Son haftalarda, bilgisayar korsanları “IceFire” fidye yazılımını Linux kurumsal ağlarına karşı konuşlandırıyor; bu, bir zamanlar yalnızca Windows’a yönelik bir kötü amaçlı yazılım olan şey için kayda değer bir değişiklik.
Bugün yayınlanan bir SentinelOne raporu, bunun tomurcuklanan bir trendi temsil edebileceğini öne sürüyor. Fidye yazılımı aktörleri, son haftalarda ve aylarda siber saldırılarda Linux sistemlerini her zamankinden daha fazla hedef alıyor. Dark Reading’i anlatır.
Peki, eğer Linux işlerini zorlaştırıyorsa, fidye yazılımı aktörleri neden giderek daha fazla ona doğru ilerliyor?
IceFire MO
IceFire, ilk kez geçtiğimiz Mart ayında keşfedildi. BGH fidye yazılımı, “büyük işletmeleri hedefleyen, çok sayıda kalıcılık mekanizması kullanan ve günlük dosyalarını silerek analizden kaçan çifte gasp” ile karakterize edilir.
Ancak IceFire bir zamanlar yalnızca Windows tabanlı bir kötü amaçlı yazılım iken, son saldırıları Linux tabanlı kurumsal ağlara karşı gerçekleşti.
Saldırı akışı basittir. Bir hedef ağı ihlal eden IceFire saldırganları, hedef makinelerdeki tüm değerli veya ilginç verilerin kopyalarını çalar. Ancak o zaman şifreleme gelir. Delamotte, IceFire’ın öncelikle aradığı şeyin kullanıcı ve paylaşılan dizinler olduğunu, çünkü bunların önemli ancak “dosya sisteminin yazma veya değiştirme için yükseltilmiş ayrıcalıklar gerektirmeyen korumasız parçaları” olduğunu açıkladı.
Ancak saldırganlar dikkatli. “IceFire fidye yazılımı, Linux’taki tüm dosyaları şifrelemez: Belirli yolların şifrelenmesinden kaçınır, böylece sistemin kritik bölümleri şifrelenmez ve çalışır durumda kalır.”
IceFire, şifrelenmiş dosyaları bir “.ifire” uzantısıyla etiketler, o zamandan beri birçok BT yöneticisi kendileri için keşfetmiştir. Ayrıca otomatik olarak gösterişsiz bir fidye notu bırakır – “Tüm önemli dosyalarınız şifrelendi. Dosyalarınızı geri yüklemeye yönelik tüm girişimler…” Not, kurbanın saldırganlara oturum açmak için kullanabileceği, sabit kodlanmış benzersiz bir kullanıcı adı ve parola içerir. Tor tabanlı fidye ödeme portalı. İş tamamlandığında, IceFire kendini siler.
IceFire Nasıl Değişiyor?
Bu ayrıntıların çoğu, IceFire’ın sahneye ilk girişinden bu yana tutarlı kaldı. Ancak son haftalarda mağduriyet de dahil olmak üzere bazı önemli detaylar değişti.
IceFire’ın bir zamanlar sağlık, eğitim ve teknoloji sektörlerine yönelik kampanyalarda kullanıldığı yerlerde, son saldırılar başta İran, Pakistan, Türkiye, Birleşik Arap Emirlikleri ve benzeri Orta Doğu ülkeleri olmak üzere eğlence ve medya kuruluşlarına odaklandı.
IceFire’ın MO’sundaki diğer değişiklikler, işletim sisteminin Linux’a kaymasından kaynaklanmaktadır. Örneğin, SentinelOne geçmişte siber saldırganların IceFire’ı kimlik avı ve hedef odaklı kimlik avı e-postaları yoluyla dağıttığını ve ardından yayılmasına yardımcı olmak için Metasploit ve Cobalt Strike gibi üçüncü taraf, pen-test araçlarını kullandığını belirtmişti.
Ancak “birçok Linux sistemi sunucudur,” diye belirtiyor Delamotte, “bu nedenle kimlik avı veya arabayla indirme gibi tipik enfeksiyon vektörleri daha az etkilidir.” Bunun yerine, son IceFire saldırıları, IBM Aspera veri aktarım hizmetinde CVSS derecesi 9,8 olan kritik bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2022-47986’dan yararlandı.
Hackerlar Neden Linux’u Hedefliyor?
Delamotte, son zamanlarda daha fazla fidye yazılımı aktörünün Linux’u seçmesinin birkaç nedenini öne sürüyor. Her şeyden önce, “Linux tabanlı sistemler, veritabanlarını barındırma, Web sunucuları ve diğer görev açısından kritik uygulamalar gibi önemli görevleri gerçekleştirmek için kurumsal ortamlarda sıklıkla kullanılır. Sonuç olarak, bu sistemler genellikle fidye yazılımı aktörleri için daha değerli hedeflerdir. tipik bir Windows kullanıcısına kıyasla, başarılı bir saldırıdan kaynaklanan daha büyük bir ödeme olasılığına.”
İkinci bir faktör, diye tahmin ediyor, “bazı fidye yazılımı aktörleri, Linux’u daha yüksek bir yatırım getirisi sağlayabilecek, yararlanılmamış bir pazar olarak algılayabilirler.”
Son olarak, “kurum ortamlarında konteynerleştirme ve sanallaştırma teknolojilerinin yaygınlığı, fidye yazılımı aktörleri için potansiyel saldırı yüzeyini genişletti” diyor. Bu teknolojilerin çoğu Linux tabanlıdır, bu nedenle “fidye yazılımı grupları” düşük asılı meyve “tedariğini tükettikçe, muhtemelen bu daha yüksek çaba hedeflerine öncelik vereceklerdir.”
Birincil sebep ne olursa olsun, daha fazla tehdit aktörü aynı yolu izlerse, Linux tabanlı sistemler çalıştıran kuruluşların hazır olması gerekir.
Delamotte, fidye yazılımlarına karşı savunmanın “çok yönlü bir yaklaşım” gerektirdiğini söylüyor ve aynı anda görünürlük, eğitim, sigorta, çok katmanlı güvenlik ve yama uygulamaya öncelik veriyor.
“Kuruluşlar, siber güvenliğe proaktif bir yaklaşım benimseyerek fidye yazılımı saldırılarına karşı başarılı bir şekilde savunma şanslarını artırabilir” diyor.