Microsoft Tehdit İstihbarat Merkezi (MSTIC), Ukrayna ve Polonya’daki ulaşım ve ilgili lojistik sektörlerindeki kuruluşları hedefleyen “Prestige” adlı yeni bir fidye yazılımı buldu.
Araştırmacılar, bu yeni fidye yazılımı kampanyasının ilk olarak 11 Ekim’de tüm kurbanlar arasında bir saat arayla meydana gelen saldırılarda başlatıldığını söylüyor.
Prestige Ransomware’in Önemli Özellikleri
Bu durumda, saldırganların, Ukrayna’da yaygın olmayan, kurbanlarının kurumsal ağlarında fidye yazılımı yüklerini dağıttığı görüldü.
Microsoft, “Etkinlik, özellikle etkilenen coğrafyalar ve ülkeler üzerinde Rusya’nın son zamanlardaki devlet bağlantılı faaliyetleriyle mağduriyetini paylaşıyor ve FoxBlade kötü amaçlı yazılımının (HermeticWiper olarak da bilinir) önceki kurbanlarıyla örtüşüyor” diyor.
MSTIC, bu kampanyayı bilinen herhangi bir tehdit grubuyla ilişkilendirmedi ve soruşturmalar halen devam ediyor. Bu aktivite, aşağıdaki iki uzaktan yürütme yardımcı programının kullanımını içeriyordu:
- RemoteExec – aracısız uzaktan kod yürütme için piyasada bulunan bir araç
- Impacket WMIexec – uzaktan kod yürütme için açık kaynaklı komut dosyası tabanlı bir çözüm
Ayrıcalık yükseltme ve kimlik bilgisi çıkarma için kullanılan araçlar:
- winPEAS – Windows’ta ayrıcalık yükseltme gerçekleştirmek için açık kaynaklı bir komut dosyası koleksiyonu
- comsvcs.dll – LSASS işleminin belleğini boşaltmak ve kimlik bilgilerini çalmak için kullanılır
- ntdsutil.exe – Active Directory veritabanını yedeklemek için kullanılır, muhtemelen daha sonra kimlik bilgilerini kullanmak için
Araştırmacılar, gözleme dayanarak, saldırganın fidye yazılımı dağıtımına yardımcı olmak için Etki Alanı Yöneticisi gibi oldukça ayrıcalıklı kimlik bilgilerine zaten erişim kazandığını söylüyor.
Fidye Yazılımı Dağıtımı İçin Kullanılan Yöntemler
Yöntem 1:
İlk yöntemde, fidye yazılımı yükü uzak bir sistemin ADMIN$ paylaşımına kopyalanır ve Impacket, yükü yürütmek için hedef sistemlerde uzaktan bir Windows Zamanlanmış Görevi oluşturmak için kullanılır.
Yöntem 2:
Daha sonra, bu yöntemde fidye yazılımı yükü, uzak bir sistemin ADMIN$ paylaşımına kopyalanır ve Impacket, yükü yürütmek için hedef sistemlerde kodlanmış bir PowerShell komutunu uzaktan çağırmak için kullanılır.
Yöntem 3:
Fidye yazılımı yükü, bir Active Directory Etki Alanı Denetleyicisine kopyalanır ve Varsayılan Etki Alanı Grup İlkesi Nesnesi kullanılarak sistemlere dağıtılır.
Araştırmacılar, “Prestij” fidye yazılımının kurbanların verilerini şifreleyerek ve verilerin yalnızca bir şifre çözme aracı satın alındığında kilidinin açılabileceğini söyleyen bir fidye notu bırakarak çalıştığını söylüyor.
Müşteriler Bu Uyarılara Göre Hareket Etmeli
- Impacket araç seti aracılığıyla klavyede devam eden uygulamalı saldırı
- WinPEAS aracı algılandı
- Hassas kimlik bilgisi belleği okuma
- LSASS belleğinden dökülen parola karmaları
- Şüpheli zamanlanmış görev etkinliği
- Sistem kurtarma ayarı kurcalama
- Dosya yedekleri silindi
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap