Pakistan’ın Ulusal Siber Acil Müdahale Ekibi (NCERT), Pakistan Petroleum Limited (PPL) dahil olmak üzere petrol ve gaz sektöründeki kritik altyapıyı tehlikeye atan “mavi soyunma” fidye yazılımlarından ciddi riskler uyarısı ile 39 kilit bakanlık ve kurum için yüksek usul bir danışma yaptı.
Pakistan’ın 14 Ağustos 2025’teki Bağımsızlık Günü ile çakışan saldırılar, 6 Ağustos’ta sistemleri şifreleyen ve yedeklemeleri silen bir olayı doğrulayarak operasyonları bozdu.
NCERT sözcüsü Imran Haider, bazı kuruluşlar etkilenirken, konuşlandırılan savunmaların kötü amaçlı yazılımları aktif olarak tespit ettiğini ve engellediğini bildirdi.
Shinra gibi proton aile varyantlarına bağlı olan bu fidye yazılımı, AES-RSA şifrelemesi, kayıt defteri modifikasyonları (T1547.001) yoluyla ayrıcalık artışı ve engelleme (T1140) ve Timestomping (T1070.006) yoluyla savunma kaçırma gibi gelişmiş taktikler kullanır.
Kimlik avı e -postaları, kötü niyetli ekler ve güvensiz uzaktan erişim yoluyla dağıtılır, mavi soyunma, şifrelenmiş dosyalara “. Blue” uzantılarını ekler, kritik sistem dizinlerini atlar ve Protonmail ve Tox IM de dahil olmak üzere anonim kanallardan ödeme talep eden “restorore_file.txt” gibi fidye notlarını düşürür.
Tersine mühendislik, parola veritabanlarına erişmek ve şifrelemek için xor kodlu dizeleri kullanarak chrome.exe gibi işlemleri sonlandırırken, geri kazanımı engellemek için gölge kopyalarını WMIC komutlarıyla silin.
Teknik döküm
Genellikle PowerShell Loaders aracılığıyla teslim edilen Blue Locker’ın yükü, güvenlik savunmalarını devre dışı bırakır, ayrıcalıkları artırır (T1548.002) ve HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ RUN’a enjekte ederek kalıcılık sağlar.
Süreçleri (T1057) numaralandırır, dosya yapılarını (T1083) keşfeder ve uzun süreli durum için sistem stabilitesini korumak için .bat ve .cmd gibi yürütülebilir ürünleri hariç tutarken hedeflenen dosya türlerini şifrelemek için UAC (T1562.001) atlar.
Uzlaşma göstergeleri, d3cc6cc4538d57f2d1f8a9d46a3e8be73ed849f7fe37d1d969c0377cf1d0fadc ve NCERT’in engellendiği ağ alanlarını içerir.
Resculity’nin analizi, mavi dolabı Shinra (ilk olarak Nisan 2024’te görülen) dahil olmak üzere Proton fidye yazılımı soyuna bağlar, ancak orijinler İranlı aktörlere veya karanlık web kaynak kodu satışlarını izleyebilir.
Bu, verileri şifreleyen ve çalışan kayıtları ve sözleşmeler gibi hassas bilgilerin sızıntılarını tehdit eden çift genişlemeli taktiklerde Conti ve Black Basta ile benzerlikleri olan bir hizmet olarak fidye yazılımı modeli evrimi önermektedir.
Atıf, potansiyel olarak Asya’nın teknolojisini, hükümetini ve enerji sektörlerini hedeflemek için siber suçlu olarak maskeleyen ulus-devlet aktörleri tarafından, Pakistan’ın BT altyapısında jeopolitik gerginlikler arasında güvenlik açıklarından yararlanıyor.
Daha geniş sonuçlar
NCERT, yanıt olarak, ilk erişim vektörlerini engellemek için çok faktörlü kimlik doğrulama, ağ segmentasyonu, normal yama yönetimi, çevrimdışı yedeklemeler ve kimlik avı tespiti konusunda çalışan eğitimi gibi sağlam önlemler önerir.
Olay müdahale planları, enfekte olmuş sistemlerin izole edilmesini, adli kanıtları korumayı ve saldırganları caydırmak için fidye ödemelerinden kaçınmayı vurgulamaktadır.
Pakistan’ın ordusunun eski CTO’su Tariq Malik gibi uzmanlar, hükümet siber güvenlik çerçevelerindeki sistemik zayıflıkları vurgularken, proaktif politikaları çağırırken, Pakistan Bilgi Güvenliği Derneği Ammar Jaffri gelişen tehditlere sürekli uyum sağlamayı vurgulamaktadır.
Doğrulanmamış karanlık ağ veri ihlallerinin ortasında, panik PPL’yi yükseltmek için muhtemelen psikolojik operasyonların adli analiz ve aşamalı iyileşme için aktif protokolleri sağlamıştır.
Bu olay, 2018’den bu yana% 350 küresel fidye yazılımı dalgalanmasının altını çiziyor ve mavi soyunma, erken tespit ve esneklik için siber tehdit istihbarat entegrasyonu gerektiren sofistike tehditleri örneklendiriyor.
Kritik altyapı saldırıları yoğunlaştıkça, Pakistan örgütleri operasyonel aksamaları ve veri açığa çıkma risklerini azaltmak için katmanlı savunmalara öncelik vermelidir.
AWS Security Services: 10-Point Executive Checklist - Download for Free