Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Analistler Cerber Fidye Yazılımının Bir Conti Türevi Olduğunu Öneriyor
Sayın Mihir (MihirBagwe) •
8 Kasım 2023
Fidye yazılımı korsanları, şirketin müşterilerini hemen yama yapmaya çağırmasından birkaç gün sonra, Atlassian Confluence örneklerinde yakın zamanda açıklanan sıfır gün güvenlik açığından faydalanmayı ele geçirdi.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Güvenlik şirketleri Rapid7 ve Gri Gürültü Pazar günü, Atlassian’ın uygunsuz yetkilendirme güvenlik açığı olarak tanımladığı bir hatayı kullanan saldırılarda bir artış tespit etmeye başladıklarını söyledi (bkz.: Atlassian, Veri Kaybına Karşı Güvenlik Açığına Karşı Yama Çağrısında Bulundu).
Avustralyalı içerik işbirliği ve yönetimi çalışma alanı geliştiricisi Pazartesi günü hatanın kritikliğini CVSS ölçeğinde mümkün olan maksimum değer olan 10’a yükseltti.
Araştırmacılar başlangıçta CVE-2023-22518 olarak takip edilen kusurdan kaynaklanan tehlikeyi veri imhası olarak tanımladılar. Birçok siber güvenlik firması, bilgisayar korsanlarının bunu Cerber fidye yazılımını dağıtmak için kullandığını söyledi.
DFIR Raporundan güvenlik gönüllüleri söz konusu Fidye notunda “C3RB3R” adını kullanan bir grup Atlassian hatasını istismar etmişti.
Proofpoint’e göre Cerber, Ryuk ve SamSam ile birlikte 2021’in ilk üç fidye yazılımı çeşidi arasında yer aldı. Şirket o yıl 52,5 milyon Cerber saldırısı saydı ve Ryuk’un 93,9 milyon saldırısından sonra ikinci sırada yer aldı. Bu saldırıların, Cerber’in daha önceki üretken operasyonundan sorumlu olan aynı suç çetesinden gelip gelmediği bilinmiyor, özellikle de fidye yazılımı korsanlarının çalıntı veya sızdırılmış fidye yazılımı türlerini yeniden kullanma eğilimi göz önüne alındığında (bkz: Suçlular Neden Sızan Fidye Yazılımı Oluşturucularını Yeniden Kullanmaya Devam Ediyor?).
Fidye yazılımı alarmı, araştırmacıların özel hazırlanmış bir yazılım kullanan bilgisayar korsanlarını tespit etmesinden sonra geldi. .zip Siber güvenlik firması Red Canary, arşiv dosyasının “Confluence örneğindeki verileri silmenin yanı sıra sistemde isteğe bağlı uzaktan kod yürütülmesine izin verebilecek” bir web kabuğu yüklemek için kullanıldığını yazdı.
Firma, bilgisayar korsanlarının savunmasız Confluence örneklerine ilk erişimi elde ettiğini ve PowerShell komutlarını kullanarak Cerber fidye yazılımını iki internet protokolü adresinden yürütülebilir olarak indirdiğini söyledi. Yürütülebilir dosya geçici klasöre kaydedilir ve bir pencere görüntülemeden çalıştırılır. VirusTotal, 1 Kasım’da fidye yazılımı ikili dosyasının sunulduğunu kaydetti ve bu durum, saldırıların güvenlik açığının ortaya çıkmasından sonraki 24 saat içinde başladığını öne sürdü; Atlassian, 3 Kasım’da kamuya açık bir istismar hakkında uyarmadan önce.
Conti Bağlantısı
Red Canary’nin yürütülebilir Cerber fidye yazılımı analizi, artık kullanılmayan Conti fidye yazılımı grubuyla bağlantıları ortaya çıkardı. Cerber fidye yazılımı örneğinin “büyük olasılıkla Conti fidye yazılımı sızıntılarında ortaya çıkan malzemelerden türetildiği” belirtildi.
Fidye yazılımı ikilisi, dosyaları şifrelemek için ChaCha akış parçalayıcıyı kullanıyor; bu, Conti’nin aynı şifreleme algoritmasını kullanan bilinen son yapısıyla tutarlı. İkili dosya, Conti’nin yeteneklerine benzer şekilde, farklı şifreleme işlemleri için AES ve RC4’ü kullanma yeteneğini içerir. Ayrıca, uzak dosya paylaşımlarının yanı sıra yerel sürücülerdeki birden fazla dosya türünün şifrelenmesini de destekler. Conti’nin kodu 2022’de, Rusya’nın Ukrayna’ya karşı bir fetih savaşı başlatmasının ardından Kremlin ile uyumu konusunda iç anlaşmazlıkların ortasında grup çöktüğünde internete sızdırıldı.
Yürütme sırasında ikili dosya, yerel disklerdeki ve ağ paylaşımlarındaki dosyaları şifreler. .LOCK3D dosya uzantısına sahip olduğunu, bellekte bir muteks oluşturduğunu, birim gölge kopyalarını sildiğini, fidye notlarını düşürdüğünü ve ardından kendini sildiğini ekledi.
Fidye yazılımı ikili dosyası bir muteks oluşturur hsfjuukjzloqu28oajh727190 Aynı anda kötü amaçlı yazılımın yalnızca bir örneğinin çalıştığından emin olmak için nesne. Araştırmacılar daha önce bu özel muteksin Conti örnekleri ve ek fidye yazılımı aileleri arasında paylaşıldığını keşfetmişti. İddiaya göre sızdırılan Conti kodundan türetildi.