ALPHV/BlackCat fidye yazılımı kartelinin bir üyesi, kurbanlarını tehlikeye atmak için dolandırıcıların sevdiği kötü amaçlı reklamcılık tekniklerine yöneldi; yüklerini Advanced IP Scanner, Cisco AnyCONnect, Slack ve WinSCP gibi meşru yazılım indirmeleri olarak maskeledi ve kurbanları cezbetmek için Google reklamları satın aldı. .
ALPHV/BlackCat hizmet olarak fidye yazılımı operasyonu, iki Las Vegas kumarhanesine, uluslararası bir kozmetik firmasına ve önde gelen bir NHS Trust’a yapılan saldırılar da dahil olmak üzere yakın zamanda gerçekleşen siber soygunlarla ilişkilendirildi.
Geçmişte, grubun üyeleri, geçerli kimlik bilgilerinin çalınması, uzaktan yönetim ve izleme hizmetlerinin kötüye kullanılması ve tarayıcı tabanlı saldırılar yoluyla ağlarına ilk erişim sağlamak için oldukça standart yöntemler kullanıyor.
BlackCat’in hikayesindeki en son değişiklik, eSentire’ın Tehdit Yanıt Birimi’nden (TRU) araştırmacıların, müşteri ağındaki, hiçbir şeyden haberi olmayan iş kullanıcılarının, bağlı kuruluş tarafından satın alınan sahte Google reklamları yoluyla saldırganların kontrolündeki web sitelerine çekildiği bir dizi izinsiz girişe yanıt vermesinden sonra geldi.
TRU’nun kıdemli tehdit araştırmacısı Keegan Keplinger, kurbanların kandırıldıktan sonra farkında olmadan aldıklarını düşündükleri ürünü değil, Nitrogen kötü amaçlı yazılımını indirdiklerini açıkladı.
Keplinger yeni yayınlanan bir açıklama blogunda “Nitrojen, gizlilik için Python kitaplıklarından yararlanan ilk erişimli kötü amaçlı yazılımdır” diye açıkladı. “Bu dayanak, davetsiz misafirlere hedef kuruluşun BT ortamına ilk giriş imkanı sağlıyor. Bilgisayar korsanları bu ilk tutunmayı sağladıktan sonra hedefe kendi seçtikleri kötü amaçlı yazılımı bulaştırabilirler.”
Nitrojen, fidye yazılımı operatörü tarafından kullanılan adlandırma kuralında bulunan bir yapıdan dolayı bu adı almıştır. Kurbanın güvenlik kontrollerini atlatmak için oldukça karmaşık Python kitaplıkları kullanması nedeniyle, ilk erişime sahip kötü amaçlı yazılımlar arasında benzersizdir.
Keplinger bunun mümkün olduğunu söyledi, çünkü Python kitaplıkları meşru araçlardır (genellikle arazide yaşayan ikili dosyalar veya LoLBin’ler olarak bilinir) ve genellikle şüphe uyandırmazlar. Bu aynı zamanda araştırmacıların bir olay gerçekleştikten sonra ne olduğunu anlamalarını da zorlaştırıyor.
TRU ekiplerinin müdahale ettiği olaylarda, gerçek bir fidye yazılımı saldırısı gerçekleştirilemeden etkinlik durduruldu.
Ancak Keplinger, güvenlik farkındalığı eğitimlerinin çoğunun hala kötü amaçlı e-posta eklerini merkeze aldığından, tarayıcı tabanlı kötü amaçlı yazılım indirmelerinin bir erişim vektörü olarak ilgi kazandığı ve bunun özellikle son kullanıcıların kendi yazılımlarını indirmekte özgür olduğu kuruluşlara zarar verebileceği konusunda uyardı.
“Kuruluşların, kullanıcı farkındalığı eğitiminin bir parçası olarak sahte reklam kullananlar da dahil olmak üzere tarayıcı tabanlı saldırıları dahil etmeye başlaması gerekiyor. Tarayıcı tabanlı saldırılar giderek daha fazla uygulamalı fidye yazılımı saldırılarına ve daha sonra fidye yazılımı saldırılarına olanak tanıyan bilgi hırsızlarına yol açıyor” diye yazdı Kepliner.
“.js ve .vbs gibi komut dosyaları etrafında saldırı yüzeyi azaltma kuralları uyguladığınızdan emin olun, ancak bu saldırılar .ISO dosyalarına ulaştığında ‘Web İşareti’nin kaybolacağını ve dolayısıyla Saldırı Yüzeyi Azaltma kurallarının kazanılacağını unutmayın. İnternetteki dosyaları tespit edemiyorum.”
“Sosyal mühendislik saldırıları kullanıcı incelemesini atladığında kötü amaçlı yürütmeleri yakalayabilmenizi sağlamak için uç nokta izlemeyi kullanın ve uç nokta kapsamının tamamen kapsamlı olduğundan emin olun. TRU, fidye yazılımı saldırılarının, uç nokta izleme kapsamı dışında olan uç noktalarda başladığında öldürme zincirinin daha da aşağılarına doğru ilerleme eğilimi gözlemledi.
“[Also] Telemetriyi yakaladığınızdan emin olmak için günlük kaydı kullanın – özellikle VPN, cihaz kaydı ve Citrix, IIS ve bulut hizmetleri gibi uç nokta telemetrisi oluşturmayan uygulamalar için sunucu yazılımı dahil olmak üzere uç nokta aracısını desteklemeyen cihazlar ve hizmetler için ,” ekledi.