İran devlet destekli bir hacker grubu olan DEV-0270 (aka Nemesis Kitten), BitLocker olarak bilinen bir Windows özelliğini kötüye kullandığı ortaya çıktı.
Nemesis Kitten ise İranlı tehdit aktörleri grubunun FOSFOR olarak bilinen alt gruplarından biridir.
Microsoft’un tehdit istihbarat ekibi, yeni güvenlik açıkları açıklanır açıklanmaz grubun bunlardan olabildiğince çabuk yararlandığını iddia ediyor. Bu grup tarafından yapılan saldırılar, arazide yaşayan ikili dosyaları (LOLBIN’ler) mümkün olan en geniş ölçüde kullanır.
BitLocker ile, aşağıdaki işletim sistemlerini çalıştıran cihazlarda tam birim şifreleme sağlayarak verilerinizi koruyabilirsiniz:-
- Windows 10
- Windows 11
- Windows Server 2016 ve üzeri
Teknik Analiz
Setup.bat komutları, DEV-0270 operatörleri tarafından BitLocker şifreleme özelliğini etkinleştirme yönteminin bir parçası olarak kullanılır.
Bu nedenle, ana bilgisayarlar çalışamaz hale gelir ve çalışamaz hale gelir. Şu anda iş istasyonları için grup tarafından kullanılan DiskCryptor adlı bir disk şifreleme programı bulunmaktadır.
DEV-0270 durumunda, bir saldırganın bir kurbanın sistemine ilk erişimi ile fidye notunun dağıtılması arasındaki fidye süresinin (TTR) yaklaşık iki gün olduğu gözlemlenmiştir.
Burada saldırgan, başarılı olması durumunda kurbanların şifre çözme anahtarları için 8.000 $ ödenmesini talep eder.
Mehtap
DEV-0270’in bir şirket veya kişisel kullanım için gelir getirici bir araç olarak öne çıkması güçlü bir olasılıktır. Ancak bu, Microsoft’un kesin spekülasyonu olduğu için tam olarak doğrulanmadı.
İki takma ad altında, bu grup aşağıdaki isimlerle bilinen bir İran şirketi tarafından yönetiliyor:-
- secnerd (seker[.]ve)
- can ağı (hayat ağı[.]BT)
Bu kuruluşlara ek olarak İran Karaj merkezli Najee Technology Hooshmand da bu kuruluşlara bağlıdır. Hedefleme söz konusu olduğunda, grup fırsatçı fırsatlardan yararlanma eğilimindedir.
Hafifletmeler
Aşağıda, önerilen tüm azaltıcı önlemlerden bahsettik: –
- İstismar girişimlerinin ve ardından gelen fidye yazılımı saldırılarının önlenmesi için şirketlerin İnternete açık sunucularına yama yapmaları önerilir.
- Microsoft Defender Güvenlik Duvarı ve izinsiz giriş önleme aygıtlarını kullanarak aygıtlar arasında RPC ve SMB iletişimini önleyin.
- Ağ cihazlarının kullanımını önlemek veya kısıtlamak için çevre güvenlik duvarınızı ve proxy’nizi kontrol etmelisiniz.
- Yerel yöneticiler tarafından kullanılan parolaların güçlü olduğundan emin olun.
- Microsoft Defender Antivirus’ü her zaman güncel tutun.
- Microsoft Defender Antivirus’te gerçek zamanlı davranış izlemeyi etkinleştirdiğinizden emin olun.
- Verilerinizi yok eden bir saldırı olması durumunda yedeklerinizi aldığınızdan emin olun.
- Windows’taki Yerel Güvenlik Yetkilisi Alt Sisteminin (lsass.exe) kimlik bilgileri hırsızlığına karşı korunması zorunludur.
- PsExec ve WMI komutlarından kaynaklanan işlemlerin oluşturulması engellenmelidir.
- WMI olay aboneliği, kalıcılığı engellemek için kullanılabilir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap