Perakendeciler, tatil alışveriş sezonunun başlamasıyla birlikte hedefli fidye yazılımı faaliyetlerinde keskin bir artışla karşı karşıya. Tehdit grupları, saldırılarını, kesinti süresinin en acı verici olduğu ve ödeme baskısının en yüksek olduğu satışların zirve yaptığı dönemlere zamanlıyor.
Bu kampanya, satış noktası ağlarına, e-ticaret arka uçlarına ve siparişleri, bağlılık verilerini ve ödeme iş akışlarını yöneten BT sistemlerini desteklemeye odaklanıyor.
Saldırganlar, kimlik avı e-postaları, sahte gönderim güncellemeleri ve kullanıcıları istismar kitlerine yönlendiren kötü amaçlı reklamların bir karışımını kullanıyor.
Bir kurban tıkladığında, zincir ilk tutunma noktasından tam etki alanının ele geçirilmesine kadar hızlı bir şekilde hareket eder. Amaç, dosya şifreleme yüklerini ve veri sızdırma araçlarını, genellikle ilk erişimden sonraki birkaç saat içinde, tek ve koordineli bir çalıştırmada dağıtmaktır.
Morphisec güvenlik analistleri, kötü amaçlı yazılımın perakende ortamlarında gizli giriş, kimlik bilgileri hırsızlığı ve hızlı yanal hareket için tasarlanmış çok aşamalı bir araç setinin parçası olduğunu tespit etti.
Telemetrileri, tehdit aktörlerinin yükleyicileri ve komut dosyalarını mağaza ve depo personeli tarafından kullanılan tipik yardım masası ve uzaktan destek araçlarıyla uyum sağlayacak şekilde ayarladığını gösteriyor.
Etkisi çok ciddi: şifrelenmiş envanter sistemleri, kilitli ödeme terminalleri ve erişilemeyen çevrimiçi sipariş platformları hem mağaza içi hem de dijital satışları durdurabilir.
Birçok kurban aynı zamanda müşteri kayıtları ve dahili fiyatlandırma veya promosyon planları da dahil olmak üzere veri hırsızlığıyla da karşı karşıya kalıyor ve bu da çifte gasp ve düzenleyici ceza riskini artırıyor.
Bu, tipik bir perakende ağında kimlik avı e-postasından fidye yazılımının yürütülmesine kadar tüm saldırı zincirini gösterir.
Enfeksiyon Mekanizması ve Yük Dağıtımı
Kampanya, ilk olarak kötü amaçlı bir ek veya komut dosyası indirme yoluyla gelen hafif bir yükleyiciye dayanıyor.
Bu yükleyici, basit işlem tabanlı kurallardan kaçınmak için explorer.exe veya powershell.exe gibi güvenilir işlemlere ekleme yapar.
Daha sonra, ortak bulut ve CDN sağlayıcılarını taklit eden alan adlarını kullanarak ana yükü, saldırgan tarafından kontrol edilen bir sunucudan HTTPS üzerinden alır.
Veri yükü hazırlandıktan sonra kötü amaçlı yazılım, LSASS’tan ve önbelleğe alınmış tarayıcı oturumlarından kimlik bilgilerini topluyor, ardından kendisini mağaza sunucuları ve satış noktası sistemleri arasında kopyalamak için uzaktan yönetim araçlarını ve SMB paylaşımlarını kullanıyor.
Algılamayı zorlaştırmak için, karmaşık PowerShell komutları aracılığıyla aşağıdakiler gibi temel eylemleri başlatır: –
powershell.exe -w hidden -enc -ExecutionPolicy Bypass Kötü amaçlı yazılım, son fidye yazılımı bileşenini tetiklemeden önce ödeme ve envanter sunucularına ulaşmak için mevcut yönetici yollarını kullanarak mağaza ağları arasında hareket ediyor.
Önleyici savunmaya yönelik bu değişim, güvenlik denklemini dönüştürerek müşteri verilerini, operasyonel sürekliliği ve tehditler ortaya çıkmadan önce kârı korur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
