Son zamanlarda, ASEC’deki (AhnLab Güvenlik Acil Müdahale Merkezi) siber güvenlik araştırmacıları, Crysis fidye yazılımı operatörlerinin operasyonlarında aktif olarak Venus fidye yazılımını kullandıklarını keşfettiler.
Hem Crysis hem de Venus, dışarıdan açığa çıkan uzak masaüstü hizmetlerini hedef almalarıyla tanınırlar ve saldırıların AhnLab Smart Defence (ASD) günlükleri tarafından RDP aracılığıyla başlatıldığı ortaya çıktı.
.png
)
Bunun dışında Crysis ve Venus yalnız değiller çünkü tehdit aktörü aşağıdakiler gibi başka araçlar da kullandı:-
Bu tür kötü amaçlı araçlar, şirketin dahili ağındaki virüslü sistemleri de hedef alabilir.
Crysis Fidye Yazılım Saldırısı
Tehdit aktörleri, RDP’yi bir saldırı vektörü olarak kullanır ve aktif ve dışarıdan erişilebilir sistemler ararlar.
Savunmasız sistemler, kaba kuvvet veya sözlük saldırılarıyla karşı karşıya kalır ve zayıf hesap kimlik bilgileri, tehdit aktörlerinin bu hesaplara zahmetsizce erişmesini sağlar.
Çeşitli kötü amaçlı eylemler ve faaliyetler gerçekleştirmek için, elde edilen kimlik bilgileri, tehdit aktörlerinin sistemleri RDP aracılığıyla kontrol etmelerini sağlar.
Burada Venus fidye yazılımı, yasal bir Windows Gezgini işlemi olan explorer.exe aracılığıyla birden çok kötü amaçlı yazılım türü oluşturarak saldırı vektörü olarak RDP’yi kullanır.
Geçmiş saldırılarda, tehdit aktörü şifreleme için Crysis fidye yazılımını denedi ancak başarısız oldu. Bunun yerine, daha sonra şifreleme için Venus fidye yazılımını denediler.
Ayrıca, tehdit aktörü diğer sistemlere saldırmak için sürekli olarak Crysis fidye yazılımını kullandı ve benzer şekilde dışarıdan açığa çıkan RDP hizmetlerini hedef aldı.
Başarılı olduktan sonra, saldırgan RDP aracılığıyla diğer sistemlere erişti ve Crysis fidye yazılımı bulaştırdı. Etkilenen sistemde, tehdit aktörü çeşitli kötü amaçlı yazılım türleri dağıtır ve tarayıcılar ve kimlik bilgisi hırsızlığı araçları NirSoft’tan yüklenir.
Aşağıda, saldırılarda kullanılan tüm araçlardan bahsetmiştik: –
- Venüs fidye yazılımı
- Crysis Fidye Yazılımı
- mimikatz
- Web Tarayıcı Şifre Görüntüleyici – NirSoft
- Mail PassView – NirSoft
- VNCPassView – NirSoft
- Kablosuz Anahtar Görünümü – NirSoft
- BulletsPassView – NirSoft
- RouterPassView – NirSoft
- MessenPass (IM Şifre Kurtarma) – NirSoft
- Uzak Masaüstü PassView – NirSoft
- Ağ Şifre Kurtarma – NirSoft
- Ağ Paylaşımı Tarayıcısı
Tehdit aktörü, RDP kullanarak sistemi ele geçirir ve yukarıda bahsettiğimiz araçlar yardımıyla ağı tarayarak virüs bulaşan sistemin belirli bir ağa ait olup olmadığını kontrol eder.
Öyleyse, fidye yazılımı dahili keşif yapar, hesap kimlik bilgilerini toplar ve diğer ağ sistemlerini şifreler.
Mimikatz bu sürece yardımcı olur ve toplanan hesap bilgileri ağ sistemlerine yanal hareket sağlar. Bir Crysis saldırısında, tehdit aktörü ağ içinde yanal hareket için RDP’yi kullanır.
Crysis fidye yazılımının başarılı bir şekilde çalıştırılmasının ardından, kullanıcılar bir sonraki fidye notuyla karşı karşıya kalacaktı.
Tehdit aktörü, Venüs fidye yazılımı için bild.exe_ dahil olmak üzere dosyaları İndirme klasörüne kopyalar ve ek dosyaları şifrelemek için aşağıdakileri sonlandırır:-
- Ofis
- E-posta istemcileri
- veritabanları
Başarılı dağıtımda, Venus fidye yazılımı masaüstünü değiştirir ve ardından kullanıcıya bilgilerin çalındığını, dosyaların şifrelendiğini ve kullanıcıların 48 saat içinde iletişim kurmasını isteyen bir BENİOKU dosyası sunar.
öneriler
RDP hizmetleri, ilk uzlaşma ve yanal hareket için tehdit aktörleri tarafından aktif olarak kullanılır, bu nedenle güvenlik analistleri şunları şiddetle tavsiye eder: –
- Denemeleri azaltmak için kullanılmayan RDP’yi devre dışı bıraktığınızdan emin olun.
- Daima güçlü parolalar kullanın.
- Parolaları periyodik olarak değiştirdiğinizden emin olun.
- Kötü amaçlı yazılımları önlemek için V3’ü güncellediğinizden emin olun.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.