Küba fidye yazılımı, CISA ve FBI’ın öncülüğünü yaptığı devam eden #StopRansomware kampanyasındaki yakın tarihli bir siber güvenlik danışmanlığında (CSA) öne çıkıyor.
Yukarıda belirtilen FBI Flash bildiriminden bu yana, CISA ve FBI, Küba fidye yazılımı tarafından mağdur edilen ABD merkezli kuruluşların ikiye katlandığını kaydetti. Üçüncü taraf ve açık kaynaklı raporlar ayrıca Küba fidye yazılımı aktörleri, RomCom RAT (uzaktan erişim Truva Atı) aktörleri ve Industrial Spy fidye yazılımı aktörleri arasında olası bir bağlantı keşfetti.
Küba fidye yazılımı 101
Adına rağmen, Küba fidye yazılımının arkasındaki tehdit aktörleri Küba Cumhuriyeti ile bir bağlantı veya yakınlık belirtmediler.
Cuba fidye yazılımı, 2019’un sonlarında ortaya çıkan, C++ ile yazılmış bir Windows kötü amaçlı yazılımıdır. Diğer fidye yazılımı grupları gibi, tehdit grupları da çifte gasp taktikleri kullanır ve ağırlıklı olarak ABD’deki beş kritik altyapı sektöründeki kuruluşları hedef alır: kritik üretim, finansal hizmetler, devlet tesisleri, sağlık hizmetleri ve halk sağlığı ve bilgi teknolojisi. Çalınan tüm hassas bilgiler, yalnızca anonim tarama ve internet bağlantılarına izin veren çevrimiçi araç olan Tor aracılığıyla erişilebilen sızıntı sitelerinde yayınlanır.
Cuba fidye yazılımının sızıntı sayfasına, fidye notuna ve bir yığın şifreli dosyaya genel bakış.
(Kaynak: Malwarebytes Tehdit İstihbarat Ekibi)
Bu fidye yazılımı spam kampanyaları yoluyla hedef ağlara ulaşır, yani e-postalar belirli bir hedefi olmayan kuruluşlara gönderilir. Daha yakın tarihli kampanyalarda, Küba fidye yazılımının, kötü amaçlı yazılım indiricisi Hancitor (Chancitor olarak da bilinir) tarafından düşürüldüğü görülmüştür.
Spam e-posta, kötü amaçlı makrolar içeren bir Word belgesinin indirilip açılabileceği bir indirme bağlantısı içerir. Kullanıcılar istendiğinde makroyu etkinleştirirse, bu belge Hancitor’u ayıklar ve yürütür. Bu kötü amaçlı yazılım daha sonra çeşitli araçları indirmek, yanal hareketi kolaylaştırmak ve verileri çıkarmak için komuta ve kontrol (C2) sunucusuyla iletişim kurar.
Ardından, PowerShell veya PsExec kullanarak Küba fidye yazılımını düşürür ve yükler.
Küba fidye yazılımı şimdiden birkaç kayda değer saldırıya karıştı. Şubat 2021’de, yaygın olarak kullanılan ödeme işlemcisi Otomatik Fon Transfer Hizmetlerini (AFTS) vurarak Washington ve Kaliforniya’daki şehirleri ve acenteleri etkiledi. Ekim 2022’de Küba fidye yazılımı tehdit aktörleri, bir kimlik avı kampanyasında Ukrayna Silahlı Kuvvetleri Genelkurmay Başkanlığı basın ofisinin kimliğine büründü. Küba fidye yazılımı kurbanları ve saldırganlar arasındaki müzakerelerde yer alan olaylara hızlı müdahale konusunda uzmanlaşmış bir şirket olan Profero’ya göre, tehdit aktörleri Rusça konuşuyor.
Küba fidye yazılımı saldırılarını azaltma
CISA ve FBI, Küba fidye yazılımlarından kaynaklanan saldırı risklerini azaltmak için ağ savunucularının izlemesi gereken azaltma önlemleri yayınladı. Bunlardan bazıları aşağıdaki gibidir:
- İlgili ve özel verilerin kopyalarını korumak ve saklamak için bir kurtarma planı oluşturun ve uygulayın (henüz bir planınız yoksa).
- Parola kullanan tüm hesaplar en azından Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) standartlarına uymalıdır.
- Tüm hesaplarda, özellikle kritik sistemlere erişenlerde çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
- Kullandığınız tüm yazılımların en son sürümlerine güncellendiğinden ve tamamen yamalı olduğundan emin olun.
- Yönetici ayrıcalıklarına sahip olanlara özellikle dikkat ederek hesapları denetleyin ve kontrolü buna göre yapılandırın.
Önerilen azaltıcı önlemlerin tam ve ayrıntılı listesini bu sayfada okuyabilirsiniz. Çeşitli IOC’ler (ilişkili dosyalar, e-posta adresleri, Jabber adresi, IP adresleri, Bitcoin cüzdanları ve fidye notları) ve MITRE ATT&CK teknikleri de bu sayfada bulunur.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.