Kurumsal ağlara sızmak için Zyxel güvenlik duvarı cihazlarındaki güvenlik açıklarından aktif olarak yararlanan “Helldown” adlı yeni bir fidye yazılımı tehdidi ortaya çıktı.
Siber güvenlik araştırmacıları, Helldown fidye yazılımı grubunu, özellikle uzaktan erişim için IPSec VPN kullanan Zyxel güvenlik duvarlarını hedef alan bir dizi saldırıya bağlayan kanıtları ortaya çıkardı.
.webp)
İstismar edilen birincil güvenlik açığı, Zyxel ZLD güvenlik duvarı donanım yazılımının 5.00 ila 5.38 sürümlerinin web yönetimi arayüzünde bir dizin geçiş kusuru olan CVE-2024-11667’dir.
.webp)
.webp)
CVSS puanı 7,5 olan bu yüksek önemdeki güvenlik açığı, saldırganların hazırlanmış URL’ler aracılığıyla dosya indirmesine veya yüklemesine olanak tanıyor ve bu da potansiyel olarak yetkisiz erişime ve sistemin tehlikeye girmesine yol açıyor.
Helldown operatörleri, fidye yazılımlarının hem Windows hem de Linux sürümlerinden yararlanarak karmaşık taktikler sergilediler.
Yarix analistleri, LockBit 3.0 kodundan türetilen Windows sürümünün, gölge kopyaları silmek ve şifrelemeden önce kritik işlemleri sonlandırmak gibi gelişmiş teknikler kullandığını keşfetti.
Linux çeşidi, daha az karmaşık olmasına rağmen, VMware ESXi sunucularını hedef alarak sanal makineleri şifreleme öncesinde kapatacak şekilde tasarlanmıştır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Saldırı zinciri
Saldırı zinciri genellikle ilk erişim için Zyxel güvenlik duvarı açıklarından yararlanılmasıyla başlar.
.webp)
Tehdit aktörleri içeri girdikten sonra kötü niyetli kullanıcı hesapları oluşturuyor ve kimlik bilgileri dökümü için Mimikatz gibi araçları kullanıyor. Daha sonra RDP ve diğer uzaktan erişim araçlarını kullanarak ağ içinde yanal olarak hareket ederler.
Helldown’ın çifte şantaj stratejisi, dosyaları şifrelemeden önce büyük miktarda hassas verinin dışarı sızmasını içeriyor.
Kurbanlar, fidye ödenmediği takdirde grubun karanlık web portalına veri sızıntısı tehdidiyle karşı karşıya kalıyor. Fidye yazılımı, Ağustos 2024’ten bu yana en az 31 kurban aldı ve öncelikle ABD ve Avrupa’daki küçük ve orta ölçekli işletmeleri hedef aldı.
Helldown fidye yazılımı, şifreleme görevlerini yönlendirmek için XML tabanlı yapılandırmalar kullanıyor ve verileri hedefleme konusunda yapılandırılmış bir yaklaşım sergiliyor.
Kötü amaçlı yazılım, Windows sürümünde sabit kodlanmış anahtarlar kullanıyor ve yönetici ayrıcalık kontrolleri gerçekleştirerek muhtemelen maksimum etki ve erişim sağlıyor.
Özellikle, Linux sürümü çevrimdışı çalışıyor ve gözlemlenen hiçbir ağ iletişimi göstermiyor, bu da tespitten kaçmasına yardımcı olabilir.
Ek olarak Helldown, şifrelemeyi başlatmadan önce sanal makine işlemlerini sonlandırma yeteneğine sahip olup, potansiyel olarak güvenlik önlemlerinden ve korumalı alan ortamlarından kaçabilir.
Zyxel, saldırıları kabul etti ve 3 Eylül 2024’te CVE-2024-11667 ve donanım yazılımının 5.39 sürümündeki diğer güvenlik açıklarına yönelik yamalar yayınladı.
Ancak bazı kuruluşların güvenliği, muhtemelen yönetici şifrelerinin değiştirilmemesi veya yeni oluşturulan hesapların kontrol edilememesi nedeniyle yamalar uygulandıktan sonra bile ele geçirildi.
Tehdidi azaltmak için Zyxel güvenlik duvarlarını kullanan kuruluşlara şunları yapmaları şiddetle tavsiye edilir:
- Ürün yazılımını anında 5.39 veya sonraki bir sürüme güncelleyin
- Tüm yönetici şifrelerini değiştirin
- Gerekmediğinde uzaktan yönetim erişimini devre dışı bırakın
- Güçlü ağ bölümlendirmesini uygulayın
- Şüpheli hesap oluşturma ve yan hareket faaliyetlerini izleyin
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri