Sofistike bir fidye yazılımı saldırısı, 2025’te siber suçluların gelişen taktiklerini sergileyen tehlikeye atılmış üçüncü taraf yönetilen servis sağlayıcı (MSP) kimlik bilgileri aracılığıyla hedefleme organizasyonları ortaya çıktı.
Hizmet olarak fidye yazılımı (RAAS) bağlı kuruluşu olarak çalışan Sinobi Grubu, Domain yöneticisi haklarıyla aşırı privile Active Directory hesaplarıyla eşlenmiş Sonicwall SSL VPN kimlik bilgilerini kullanarak kurumsal ağlara başarılı bir şekilde sızdı.
Saldırı kampanyası, tehdit aktörlerinin ilk ağ erişimini elde etmek için güvenilir üçüncü taraf ilişkilerinden yararlandıkları ve geleneksel çevre savunmalarını atladıkları bir eğilim gösteriyor.
Ağın içine girdikten sonra, saldırganlar yeni yönetici hesapları oluşturarak ve tehlikeye atılan altyapı boyunca yanal hareket gerçekleştirerek ve sonuçta Sinobi fidye yazılımı yükünü yerel ve paylaşılan ağ sürücülerine dağıtarak kalıcılık oluşturdular.
Esentir analistleri, Sinobi ve daha önce bilinen Lynx fidye yazılımı arasında önemli kod örtüştüğü belirledi, bu da Sinobi’nin ilk olarak 2024’te ortaya çıkan Lynx Raas operasyonunun yeniden markasını temsil ettiğini gösteriyor.
Güvenlik araştırmacıları, Lynx Group’un fidye yazılım geliştirme araçlarının ticarileştirilmesini gösteren yeraltı hackleme forumları aracılığıyla “Salfetka” adlı bir kullanıcıdan Inc fidye yazılımı kaynak kodunu muhtemelen satın aldığını gösterdi.
.webp)
Kötü amaçlı yazılımların teknik karmaşıklığı, güvenlik kontrollerini devre dışı bırakmak ve şifreleme etkisini en üst düzeye çıkarmak için sistematik yaklaşımı ile belirginleşmektedir.
Erişim kazandıktan sonra, tehdit aktörleri, hem Revo Uninstaller hem de komut satırı işlemlerini kullanarak karbon siyah EDR’yi kaldırmaya çalıştı ve sonunda eşlenmiş ağ sürücülerinde depolanan deregasyon kodlarını keşfettikten sonra başarılı oldu.
Gelişmiş Şifreleme ve Veri Defiltrasyon Mekanizmaları
Sinobi fidye yazılımı, AES-128-CTR şifrelemesi ile birleştirilmiş Curve-25519 Donna kullanılarak sağlam bir şifreleme uygulaması kullanır ve saldırganın özel anahtarı olmadan dosya kurtarmayı imkansız hale getirir.
Kötü amaçlı yazılım, her dosya için CryptGenRandom işlevi aracılığıyla benzersiz şifreleme anahtarları oluşturur ve potansiyel şifre çözme fırsatlarını ortadan kaldıran kriptografik olarak güvenli anahtar üretimini sağlar.
Şifrelemeden önce, fidye yazılımı, IOCTL_VOLSNAP_SET_MAX_DIFF_Area_Size Kontrol Kodu ile Cihaziokontrol kullanan sofistike bir teknikle hacim gölge kopyalarını silerek hedef ortamı sistematik olarak hazırlar.
Kötü amaçlı yazılım aşağıdaki komut sırasını yürütür:-
sc config cbdefense start= disabled
cmd /c sc config cbdefense binpath= "C:\programdata\bin.exe" & shutdown /r /t 0Veri eksfiltrasyonu, çalınan bilgileri, siber saldırılarda sıkça gözlemlenen bir barındırma sağlayıcısı olan Global Connectivity Solutions LLP tarafından işletilen sunuculara yönlendiren meşru bir bulut aktarım yardımcı programı olan RCLone aracılığıyla gerçekleşir.
.webp)
Fidye yazılımı, .sinobi uzantısıyla şifreli dosyalar oluşturur ve Tor tabanlı iletişim kanalları ve ödeme talimatları içeren ReadMe.txt fidye notlarını dağıtır, mağdurların karanlık web sızıntısı sitelerinde veri yayınlanmasını önlemek için yedi gün içinde müzakere etmesini talep eder.
Saldırı, uzaktan erişim hesapları için katı ayrıcalık yönetimi uygulanmasının ve güvenlik aracı deregistration kodlarının erişilebilir ağ konumlarında depolanmasından kaçınmanın kritik öneminin altını çizmektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.