Fidye yazılımı operatörleri, fırsatçı kötü amaçlı yazılım dağılımından, gizli ve kalıcılık için meşru yazılımlardan yararlanan yüksek hedefli kampanyalara geçti.
2025’in başlarında ortaya çıkan birkaç fidye yazılımı ailesi, kurumsal ağlarda dayanaklar kurmak için herhangi bir anydesk ve shlashtop gibi popüler uzaktan erişim araçlarını kötüye kullanmaya başladı.
Bu yardımcı programları ele geçirerek veya sessizce yükleyerek, rakipler geleneksel olarak tespit mekanizmalarını açmadan başlangıç erişimi sağlayan geleneksel olarak imzalanmış kurulumculara güvenen güvenlik kontrollerini atlar.
Kuruluşlar, beklenmedik coğrafi durumlardan bağlanan anormal uzak oturumları hızla keşfetti.
Seqrite analistleri, saldırganların ayrıcalıklı hesaplar elde etmek için kimlik bilgisi doldurma ve kimlik avı kullandıklarını, daha sonra yanal olarak hareket etmek için uzaktan erişim araçlarını kullandığını belirledi.
Tehdit aktörleri, yalnızca özel kötü amaçlı yazılım ikili dosyalarına güvenmek yerine, kötü niyetli etkinlikleri günlük BT operasyonlarına karıştırmak için mevcut yönetim çerçevelerini kullandılar ve eylemlerini eski uç nokta korumaları için pratik olarak görünmez hale getirdiler.
Bu kampanyaların etkisi derindi. Mağdurlar, yöneticileri kilitlemek için şifrelenmiş dosya paylaşımlarını, devre dışı yedeklemeleri ve uzaktan erişim aracı kimlik bilgilerini bildirir.
Lockbit ve Black Basta varyantlarına atfedilen yüksek profilli saldırılarda, saldırganlar fitenik izleri ortadan kaldırmak, bekleme süresini uzatmak ve fidye taleplerini en üst düzeye çıkarmak için sıçan kötüye kullanımını dosya kırma komutlarıyla birleştirdi.
Kuruluşlar, rutin BT kamu hizmetlerine olan güveni yeniden değerlendirmenin acilinin altını çizerek maliyetli kesinti ve veri kaybına maruz kaldılar.
Bu fidye yazılımı işlemlerinin kritik bir sağlayıcısı, saldırganların fabrikanın çalıştırılması uzaktan yönetim yazılımı yoluyla sürekli kontrolü sürdürme yeteneğidir.
İki temel yöntem ortaya çıktı: Dosya oluşturmayı önlemek ve komut satırı bayrakları aracılığıyla hafif yükleyicilerin dağıtılmasını önlemek için önceden yüklenmiş araçları kaçırma.
Kaçma senaryosunda, rakipler yüklü uygulamaları Windows Management enstrümantasyonu veya PowerShell aracılığıyla numaralandırır, daha sonra kötü niyetli kimlik bilgileri enjekte eder veya saldırganın hesabı altında gözetimsiz erişim vermek için JSON yapılandırma dosyalarını değiştirir.
Bu yaklaşım, diskte yeni bir yürütülebilir içerik oluşturmaz ve kurumsal politikalarda zaten beyaz listeye alınmış güvenilir yürütülebilir ürünleri kötüye kullanarak antivirüs taramasından kaçınır.
Fırsatçı hedefler önceden var olan uzaktan erişim yardımcı programlarından yoksun olduğunda, saldırganlar sessiz kuruluma geri döner.
Bilinen yükleyici parametrelerini kullanarak, imzalı ikili dosyaları minimal gürültü ile dağıtırlar:-
Start-Process -FilePath '.\AnyDesk.exe' -ArgumentList 'INSTALL=C','STARTWITHWINDOWS=1','SILENT=1' -NoNewWindowBu komut, AnyDesk’i, takip işlemleri için düşman kalıcı giriş noktalarını vererek önyüklemede piyasaya sürülen bir hizmet olarak yükler.
Benzer bayraklar – VERYSILENT Ve NORESTART– Satıcı kılavuzlarında belgelenmiştir, ancak savunucular tarafından nadiren izlenir.
Bir kez gömüldükten sonra, saldırganlar TrustEDiNStaller veya Powerrun gibi yardımcı programlar aracılığıyla yükselirse, uzak araç yükseltilmiş ayrıcalıklarla çalışır.
Kayıt defteri çalışma anahtarı manipülasyonu ve gizli planlanan görevlerle birleştiğinde, bu zincir, bir olay yanıtlayıcısının bir arka kapıyı kaldırsa bile ikincil bir erişim yolu kalmasını sağlar.
Bu katmanlı kalıcılık modeli, iyileştirme çabalarını hayal kırıklığına uğratır ve dosya imzaları yerine anormal araç kullanımını işaretleyen davranış temelli izlemeye geçiş gerektirir.
Güvenilen uzaktan yönetim yazılımını kötüye kullanarak, fidye yazılımı çeteleri rahatlığı en güçlü silahlarına dönüştürdü.
Savunucular, şifreleme meydana gelmeden önce bu gizli kalıcılık taktiklerini tespit etmek ve bozmak için ortak uzaktan erişim araçlarıyla ilişkili olan çok faktörlü kimlik doğrulamasını uygulamalı, çok faktörlü kimlik doğrulamasını uygulamalıdır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
