Global BT altyapısına yönelik fidye yazılımı saldırılarının sürekli tehdidinin altını çizen önemli bir siber güvenlik olayında, Ingram Micro Holding Corporation, iç sistemlerine sızan kötü amaçlı aktörlere karşı dört günlük bir savaştan sonra iş operasyonlarını başarıyla restore etti.
İlk olarak 5 Temmuz 2025’te tanımlanan saldırı, bu yıl büyük bir teknoloji dağıtım şirketini etkileyen en önemli fidye yazılımı olaylarından birini temsil ederek kritik tedarik zinciri altyapısını hedefleyen modern siber tehditlerin karmaşık doğasını vurgulamaktadır.
Fidye yazılımı saldırısı, açıklanmayan saldırı vektörleri ile ortaya çıktı, ancak hızlı tanımlama ve muhafaza, kötü amaçlı yazılımın otomatik algılama sistemlerini tetikleyebileceğini veya bilinen fidye yazılımı aileleriyle tutarlı karakteristik davranışları gösterebileceğini gösteriyor.
Keşif üzerine, kötü amaçlı yazılım zaten bazı dahili sistemlerde dosyaları şifrelemeye başlamış ve Ingram Micro’yu anında sınırlama protokolleri uygulamaya teşvik etmiştir.
Şirketin hızlı yanıtı, etkilenen sistemleri çevrimdışı olarak almayı, yanal hareketi önleme ve ağ altyapısında daha fazla veri şifrelemesini içeriyordu.
Olayın etkisi, şirketin küresel operasyonlarını ve Ingram Micro’nun dağıtım hizmetlerine güvenen potansiyel olarak milyonlarca alt müşteriyi etkileyen sadece sistem aksamasının ötesine geçti.
Saldırı, sipariş işlemesi, envanter yönetimi ve müşteri ilişkileri işlevleri için çok önemli olan iç sistemleri hedef aldı ve kötü amaçlı yazılımların iş açısından kritik altyapıya stratejik odağını gösterdi.
Ingram Micro analistleri, ilk araştırma aşamasında fidye yazılımının davranış kalıplarını belirledi, kalıcılık mekanizmaları oluşturma ve süreç oyma teknikleri yoluyla tespitten kaçınma girişimlerini not ettiler.
Enfeksiyon mekanizması ve kalıcılık taktikleri
Fidye yazılımının enfeksiyon mekanizması, kötü niyetli faaliyetlerini maskelemek için meşru sistem süreçleri kullanan sofistike kaçış yetenekleri sergiledi.
Güvenlik araştırmacıları, meşru dinamik bağlantı kütüphanelerini şifreleme rutinleri içeren kötü amaçlı sürümlerle değiştirdiği DLL yan yükleme tekniklerini kullanan kötü amaçlı yazılımları gözlemledi.
Kalıcılık mekanizması, kayıt defteri değişikliklerine ve planlı görev oluşturmaya dayanarak, kötü amaçlı yazılımların sistem yeniden başlatmalarından kurtulup şifreleme işlemlerine devam edebilmesini sağladı.
# Example of registry persistence mechanism observed
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SystemUpdate" -Value "C:\Windows\System32\svchost.exe -k netsvcs"Kötü amaçlı yazılım, sanal makine algılama ve sanal alan kaçırma teknikleri dahil olmak üzere gelişmiş anti-analiz özellikleri gösterdi.
Meşru pencerelerde gizlemek için süreç enjeksiyon yöntemleri kullandı, bu da tespiti geleneksel antivirüs çözümleri için zorlaştırdı.
İyileşme süreci, gelecekteki olayları önlemek için kapsamlı sistem yeniden görüntüleme, yedekleme restorasyonu ve gelişmiş izleme çözümlerinin uygulanmasını içeriyordu.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi