FBI ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) siber güvenlik tavsiyeleri, genellikle belirli bir tehdidin hedef tahtasındaki kuruluşların öncelikli ilgisini hak ettiğinin iyi bir göstergesidir.
Bu, en az 2018’den beri aktif olan ve bu hafta iki kurumdan gelen bir uyarıya konu olan bir hizmet olarak fidye yazılımı (RaaS) operasyonu olan “Snatch” için de geçerli gibi görünüyor.
Kritik Altyapı Sektörlerinin Hedeflenmesi
Uyarı, tehdit aktörünün BT sektörü, ABD savunma sanayi üssü ve gıda ve tarım dikeyi de dahil olmak üzere çok çeşitli kritik altyapı sektörlerini hedef aldığı konusunda uyardı; en son saldırılar Haziran ayında gerçekleşti.
Danışmanlık belgesinde, “2021 ortasından bu yana Snatch tehdit aktörleri, siber suç alanındaki mevcut trendlerden yararlanmak ve diğer fidye yazılımı türlerinin operasyonlarının başarılarından yararlanmak için taktiklerini sürekli olarak geliştirdi.” ifadesine yer verildi. “Snatch tehdit aktörlerinin, verilerinin Snatch’in gasp blogunda yayınlanmasını önlemek için kurbanların fidye ödemesini daha fazla istismar etmek amacıyla diğer fidye yazılımı varyantlarından önceden çalınmış verileri satın aldıkları gözlemlendi.”
Danışman, özellikle tehdit aktörünün yaklaşık beş yıldır ortalıkta olduğu gerçeğini göz önünde bulundurarak, bu hafta zamanlama konusunda herhangi bir açıklama yapmadı. Ancak CardinalOps’un CEO’su ve kurucu ortağı Michael Mumcuoğlu, bunun Snatch operasyonunun geçtiğimiz yıl artan çabalarıyla bağlantılı olabileceğini düşünüyor.
Mumcuoğlu, “Son 12 ila 18 ay içinde Snatch fidye yazılımı grubunun faaliyetlerinde artış yaşandı” diyor. “Güney Afrika Savunma Bakanlığı, Kaliforniya’nın Modesto şehri, Kanada’nın Saskatchewan havaalanı, Londra merkezli Briars Group ve diğerlerinin dahil olduğu son dönemdeki birçok yüksek profilli saldırının sorumluluğunu üstlendiler” diye belirtiyor.
Bilgisayarları Güvenli Modda Yeniden Başlatmaya Zorlamak
Snatch, Windows sistemlerini saldırı zincirinin ortasında Güvenli Mod’da yeniden başlatmaya zorlamasıyla dikkate değer bir kötü amaçlı yazılımdır, böylece dosyaları antivirüs araçları tarafından algılanmadan (genellikle Güvenli Mod’da çalışmaz) şifreleyebilir. Bu, fidye yazılımını takip eden ilk güvenlik tedarikçilerinden biri olan Sophos’taki güvenlik araştırmacılarının, tehdit aktörünün 2019’un sonuna doğru eklediğine inandıkları bir özellik.
O dönemde Sophos, Güvenli Modda çalışan fidye yazılımının oluşturduğu riskin ciddiyetinin abartılamayacağı konusunda uyarmıştı. Sophos, “Bu bilgiyi güvenlik sektörünün geri kalanına ve son kullanıcılara bir uyarı olarak yayınlamamız gerekiyordu” dedi. Ortak FBI ve CISA tavsiyesinde ayrıca Snatch’in Güvenli Mod özelliğinin, kötü amaçlı yazılımın uç nokta güvenlik kontrollerini aşmasına ve az sayıda Windows hizmeti çalışırken dosyaları şifrelemesine olanak tanıyan dikkate değer bir yetenek olduğu vurgulandı. Mumcuoğlu, “Snatch fidye yazılımı grubu tarafından kullanılan benzersiz bir taktik, birçok Windows bilgisayarın uç nokta koruma mekanizmalarını genellikle Güvenli Modda çalıştırmaması gerçeğinden yararlanan ‘gizli kötü amaçlı yazılımlardan’ yararlanıyor” diyor.
Birçok fidye yazılımı çeşidi gibi, Snatch de bir veri şifreleme özelliğinin yanı sıra, şifrelemeden önce güvenliği ihlal edilmiş sistemlerden veri çalmaya yönelik bir bileşene sahiptir. Snatch’in arkasındaki tehdit aktörleri, kurban kuruluşlardan hassas verileri çalma yeteneğini rutin olarak kullandı ve fidye taleplerinin ödenmemesi durumunda verileri kamuya açık bir şekilde sızdırmakla veya başkalarına satmakla tehdit etti. Ayrıca FBI ve CISA, Snatch oyuncularının zaman zaman diğer fidye yazılımı gruplarının kurbanlarından çaldığı verileri satın aldığını ve bunu bu kuruluşlardan para koparmak için bir koz olarak kullandığını söyledi.
Birçok saldırıda Snatch operatörleri, hedef ağa yönetici düzeyinde erişim sağlamak için Uzak Masaüstü Protokolündeki (RDP) zayıflıkları hedef aldı. Diğer durumlarda, ilk tutunma noktasını kazanmak için çalıntı veya satın alınmış kimlik bilgilerini kullanmışlardır. Tehdit aktörü bir ağa girdikten sonra bazen ağda dolaşarak hedefleyeceği dosya ve klasörleri arayarak üç aya kadar zaman harcayabilir. FBI ve CISA tavsiye belgesi, Snatch operatörlerinin güvenliği ihlal edilmiş ağlarda meşru ve kötü amaçlı araçların bir kombinasyonunu kullandığını açıkladı. Bunlar arasında Metasploit açık kaynak penetrasyon test aracı, daha sonraki hareketler için Cobalt Strike gibi uzlaşma sonrası araçlar ve hizmetleri oluşturmak, sorgulamak, eklemek ve silmek ve diğer görevleri gerçekleştirmek için sc.exe gibi yardımcı programlar yer alır.
Kuzey Amerika Kuruluşları Birincil Hedeflerdir
Sophos’un saha CTO’su John Shier, şirketinin uzun bir aradan sonra Snatch’te yenilenen faaliyetlere dair bazı sınırlı işaretler gördüğünü söyledi. “Ancak en ilginç husus, gözlemlenen uzlaşma göstergelerinin (IoC’ler) danışma belgesinde yer alan göstergelerle yakın uyumudur” diyor. Örneğin, Sophos’un incelediği en son saldırı, RDP’nin internete açık olduğu bir sistemden yararlanılarak, hem sc.exe hem de Safe.exe yürütülerek ve birim gölge kopyalarını silen ve zamanlanmış görevler oluşturan toplu dosyalar dağıtılarak başlatıldı. “Ancak, bu IoC’lerden bazılarının Snatch’e özgü olmadığını ve bunları ağınızda gözlemlemenin anında yanıt verilmesini tetikleyeceğini unutmamak önemlidir” diyor.
Optiv’in siber uygulama lideri Nick Hyatt, CISA’nın muhtemelen toplulukta daha aktif olmaya yönelik devam eden çabalarının bir parçası olarak Snatch tavsiyesini yayınladığını söylüyor. Optiv’in Snatch TTP’lerinde yıllar içinde herhangi bir değişiklik gözlemlemediğini ancak şu anda Kuzey Amerika’da en aktif olduklarını söylüyor. Hyatt, “Temmuz 2022 ile Haziran 2023 arasında Snatch’in tüm sektörlerde 70 saldırısını takip ettik” diyor. “Bu saldırılar çoğunlukla Kuzey Amerika’ya odaklanmıştı.”