Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Sağlık ve İnsani Hizmetler Bakanlığı (HHS), ALPHV Blackcat fidye yazılımı hakkında ortak bir tavsiye niteliğinde uyarı yayınladı.
Bu hizmet olarak fidye yazılımının (RaaS), FBI araştırmaları sırasında, Aralık 2023’ün ortasından bu yana artan sıklıkta sağlık sektörünü hedef aldığı belirlendi.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Gelişmiş Saldırı Teknikleri
ALPHV Blackcat aktörleri iletişim yöntemlerini uyarlayarak kurbanlara özel e-postalar oluşturarak onları ilk tehlike konusunda bilgilendirdi.
Fidye yazılımı grubu, faaliyet gösterdiği ilk dört ayda 60’tan fazla ihlalle ilişkilendirildi ve kurbanların çoğu sağlık kuruluşlarıydı.
Tavsiye belgesi, fidye yazılımının evrimine ve Şubat 2023’te ALPHV Blackcat Ransomware 2.0 Sphynx güncellemesinin kullanıma sunulduğuna dikkat çekerek Nisan 2022 ve Aralık 2023’teki önceki uyarıları güncelliyor.
Bu güncelleme, fidye yazılımının Windows ve Linux cihazlarını ve VMWare örneklerini şifrelemesini sağladı ve bağlı kuruluşlara daha iyi savunma kaçırma ve ek araçlar sağladı.
Teknik Detaylar ve Etki Azaltma Stratejileri
Fidye yazılımı ortakları, ağ erişimi elde etmek için BT veya yardım masası personeli gibi davranarak gelişmiş sosyal mühendislik kullanıyor.
Uzaktan erişim yazılımı dağıtırlar ve etki alanına erişim, veri sızdırma ve ağ içinde yanal hareket için çeşitli teknikler kullanırlar. Fidye yazılımını yükledikten sonra, listelenen uygulamaların ve temiz günlüklerin tespitten kaçmasına izin verirler.
FBI, CISA ve HHS, siber güvenlik duruşunu iyileştirmek ve ALPHV Blackcat tehdit aktörlerinin tehlikeye girme riskini azaltmak için bir dizi hafifletme önerisinde bulundu.
Bunlar arasında uzaktan erişim araçlarının güvenliğinin sağlanması, kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın (MFA) uygulanması ve sosyal mühendislik ve kimlik avı saldırıları konusunda kullanıcı eğitimi yer alıyor.
Bir uzlaşma durumunda, kuruluşlara etkilenen ana bilgisayarları karantinaya almaları, tehlikeye atılan sistemleri yeniden görüntülemeleri, yeni hesap kimlik bilgileri sağlamaları ve olayı CISA’ya veya FBI’ın İnternet Suçları Şikayet Merkezi’ne (IC3) bildirmeleri tavsiye edilir.
FBI ayrıca kurbanların sistemlerini geri yüklemelerine yardımcı olacak bir şifre çözme aracı da geliştirdi.
Devam Eden Kanun Uygulama Çabaları
Adalet Bakanlığı, kritik ABD altyapısı da dahil olmak üzere 1000’den fazla kurbanı hedef alan fidye yazılımı grubuna karşı bir kesinti kampanyası başlattı.
FBI, etkilenen kurbanlarla bir şifre çözme aracı uygulamak için çalıştı ve onları yaklaşık 68 milyon dolarlık fidye talebinden kurtardı.
Ortak tavsiye, ALPHV Blackcat fidye yazılımının özellikle sağlık sektörüne yönelik ciddi tehdidinin altını çiziyor.
Bu, kuruluşların önerilen siber güvenlik önlemlerini uygulamaları ve kolluk kuvvetlerinin bu fidye yazılımı grubunun faaliyetlerini aksatma çabalarını kolaylaştırmak için her türlü olayı bildirmeleri yönünde bir eylem çağrısıdır.
IOC’ler
| MD5 | Tanım | Dosya adı |
|---|---|---|
| 944153fb9692634d6c70899b83676575 | ALPHV Windows Şifreleyici | |
| efc80697aa58ab03a10d02a8b00ee740c90abb4bbbfe7289de6ab1f374d0bcbe | ALPHV Linux Şifreleyici | |
| 341d43d4d5c2e526cadd88ae8da70c1c | Anti Virüs Araçları Öldürücü | 363.sys |
| 34aac5719824e5f13b80d6fe23cbfa07 | KobaltStrike BEACON | LMtool.exe |
| eea9ab1f36394769d65909f6ae81834b | KobaltStrike BEACON | Info.exe |
| 379bf8c60b091974f856f08475a03b04 | ALPHV Linux Şifreleyici | o |
| ebca4398e949286cb7f7f6c68c28e838 | SimpleHelp Uzaktan Yönetim aracı | first.exe |
| c04c386b945ccc04627d1a885b500edf | Tünel Aracı | conhost.exe |
| 824d0e31fd08220a25c06baee1044818 | Anti Virüs Araçları Öldürücü | ibmModule.dll |
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.