Dağıtılan dosya şifreleyen kötü amaçlı yazılımdan bağımsız olarak, yerleşik bir modeli takip ederek VMware ESXi altyapısını hedef alan fidye yazılımı saldırıları.
Siber güvenlik firması Sygnia, The Hacker News ile paylaştığı bir raporda şunları söyledi: “Sanallaştırma platformları kurumsal BT altyapısının temel bir bileşenidir, ancak çoğu zaman doğası gereği yanlış yapılandırmalardan ve güvenlik açıklarından muzdariptirler, bu da onları tehdit aktörlerinin kötüye kullanabileceği kazançlı ve son derece etkili bir hedef haline getirir.”
İsrailli şirket, LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat ve Cheerscrypt gibi çeşitli fidye yazılımı ailelerini kapsayan olay müdahale çalışmaları aracılığıyla, sanallaştırma ortamlarına yönelik saldırıların benzer eylem sırasına uyduğunu tespit etti.
Bu, aşağıdaki adımları içerir:
- Kimlik avı saldırıları, kötü amaçlı dosya indirmeler ve internete açık varlıklardaki bilinen güvenlik açıklarından yararlanma yoluyla ilk erişimin elde edilmesi
- Kaba kuvvet saldırıları veya diğer yöntemleri kullanarak ESXi ana bilgisayarları veya vCenter için kimlik bilgileri elde etmek amacıyla ayrıcalıklarını yükseltme
- Sanallaştırma altyapısına erişimlerini doğrulamak ve fidye yazılımını dağıtmak
- Kurtarma çalışmalarını zorlaştırmak için yedekleme sistemlerini silmek veya şifrelemek veya bazı durumlarda şifreleri değiştirmek
- Verileri Mega.io, Dropbox gibi harici konumlara veya kendi barındırma hizmetlerine sızdırma
- Saldırının kapsamını genişletmek için fidye yazılımını sanallaştırılmamış sunuculara ve iş istasyonlarına yaymak
Bu tür tehditlerin oluşturduğu riskleri azaltmak için kuruluşların yeterli izleme ve günlük kaydının mevcut olduğundan emin olmaları, sağlam yedekleme mekanizmaları oluşturmaları, güçlü kimlik doğrulama önlemlerini uygulamaları, ortamı sağlamlaştırmaları ve yatay hareketleri önlemek için ağ kısıtlamaları uygulamaları önerilir.
Siber güvenlik şirketi Rapid7, Mart 2024’ün başlarından bu yana devam eden ve yaygın olarak kullanılan arama motorlarında kötü amaçlı reklamlar kullanarak WinSCP ve PuTTY için truva atı haline getirilmiş yükleyicileri yazım hatası yapılmış alanlar aracılığıyla dağıtan ve sonuçta fidye yazılımı yükleyen bir kampanya konusunda uyardı.
Bu sahte yükleyiciler, Sliver’ın istismar sonrası araç setini düşürmek için bir kanal görevi görüyor ve bu araç daha sonra fidye yazılımı dağıtımı için kullanılan Cobalt Strike Beacon da dahil olmak üzere daha fazla yük sağlamak için kullanılıyor.
Faaliyet, Nitrogen kötü amaçlı yazılımını dağıtan yinelenen bir kampanyanın parçası olarak kötü amaçlı reklamcılığı ilk erişim vektörü olarak kullanan önceki BlackCat fidye yazılımı saldırılarıyla taktiksel örtüşmeleri paylaşıyor.
Güvenlik araştırmacısı Tyler McGraw, “Kampanya, meşru sürümler ararken truva atı haline getirilmiş dosyaları indirme olasılığı en yüksek olan BT ekiplerinin üyelerini orantısız bir şekilde etkiliyor” dedi.
“Kötü amaçlı yazılımın başarılı bir şekilde yürütülmesi, tehdit aktörüne daha yüksek bir dayanak noktası sağlar ve sonraki idari eylemlerin niyetlerini bulanıklaştırarak analizi engeller.”
Açıklama aynı zamanda Beast, MorLock, Synapse ve Trinity gibi yeni fidye yazılımı ailelerinin ortaya çıkmasının da ardından geliyor; MorLock grubu kapsamlı bir şekilde Rus şirketlerinin peşine düşüyor ve dosyaları önce onları dışarı çıkarmadan şifreliyor.
“Verilere erişimin yeniden sağlanması için, [MorLock] Grup-IB’nin Rusya şubesi FACCT, saldırganların büyüklüğü onlarca ve yüz milyonlarca ruble olabilen önemli bir fidye talep ettiğini söyledi.
NCC Group tarafından paylaşılan verilere göre, Nisan 2024’teki küresel fidye yazılımı saldırılarının sayısı bir önceki aya göre %15 düşüşle 421’den 356’ya düştü.
Özellikle Nisan 2024, LockBit’in en çok mağdura sahip tehdit aktörü olarak sekiz aylık saltanatının da sonunu işaret ediyor ve bu yılın başlarında kolluk kuvvetlerinin kapsamlı bir şekilde ortadan kaldırılmasının ardından ayakta kalma mücadelesinin altını çiziyor.
Şirket, “Bununla birlikte şaşırtıcı bir şekilde, LockBit 3.0 bu ayın en önde gelen tehdit grubu değildi ve Mart ayında gözlemlenen saldırıların yarısından azını gerçekleştirdi” dedi. “Bunun yerine Play en aktif tehdit grubuydu ve onu kısa bir süre sonra Avcılar izledi.”
Fidye yazılımı sahnesindeki çalkantı, veri sızdırma, ek kötü amaçlı yazılım dağıtma ve fidye yazılımı saldırılarını kolaylaştırmak için kullanılabilecek gizli Sanal Ağ Bilgi İşlem (hVNC) ve Pandora ve TMChecker gibi uzaktan erişim hizmetlerinin reklamını yapan siber suçlular tarafından tamamlandı.
“Birden çok başlangıç erişim aracısı (IAB’ler) ve fidye yazılımı operatörleri, [TMChecker] Resecurity, “kurumsal VPN ve e-posta hesaplarına yönelik geçerli kimlik bilgilerinin bulunup bulunmadığını tespit etmek için ele geçirilmiş mevcut verileri kontrol etmek” dedi.
“TMChecker’ın eşzamanlı yükselişi bu nedenle önemlidir çünkü birincil kullanım veya ikincil piyasadaki diğer rakiplere satış için yüksek etkili kurumsal erişim elde etmek isteyen tehdit aktörlerinin girişindeki maliyet engellerini önemli ölçüde azaltır.”