erişim Aracılarından Royal satın alma erişimi nedeniyle farklılık gösterir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.