Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Ghost Fidyeware’in yarattığı artan tehdit hakkında ortak bir danışma uyarısı yayınladı.
Bu kötü niyetli kampanya, çeşitli sektörlerde 70’den fazla kuruluşu etkiledi ve hedeflenen ağlara erişmek için yaygın olarak kullanılan yazılımlardaki güvenlik açıklarını kullandı.
Güvenlik açıklarının sömürülmesi
FBI, “hayalet aktörler” olarak adlandırılan hayalet fidye yazılımı operatörlerini gözlemledi ve çeşitli yaygın güvenlik açıkları ve maruziyetleri (CVES) ile ilişkili kamuya bakan uygulamalardan yararlandı.
Bunlar arasında Fortinet Fortios Appliances (CVE-2018-13379), Adobe Coldfusion (CVE-2010-2861, CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604) ve Microsoft Saldırı Zinciri kullanılarak Proxyshell Saldırı Zinciri Kullanılarak (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Bu kusurlardan yararlanarak, saldırganlar ağlara ilk erişim elde eder ve kötü niyetli araçları implante eder.
Taktikler ve Teknikler
Hayalet aktörler, saldırılarını yürütmek için çeşitli sofistike yöntemler kullanır:
- İcra ve Kalıcılık: Bir ağın içine girdikten sonra, saldırganlar güvenliği ihlal edilmiş sunuculara web mermileri dağıtır ve Cobalt Strike Beacon kötü amaçlı yazılımını indirmek için Windows Komut İstemi veya PowerShell gibi araçları kullanır. Bu ticari olarak temin edilebilen araç, düşmanca operasyonları simüle etmek için kötüye kullanılır. Verimliliklerine rağmen, hayalet aktörler genellikle kurban ağlarında sadece birkaç gün geçirir ve genellikle ilk uzlaştıktan sonraki 24 saat içinde fidye yazılımı dağıtırlar.
- Ayrıcalık yükseltme: Saldırganlar, ayrıcalıkları artırmak için yerleşik kobalt grev işlevleri veya “Sharpzerologon” ve “Badpotato” gibi açık kaynaklı araçlar kullanıyor. Bu araçlar, üst düzey kullanıcıları taklit etmelerine veya idari erişim kazanmalarına olanak tanır.
- Kimlik Bilgisi Erişim: Mimikatz veya Cobalt Strike’ın “HashDump” işlevi üzerinden şifre dökümü gibi teknikler, saldırganların yetkisiz girişler için kimlik bilgileri toplamasını sağlar.
Hayalet aktörler, belirli komutları kullanarak algılamadan kaçınmak için antivirüs yazılımını ve Windows Defender’ı devre dışı bırakır.
Ayrıca, Network Share Discovery için Sharshares ve Uzak Sistemler Keşfi için Ladon 911 gibi yerleşik araçlardan yararlanırlar.
Yanal hareket için, ek sistemleri enfekte etmek için Windows Management Enstrümantasyon Komut Satırı (WMIC) ve PowerShell komutlarına güvenirler.
Ghost fidye yazılımı varyantları – cring.exe, ghost.exe, elysiumo.exe ve locker.exe – aygıt kullanılabilirliğini korumak için kritik dizinleri hariç tutarken, tehlikeye atılan sistemlerde dosyaları engelleyin.
Mağdurlar şifre çözme anahtarı olmadan şifreli verileri kurtaramazlar. Fidye talepleri, kripto para biriminde onlar arasında yüz binlerce dolar arasında değişiyor.
CISA ve FBI kuruluşları, bilinen güvenlik açıklarını derhal yamaya çağırır, ağ segmentasyonu gibi sağlam güvenlik önlemlerini uygulamaya ve uzlaşma göstergelerini izlemektedir.
Danışma, bu gelişen fidye yazılımı tehdidine karşı proaktif savunma stratejilerinin önemini vurgulamaktadır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here