ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Perşembe günü, fidye yazılımı aktörlerinin isimsiz bir fatura yazılımı sağlayıcısının müşterilerini tehlikeye atmak için satılmamış SimpleHelp Uzaktan İzleme ve Yönetim (RMM) örneklerini hedeflediğini açıkladı.
Ajans bir danışmanlıkta, “Bu olay, Ocak 2025’ten bu yana SimpleHelp RMM’nin sınırsız sürümleri aracılığıyla kuruluşları hedefleyen daha geniş bir fidye yazılımı aktör modelini yansıtıyor.” Dedi.
Bu yılın başlarında SimpleHelp, bilgi açıklaması, ayrıcalık artış ve uzaktan kod yürütmesine neden olabilecek bir dizi kusur (CVE-2024-57727, CVE-2024-57728 ve CVE-2024-57726) açıkladı.
Güvenlik açıkları, o zamandan beri, ilgilenilen hedefleri ihlal etmek için Dragonforce gibi fidye yazılımı grupları da dahil olmak üzere vahşi doğada tekrarlanan sömürü altına girmiştir. Geçen ay Sophos, yönetilen bir servis sağlayıcısının konuşlandırdığı SimpleHelp’in bu kusurları kullanarak tehdit oyuncusu tarafından erişildiğini ve daha sonra diğer aşağı akış müşterilerine dönecek şekilde kullanıldığını açıkladı.
CISA, 5.5.7 ve önceki SimpleHelp sürümlerinin CVE-2024-57727 dahil olmak üzere birden fazla güvenlik açığı içerdiğini ve fidye yazılımı ekiplerinin, müşterilerin çift gasp saldırıları için alt akışsız SimpleHelp örneklerine erişmek için onu kullandığını söyledi.
Ajans, aşağı akış müşterilerine bağlanmak için SimpleHelp’i kullanan üçüncü taraf hizmet sağlayıcılar da dahil olmak üzere kuruluşların fidye yazılımı etkinliğine daha iyi yanıt verebileceğini belirtti –
- SimpleHelp sunucusu örneklerini internetten tanımlayın ve izole edin ve bunları en son sürüme güncelleyin
- Aşağı akım müşterileri bilgilendirin ve uç noktalarını güvence altına almak için harekete geçmelerini söyleyin.
- SimpleHelp sunucusundan (aşağı akış müşterileri için) alışılmadık gelen ve giden trafik için uzlaşma ve izleme göstergeleri için tehdit avcılık eylemleri yapın.
- Fidye yazılımı tarafından şifrelenmişlerse etkilenen sistemleri internetten ayırın, işletim sistemini yeniden yükleyin ve temiz bir yedeklemeden verileri geri yükleyin
- Periyodik temiz, çevrimdışı yedeklemeleri koruyun
- Web’de Uzak Masaüstü Protokolü (RDP) gibi uzaktan hizmetleri ortaya çıkarmaktan kaçının
Cisa, tehdit aktörleri tarafından sağlanan şifrelemenin dosyaları kurtarmaya yardımcı olacağının garantisi olmadığından, kurbanları fidye ödemeye teşvik etmediğini söyledi.
CISA, “Ayrıca, ödeme rakipleri ek kuruluşları hedeflemeye zorlayabilir, diğer suçlu aktörleri fidye yazılımı dağıtımına teşvik edebilir ve/veya yasadışı faaliyetleri finanse edebilir.”
Sis Fidye Yazılımı Saldırısı, Çalışan İzleme Yazılımını Dağıtır
Geliştirme, Broadcom’a ait Symantec’in Asya’da isimsiz bir finans kurumu hedefleyen bir sis fidye yazılımı saldırısını, diğer fidye yazılımı ile ilgili müdahalelerde gözlemlenmeyen çift kullanım ve açık kaynaklı pentest araçlarının bir kombinasyonu ile detaylandırdı.
Sis, Mayıs 2024’te ilk olarak tespit edilen bir fidye yazılımı varyantıdır. Diğer fidye yazılımı işlemleri gibi, finansal olarak motive edilen mürettebat, bir kuruluşun ağına erişmek ve verileri şifrelemek için tehlikeye atılmış sanal özel ağ (VPN) kimlik bilgileri ve sistem güvenlik açıkları kullanır, ancak bu şekilde ortaya çıkmadan önce değil.
Alternatif enfeksiyon dizileri, daha sonra e -posta ve kimlik avı saldırıları yoluyla dağıtılan ZIP arşivlerinde bulunan Windows kısayolu (LNK) dosyaları kullanılmıştır. LNK dosyasının yürütülmesi, sis soyunma yükünü içeren bir fidye yazılımı yükleyicisini bırakmaktan sorumlu bir PowerShell komut dosyasının indirilmesine yol açar.
Saldırılar, ayrıcalıkları artırmak ve doğrudan bellekte kötü amaçlı kod dağıtılarak ve güvenlik araçlarını devre dışı bırakarak algılamadan kaçınmak için gelişmiş tekniklerin kullanımı ile de karakterize edilir. Sis hem Windows hem de Linux uç noktalarını hedefleyebilir.
Trend Micro’ya göre, Nisan 2025 itibariyle, Sis tehdit aktörleri, yılın başından beri veri sızıntısı alanında 100 kurban talep etti ve kurbanların çoğunluğu teknoloji, eğitim, imalat ve ulaşım sektörleriyle ilişkili.
Symantec, “Saldırganlar Syteca (eski adıyla Ekran) adlı meşru bir çalışan izleme yazılımı kullandı, bu da oldukça sıra dışı.” Dedi. “Ayrıca, fidye yazılımı saldırıları sırasında yaygın olarak kullanılmayan GC2, ADAPTIX ve STOWAWAWAWAY gibi birkaç açık kaynaklı kalem test aracı kullandılar.”
Olayda kullanılan tam başlangıç erişim vektörü bilinmemekle birlikte, tehdit aktörlerinin, Çin hack grupları tarafından yaygın olarak kullanılan bir proxy aracı olan Syteca’yı teslim etmek için kullandığı bulunmuştur. GC2’nin 2023’te Çin devlet destekli hackleme grubu APT41 tarafından yürütülen saldırılarda kullanıldığını belirtmek gerekir.
Ayrıca, veri açığa çıkması için sıkıştırılmış veri arşivleri oluşturmak için 7-ZIP, Freefilesync ve Megasync gibi meşru programlar da indirildi.
Saldırıların bir diğer ilginç yönü, saldırganların fidye yazılımlarının konuşlandırılmasından birkaç gün sonra ağda kalıcılık oluşturmak için bir hizmet yaratmasıdır. Tehdit aktörlerinin fidye yazılımlarını bırakmadan yaklaşık iki hafta geçirdikleri söyleniyor.
Symantec ve Karbon Siyah araştırmacılar, “Bu, fidye yazılımı saldırısında görmek için alışılmadık bir adımdır, kötü niyetli etkinlikler genellikle bir ağda durur ve saldırganlar verileri ortaya çıkardıktan ve fidye yazılımlarını dağıttığında, ancak bu olaydaki saldırganların kurbanın ağına erişimi korumak istediği görülmüştür.” Dedi.
Nadir taktikler, şirketin casusluk nedenleriyle hedeflenmiş olabileceği ve tehdit aktörlerinin, gerçek hedeflerini maskelemek veya yanda hızlı para kazanmak için bir dikkat dağıtıcı olarak sis fidye yazılımını konuşlandırma olasılığını artırdı.
Lockbit paneli sızıntısı, Çin’i en çok hedeflenen arasında ortaya çıkarır
Bulgular ayrıca, Lockbit fidye yazılımı hizmet olarak (RAAS) şemasının son altı ay içinde yaklaşık 2,3 milyon dolar netleştiği ve e-suç grubunun birkaç aksilike rağmen çalışmaya devam ettiğini gösteren vahiylerle de çakışıyor.
Dahası, Trellix’in Lockbit’in Aralık 2024’ten Nisan 2025’e kadar Mayıs 2025 yönetici paneli sızıntısına dayanarak, Çin’i iştirakler Iofikdis, Piotrbond ve Jamescraig tarafından en yoğun hedeflenen ülkelerden biri olarak ortaya çıkardı. Diğer önemli hedefler arasında Tayvan, Brezilya ve Türkiye bulunmaktadır.
Güvenlik araştırmacısı Jambul Tologonov, “Çin’deki saldırıların yoğunlaşması, muhtemelen büyük sanayi üssü ve imalat sektörü nedeniyle bu pazara önemli bir odaklanma olduğunu gösteriyor.” Dedi.
“Black Basta ve Conti Raas gruplarının aksine, zaman zaman Çin hedeflerini şifrelemeden araştıran Lockbit, Çin sınırları içinde faaliyet göstermeye ve potansiyel politik sonuçları göz ardı etmeye istekli görünüyor ve yaklaşımlarında ilginç bir sapma işaret ediyor.”
Bağlı kuruluş panelinin sızıntısı, Lockbit’i sızıntı için sorumluluk talep eden anonim bir aktör olan “Prag’dan Xoxo” hakkında doğrulanabilir bilgiler için parasal bir ödül duyurmaya teşvik etti.
Bunun üzerine, Lockbit, Ransomhub’ın Mart 2025’in sonuna doğru ani kesilmesinden faydalanmış gibi görünmekte ve Baleybeach ve Guillaumeatkinson dahil olmak üzere ikincisinin bazı iştiraklerinin, Ransomware’in bir sonraki versiyonunu geliştirmek için Lockbit’e geçiş yapmasını ve bunlara neden olmasını sağlamak, Lockbit 5.0, 5.0, Lockbit 5.0’ın bir sonraki versiyonunu geliştirmek için yeniden etkinleştirmek için geçişe neden olmuştur.
Tologonov, “Bu sızıntının gerçekte gösterdiği şey, yasadışı fidye yazılımı faaliyetlerinin karmaşık ve nihayetinde daha az göz alıcı gerçekliğidir. Kârlı olsa da, dünyanın inanmasını istedikleri mükemmel düzenlenmiş, büyük kazançlı operasyondan çok uzak.”