FBI ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bugün artan kilit fidye yazılımı tehdidine dair bir danışmanlık yayınladı.
Interlock fidye yazılımı varyantı ilk olarak Eylül 2024’ün sonlarında ortaya çıktı ve FBI-CISA danışmanlığı grubun kaç kurbanı iddia ettiğini söylemese de, Cyble Tehdit İstihbaratı araştırmacıları bugüne kadar 50 kilitli kurbanı belgeledi. Interlock, Haziran ayında 13 kurban iddia etti, Cyble’a göre, önceki aylık en yüksek seviyesini iki katına çıkardı ve ajansların danışmanlığını özellikle zamanında yaptı.
Danışmanlık, FBI araştırmalarına ve diğer kaynaklara dayanarak, uzlaşma (IOC’ler) ve taktikler, teknikler ve prosedürlerin (TTP’ler) Interlock fidye yazılımı göstergelerine bakar. FBI ve CISA, Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) tarafından danışmanlıkta katıldı.
Kavşak Fidye Yazılımı VMS’yi hedefler
FBI ve CISA, Interlock fidye yazılımı aktörlerinin fırsat ve finansal motivasyonlara dayanarak işletmeleri, kritik altyapıyı ve Kuzey Amerika ve Avrupa’daki diğer kuruluşları hedef aldığını söyledi.
Kavşak fidye yazılımı şifrelemeleri hem Windows hem de Linux işletim sistemleri için gözlemlenerek, her iki işletim sisteminde sanal makineleri (VM) şifreleyerek gözlenmiştir. İlk erişim, “fidye yazılımı grupları arasında nadir bir yöntem” olan tehlikeye atılan meşru web sitelerinden sürüşle indirildi. Fidye yazılımı grubu ayrıca ilk erişim için ClickFix sosyal mühendislik tekniğini de kullanmıştır.
Kuşkusuz aktörler VM’leri şifrelemeye odaklanmış olsa da, grubun gelecekte hedeflerini sunuculara, iş istasyonlarına ve fiziksel sunuculara genişletebilmesi mümkündür. Ajanslar, VM tehdidine karşı koymak için “sağlam uç nokta algılama ve yanıt (EDR) takım ve yetenekleri” önermektedir.
Ajanslar, Rhysida ve Interlock fidye yazılımı varyantları arasındaki benzerlikleri detaylandıran raporların farkında olduklarını söyledi.
Kavşak fidye yazılımı TTPS
CISA ve FBI, araştırmacılar yakın zamanda “ortak güvenlik yazılımı için güncellemeler olarak maskelenen” yük dosya adlarına geçiş yapmasına rağmen, bir kilitleme başlangıç erişim yöntemi sahte Google Chrome veya Microsoft Edge tarayıcı güncellemeleri aracılığıyla gerçekleşti.
Sahte Google Chrome tarayıcısı yürütülebilir, kurban kalıcılık oluşturmak için her oturum açtığında fareyi çalıştırmak için tasarlanmış Windows başlangıç klasörüne bir dosya bırakmak için bir PowerShell komut dosyası yürüten bir uzaktan erişim Truva atı (sıçan) olarak işlev görür. Bir Windows Kayıt Defteri Anahtar Modifikasyonu yoluyla kalıcılık oluşturan bir PowerShell komutu da gözlenmiştir.
Keşif için, bir PowerShell betiği kurban makineleri hakkında bilgi toplamak için bir dizi komut yürütür ve Kobalt Strike ve SystemBC gibi uygulamalar, Kilit Rat ve Nodesnake Rat ile birlikte komut ve kontrol için kullanılmıştır.
Kuşkusuz aktörler, tehlikeye atılan bir sistemin uzaktan kumandasını oluşturduktan sonra, bir kimlik bilgisi çalma (cht.exe) ve Keylogger ikili (klg.dll) indirirler ve yanal hareket ve ayrıcalık yükseltme için kimlik bilgilerini toplamak için Lumma Stealer ve Berserk Stealer kullanılarak gözlemlenirler.
Fidye yazılımı aktörleri, sistemler arasında hareket etmek için tehlikeye atılmış kimlik bilgileri ve uzak masaüstü protokolü (RDP) kullanır. Uzaktan bağlantı için herhangi birdesk ve yanal hareket için macun kullandılar. Fidye yazılımı grubu, muhtemelen Kerberoasting saldırıları yoluyla etki alanı yöneticisi hesaplarını da tehlikeye atmıştır.
Kilit fidye yazılımlarına karşı savunmak
Danışmanlık, aşağıdakiler dahil, kilitleme fidye yazılımı saldırılarını önlemek için uzun bir siber güvenlik savunma listesi içeriyordu:
- Kullanıcıların kötü amaçlı sitelere ve uygulamalara erişmesini engellemek için etki alanı adı sistemi (DNS) filtreleme uygulama
- Kötü amaçlı alanlardan veya web sitelerinden bilinmeyen komutları veya işlem enjeksiyonunu önlemek için web erişim güvenlik duvarlarının uygulanması
- Hassas veya tescilli veri ve sunucuların birden fazla kopyasını fiziksel olarak ayrı, bölümlü ve güvenli bir konumda tutmak
- NIST şifre standartlarını takip etmek ve çok faktörlü kimlik doğrulama gerektiren
- İnternet’e bakan sistemlerde bilinen sömürülen güvenlik açıklarına öncelik vererek işletim sistemlerini, yazılımları ve ürün yazılımını güncel tutmak
- Lateral hareketi ve fidye yazılımlarının yayılmasını önlemek için ağları segmentleme
- Ağ izleme, trafik filtreleme ve EDR araçlarını uygulayın
- Yeni veya tanınmayan hesaplar için etki alanı denetleyicilerini, sunucuları, iş istasyonlarını ve aktif direktorları gözden geçirme ve en az ayrıcalık ilkelerini uygulama
- Kullanılmayan bağlantı noktalarını ve alınan e -postalardaki köprüleri devre dışı bırakma
- Komut satırını ve komut dosyasını devre dışı bırakma faaliyetleri ve izinler
- Verilerin çevrimdışı yedeklemelerini koruyun ve tüm yedekleme verilerinin şifreli, değişmez olduğundan ve “kuruluşun tüm veri altyapısını kapsadığından” emin olun.