ABD sağlık sektörünü hedef alan ALPHV Blackcat fidye yazılımına (RaaS) ilişkin farkındalığı artırmak amacıyla FBI, CISA ve Sağlık ve İnsani Hizmetler Bakanlığı (HHS), ortak bir Siber Güvenlik Önerisi (CSA) yayınlamak üzere iş birliği yaptı.
BlackCat/ALPHV fidye yazılımı, kurbanın cihazına ilk erişim sağlamak için daha önce güvenliği ihlal edilmiş kimlik bilgilerini kullanıyor.
Kötü amaçlı yazılım, erişime sahip olur olmaz Active Directory yönetici ve kullanıcı hesaplarını tehlikeye atar.
Ortak tavsiyede, “Aralık 2023’ün ortasından bu yana, sızdırılan yaklaşık 70 kurban arasında en çok mağdur edilen sektör sağlık sektörü oldu” deniyor.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
“Bu muhtemelen ALPHV Blackcat yöneticisinin, Aralık 2023’ün başlarında gruba ve altyapısına karşı operasyonel eylem sonrasında bağlı kuruluşlarını hastaneleri hedef almaya teşvik eden gönderisine bir yanıttır”.
ALPHV Kara Kedi Saldırı Teknikleri
ALPHV Blackcat üyeleri, gelişmiş sosyal mühendislik yöntemleri ve açık kaynak araştırması yoluyla bir şirkete ilk erişimi elde eder.
Aktörler, hedef ağa girmek için personel üyelerinden kimlik bilgileri almak amacıyla telefon çağrılarını veya SMS mesajlarını kullanıyor ve kendilerini iş BT ve yardım masası çalışanları gibi tanıtıyor.
ALPHV Blackcat üyeleri, mağdurlarla canlı sohbet yoluyla iletişim kurmak, taleplerde bulunmak ve şifrelenmiş dosyaları geri yüklemek için tek tip kaynak konum belirleyicileri (URL’ler) kullanıyor.
ALPHV Blackcat üyeleri, kurban ağına erişim sağladıktan sonra veri hırsızlığına hazırlanmak için AnyDesk, Mega senkronizasyon ve Splashtop gibi uzaktan erişim araçlarını kullanıyor.
ALPHV Blackcat’in bağlı kuruluşları “aadmin” adında bir kullanıcı hesabı oluşturur ve alanlara erişim sağlamak için Kerberos token oluşturmayı kullanır.
Ağlara girdikten sonra Plink ve Ngrok gibi araçları, yetkili uzaktan erişim ve tünel açma araçlarını kullanırlar.
ALPHV Blackcat üyeleri, açık kaynaklı Evilginx2 ortadaki rakip saldırı çerçevesini kullanarak çok faktörlü kimlik doğrulama (MFA) kimlik bilgilerini, oturum açma kimlik bilgilerini ve oturum çerezlerini alır.
Daha sonra fidye yazılımı, fidye notunun file.txt dosyası olarak gömülmesiyle birlikte dağıtılır.
Bu bulgu, CISA’nın geçen hafta ConnectWise ScreenConnect’teki (CVE-2024-1709) kritik öneme sahip bir kimlik doğrulama atlama güvenlik açığından aktif olarak yararlanıldığı yönündeki uyarısının ardından geldi.
RedSense’in kurucu ortağı Yelisey Bohuslavskiy, Change Healthcare’in tehlikeye atılmış durumunu ScreenConnect güvenlik açığına bağladı.
Bu danışma belgesi, FBI’ın FLASH BlackCat/ALPHV fidye yazılımının Nisan 2022 ve Aralık 2023’e yönelik tehlike göstergelerine ilişkin güncellemeleri içerir.
ScreenConnect uzaktan erişim etki alanı, içerdiği güvenlik ihlalinin ek göstergelerinden biridir.
FBI, CISA ve HHS, yazılım üreticilerine, yazılım geliştirme uygulamalarında tasarım gereği güvenli konseptler ve stratejiler kullanarak fidye yazılımı tekniklerinin etkisini sınırlandırarak müşterilerinin güvenlik durumlarını artırmalarını tavsiye ediyor.
Veri gaspı olaylarının ve ALPHV Blackcat fidye yazılımının olasılığını ve sonuçlarını azaltmak için “kritik altyapı kuruluşlarının” yönergeleri uygulamaya koyması zorunludur.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.