Yakın zamanda bir inşaat şirketine düzenlenen saldırıda, hedef ağda LockBit’i çalıştırmayı başaramayan bilgisayar korsanlarının, daha önce görülmemiş ikinci bir fidye yazılımını dağıttığı ve bu yazılımın sızmayı başardığı gözlemlendi.
Yeni araç, ana bilgisayardaki dosyaları kilitlemeden önce çeşitli siber güvenlik ve yedeklemeyle ilgili yazılımları engelleyen, oldukça standart bir araç. Ancak sevimli küçük bir temasıyla kendini farklılaştırıyor: Sabahın 3’ü, belki de yalnızca uykusuzluk çekenlerin, hard gece kuşlarının ve siyah şapkalı bilgisayar korsanlarının hala uyanık ve çalıştığı bir zaman.
Bu haftaki bir raporda, Symantec’ten araştırmacılar 3AM’in gözlemlenen ilk kullanımını anlattılar; bu, LockBit fidye yazılımının engellendiği, ancak daha sonra 3AM’in güvenliği ihlal edilmiş bir makineye sızdığı çifte zararlı bir saldırıydı.
Symantec tehdit avcısı ekibinin baş istihbarat analisti Dick O’Brien, “Saldırganların birden fazla fidye yazılımı ailesi kullandığını ilk kez görmüyoruz” diye uyarıyor. “Kuruluşların bunun olmasını beklemesi gerekiyor.”
Saat sabahın 3’ü, Dosyalarınızın Nerede Olduğunu Biliyor musunuz?
Bu vakada tehdit aktörleri, hedef ağına sızdıktan hemen sonra kullanıcı bilgilerini toplamaya ve veri toplama araçlarını dağıtmaya başladı. Örneğin, ilk başlarda Cobalt Strike’ı konuşlandırdılar ve ayrıcalıkları artırmaya çalışmak için PsExec uzaktan komut aracını kullandılar.
Daha sonra, whoami (kullanıcı adını yazdırır), netstat (ağ durumunu görüntüler) vb. gibi keşif komutlarını çalıştırdılar; yatay hareket için kullanabilecekleri diğer sunucuları listelemeye çalıştı; ve kalıcılık amacıyla yeni bir kullanıcı ekledi. Daha sonra kurbanın dosyalarını kendi dosya aktarım protokolü (FTP) sunucusuna yüklemek için Wput yardımcı programını kullandılar.
Bu noktada, her şey yerli yerindeyken saldırganlar, modern hizmet olarak fidye yazılımındaki en son sansasyon olan LockBit’i dağıtmayı amaçlıyordu. Ne yazık ki hedefin siber güvenlik korumaları LockBit’in konuşlandırılmasını tamamen engelledi.
Ancak ne yazık ki kurban için saldırganların elinde ikinci bir siber silah vardı: Gece 3.00. Kötü amaçlı yazılımın bu şekilde adlandırılmasının nedeni şifrelenmiş dosyalara “.3amtime” son ekini eklemesi ve fidye notunda günün o saatine gönderme yapmasıdır.
Not “Merhaba” diye başlıyor. “‘3 am’ Mistisizm zamanı değil mi? Tüm dosyalarınız gizemli bir şekilde şifrelendi ve sistemler ‘hiçbir yaşam belirtisi göstermiyor’, yedeklemeler ortadan kayboldu. Ancak bunu çok hızlı bir şekilde düzeltebilir ve tüm dosyalarınızı ve dosyalarınızı geri getirebiliriz. sistemlerin çalışmasını sağlamak [sic] orijinal hali.”
Yorgun Kötü Amaçlı Yazılım Antivirüsü Uyurken Yakalıyor
Notla karşılaştırıldığında, yazarlar kötü amaçlı yazılımın kendisini yazarken daha az yaratıcılık sergilediler.
3AM, hem bilgisayar korsanları hem de savunucular için giderek daha popüler bir kodlama dili olan Rust’ta yazılmış 64 bitlik bir yürütülebilir dosyadır. Ana makinede öldürmeye çalıştığı uzun bir güvenlik ve yedekleme ile ilgili yazılım listesi vardır ve ardından kirli işlerini yapmaya devam eder: diski taramak, belirli dosya türlerini tanımlamak, bunları şifrelemek, fidye notunu bırakmak ve ardından varsa silmek. Aksi takdirde kurbana biraz rahatlama sağlayabilecek dosyaların Birim Gölgesi (VSS) yedek kopyaları.
Bu ilk dağıtımda saldırganlar yalnızca sabah saat 03.00’ü üç makineye dağıtmayı başardılar ve daha sonra iki makinede engellendiler. Ancak LockBit’in giremediği üçüncüye başarıyla girdi. O’Brien, sabah 3’ün gücünün bir kanıtı olmaktan çok, “muhtemelen işe yaradı çünkü daha önce görülmemiş bir tehditti, halbuki LockBit biliniyor.” Bilgisayar korsanları, ele geçirilen makineden hassas verileri çaldıklarını iddia ediyor ancak Symantec bunu doğrulayamadı.
Bırakın ikisini, bir fidye yazılımını durdurmak söz konusu olduğunda O’Brien şu tavsiyede bulunuyor: “Derinlemesine savunma en iyi stratejidir. Fidye yazılımı saldırıları çok aşamalı bir operasyondur ve kuruluşlar potansiyel bir saldırının tüm aşamalarını ele almalı ve yalnızca şunlara odaklanmamalıdır: yükleri engelliyor.”
“Saldırıyı ne kadar erken durdurursanız o kadar iyi” diyor.