Yakın tarihli bir soruşturmada, Sygnia güvenlik firması Linux tabanlı fidye yazılımı Cheerscrypt buldu. Bu fidye yazılımı, Night Sky fidye yazılımının TTP’leri kullanılarak bulundu.
Hem Cheerscrypt hem de Night Sky’ın arkasında İmparator Dragonfly (AKA DEV-0401/BRONZE STARLIGHT) adlı ortak bir tehdit grubu var.
Emperor Dragonfly tarafından dağıtılan birkaç açık kaynaklı araç vardı. Çinli geliştiriciler bu araçları Çinli kullanıcılara sağlamak için sıfırdan Çince yazdılar.
‘İmparator Dragonfly’ fidye yazılımının orijinal operatörlerinin Çin’den olduğu iddialarını doğrulamaktadır.
Cheerscrypt fidye yazılımı, Windows tabanlı sistemlerde dosyaları şifrelemenin yanı sıra ESXi uygulamalarını da hedefler.
Cheerscrypt ve Night Sky arasındaki bağlantı
Bu saldırıda kullanılan TTP’lerin Night Sky tarafından kullanılanlarla pek çok ortak yönü olduğu son derece açıktır.
Cheerscrypt’in çalışmalarının birincil odak noktası, ESXi sunucularının şifrelenmesi ve son yüktür. Night Sky’ın başka bir tehdit grubuyla bağlantılı olduğunu gösteren bazı bilgiler zaten mevcuttu, ancak Cheerscrypt henüz tanımlanmamıştı.
Rapora göre, Cheerscrypt operatörleri kendilerini gerçek kimliklerine dair tek ipucu sağlayan Ukrayna yanlısı olarak sunuyorlar. Bu, “Ukrayna’ya Zafer!” anlamına gelen “Слава Україні!” İfadesiyle belirtilir. ve Ukrayna bayrağı gösteren karanlık web sızıntısı siteleri.
Saldırı öldürme zinciri dört aşamaya ayrılmıştır ve işte bunlar:-
- İlk erişim
- Ağ içinde bir dayanak oluşturmak
- yanal hareket
- Veri hırsızlığı ve fidye yazılımı yürütme.
Fidye yazılımı bağlı kuruluşları ve fidye yazılımı için sızdırılmış kaynak kodu dünyasında aynı tehdit aktörünün parçası olarak iki fidye yazılımı türünü belirlemek genellikle zordur.
Algılama noktaları
Aşağıda, İmparator Dragonfly’ın organizasyon ağındaki izlerini aramanıza yardımcı olabilecek bazı tespit ipuçları listelenmiştir: –
- Şüpheli klasörlerdeki ikili dosyaları, komut dosyalarını ve yürütmeleri arayın.
- SMBExec yürütmelerinin kanıtlarını arayın.
- WMIExec yürütmelerinin kanıtlarını arayın.
- Kullanıcıların kimlik doğrulamalarını ve olağandışı kaynaklardan gelen etkinliklerini izleyin.
Hafifletmeler
İmparator Yusufçuk’un TTP’lerine karşı savunmak için aşağıdaki önlemler uygulanabilir:-
- Kritik güvenlik açıklarını belirleyin ve düzeltin.
- Sunuculardan giden internet erişimini sınırlayın.
- Sanallaştırma platformunu koruyun.
- Ağ üzerinden yanal hareketi sınırlayın.
- Ayrıcalıklı hesapları koruyun.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin