Küresel bir veri depolama ve altyapı şirketi, Akira fidye yazılımının dağıtımından sorumlu grup Howling Scorpius tarafından düzenlenen ciddi bir fidye yazılımı saldırısının kurbanı oldu.
Olay, ele geçirilen bir otomobil bayisinin web sitesinde rutin bir güvenlik kontrolü gibi görünen bir olayla başladı. Bir çalışan, insan olduğunu kanıtlamak için standart bir doğrulama istemi gibi görünen bir şeye tıkladı.
Bu tek etkileşim, şirketin güvenlik altyapısındaki kritik güvenlik açıklarını açığa çıkaran 42 günlük bir uzlaşmayı tetikledi ve sosyal mühendisliğin kurumsal düzeydeki savunmaları bile nasıl atlatmaya devam ettiğini gösterdi.
Saldırı, kötü amaçlı yazılım dağıtımını meşru güvenlik kontrolleri olarak gizleyen karmaşık bir sosyal mühendislik taktiği olan ClickFix’ten yararlandı.
Şüphelenmeyen çalışan sahte CAPTCHA ile etkileşime girdiğinde, bilmeden .NET tabanlı bir uzaktan erişim Truva Atı (RAT) olan SectopRAT kötü amaçlı yazılımını indirdi. Bu kötü amaçlı yazılım, Howling Scorpius’a kuruluşun ağında ilk tutunma noktasını sağladı.
Palo Alto Networks güvenlik analistleri, SectopRAT’ın gizli modda çalıştığını ve saldırganların virüslü sistemleri uzaktan kontrol etmesine, kullanıcı etkinliğini izlemesine, hassas verileri çalmasına ve tespit edilmeden komutları yürütmesine olanak tanıdığını belirledi.
Saldırganlar bir sunucuya komuta ve kontrol arka kapısı kurdular ve sonraki hamlelerini planlamak için hemen sanal altyapının haritasını çıkarmaya başladılar.
Enfeksiyon mekanizması
Bulaşma mekanizması, saldırganların teknik açıdan ne kadar gelişmiş olduğunu ortaya koyuyordu. Sonraki 42 gün boyunca Howling Scorpius, alan yöneticileri de dahil olmak üzere birden fazla ayrıcalıklı hesabın güvenliğini ihlal etti.
Uzak Masaüstü Protokolü (RDP), Güvenli Kabuk (SSH) ve Sunucu İleti Bloğu (SMB) protokollerini kullanarak ağ üzerinde yanal olarak hareket ettiler.
Grup, etki alanı denetleyicilerine erişti, birden fazla dosya paylaşımında WinRAR kullanarak devasa veri arşivleri düzenledi ve tek bir iş birimi etki alanından kurumsal ortama ve sonunda bulut kaynaklarına geçiş yaptı.
Saldırganlar, Akira fidye yazılımı yükünü dağıtmadan önce yedek depolama kaplarını sildi ve FileZillaPortable’ı kullanarak neredeyse bir terabaytlık veriyi sızdırdı.
Daha sonra Akira fidye yazılımını üç ayrı ağdaki sunuculara dağıtarak sanal makinelerin çevrimdışı olmasına ve operasyonların tamamen durmasına neden oldular. Saldırganlar fidye talebinde bulundu.
Olay, kritik bir güvenlik açığını ortaya çıkardı: Kuruluş, tüm kötü amaçlı etkinlikleri kaydeden iki kurumsal düzeyde uç nokta algılama ve yanıt (EDR) çözümü dağıtırken, bu araçlar çok az uyarı oluşturdu.
Güvenlik kayıtları her şüpheli bağlantının ve yanal hareketin tam kayıtlarını içeriyordu, ancak uygun uyarının olmayışı, kritik kanıtların göz önünde saklanmasına neden oldu.
Palo Alto Networks Birim 42, kapsamlı bir soruşturma yürüterek, saldırı yolunun tamamını yeniden yapılandırarak ve fidye talebini yaklaşık yüzde 68 oranında düşürerek yanıt verdi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
