Araştırmacılar Medusa Fidye Yazılımı Grubunun Bulut Depolama Sistemine Girdi


Medusa Fidye Yazılım Grubunun OPSEC Başarısızlığı: Bulut Depolama Alanlarına Sızma

Medusa Fidye Yazılımı Grubu, çalınan verileri bulut depolama hizmeti put.io’da depolamak için yaygın olarak kullanılan bir veri sızdırma aracı olan Rclone’u kullanmasından kaynaklanan önemli bir operasyonel güvenlik (OPSEC) hatası yaşadı.

Asıl sorun, erişim belirteçleri ve diğer kimlik bilgilerini içeren yanlış yapılandırılmış bir Rclone yapılandırma dosyasından kaynaklanıyordu ve bu da yanlışlıkla depolama alanlarına yetkisiz erişime izin veriyordu.

DÖRT

Medusa grubu bu dikkatsizliği istismar ederek Medusa grubunun bulut depolama alanına sızdı ve çalınan verilerden oluşan bir hazineye erişim sağladı.

Araştırmacılar bulut depolama alanına eriştiklerinde Medusa grubunun, Kansas City Alan Ulaştırma Otoritesi gibi kurbanlarına ait hassas veriler de dahil olmak üzere çeşitli dosyaları depoladığını ve bu sayede kritik dosyaları kurtarmanın yanı sıra silerek kurbanlara gelebilecek olası zararı azalttıklarını buldular.

Bir saldırgan, bulut depolama yönetimi aracı olan Rclone’u kullanarak tehlikeye atılmış bir sistemden veri çaldı.

conf.txt dosyası

C:\Windows\AppCompat\ dizinindeki Rclone yapılandırma dosyası (conf.txt), saldırganın verileri sızdırmak için put.io servisini kullandığını gösteriyor ve saldırganın veri hırsızlığı için önceden yapılandırılmış bir bulut depolama hesabını kullandığını öne sürüyor. Bu da bulut depolama kimlik bilgilerinin güvenliğini sağlamanın ve yetkisiz erişime karşı izleme yapmanın önemini vurguluyor.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Bu operasyonel yanlış adımların ortaya çıkması, siber operasyonlarda kullanılan araç ve servislerin güvenli bir şekilde yapılandırılmasının ve dikkatli bir şekilde izlenmesinin önemini vurgulamaktadır.

Medusa grubunun depolama alanına sızma, grubun operasyonları, yöntemleri ve hedefleri hakkında da değerli istihbarat sağladı. Bu da siber güvenlik açısından, özellikle güvenli bulut depolama uygulamalarının önemi ve hassas bilgilerin kolayca erişilebilen yerlerde bırakılmasının riskleri açısından daha geniş kapsamlı etkilere sahip.

put.io API belgeleri

Put.io’nun veri sızdırma amacıyla kullanıldığı benzer olayların tespiti için Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemleri için bir tespit kuralı türü olan Sigma kuralının geliştirilmesi.

Benzer OPSEC hatalarının gelecekte de istismar edilmesini önlemek amacıyla bu kural, siber güvenlik ekiplerinin tespit ve müdahale yeteneklerini iyileştirmeyi amaçlıyor.

Medusa Ransomware Group’un OPSEC başarısızlığı, özellikle çalınan verileri yönetirken ve bulut hizmetlerini kullanırken güçlü güvenlik prosedürlerine sahip olmanın ne kadar önemli olduğunu bir kez daha ortaya koyuyor.

Burp Suite isteği ve yanıtı

Medusa Ransomware Group’un saldırısında bir güvenlik açığından (OPSEC zayıflığı) yararlanan Dark Atlas Squad, şirketin bulut depolama alanına sınırlı bir süreliğine sızarak, kurbanlarından sızdırdıkları verileri inceleme fırsatı yakaladı.

Yapılan incelemede Medusa’nın, fidye yazılımı grupları tarafından sıkça kullanılan popüler bir veri sızdırma aracı olan Rclone’u kullanarak, saldırıya uğramış sistemlerden veri çaldığı ortaya çıktı.

Rclone 70’ten fazla bulut depolama sağlayıcısını desteklerken, Medusa Ransomware Group haksız kazançlarını saklamak için daha az yaygın olan put.io hizmetini tercih etti.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link