Savunmasız SQL sunucuları aracılığıyla hedef ağlara girme eğilimi olan bir fidye yazılımı aktörü, geçtiğimiz birkaç ay içinde aniden çok aktif hale geldi ve şimdiden olduğundan daha büyük bir tehdit haline gelmeye hazır görünüyor.
Mallox olarak izlenen grup – diğer adıyla TargetCompany, Fargo ve Tohnichi – ilk olarak Haziran 2021’de ortaya çıktı ve o zamandan beri dünya çapında yüzlerce kuruluşa bulaştığını iddia ediyor. Grubun kurbanları arasında imalat, perakende, toptan satış, yasal ve profesyonel hizmet sektörlerindeki kuruluşlar yer alıyor.
Ani Dalgalanma
Palo Alto Networks’ün Unit 42 tehdit istihbarat ekibindeki araştırmacılara göre, bu yılın başlarından itibaren grupla ilgili tehdit faaliyeti, özellikle Mayıs ayında arttı. Güvenlik satıcısı bu hafta bir blogda, Palo Alto’nun ve diğer açık tehdit istihbarat kaynaklarından alınan telemetrinin, Mallox ile ilgili faaliyetlerde 2022’ye kıyasla bu yıl şimdiye kadar şaşırtıcı bir şekilde %174’lük bir artış gösterdiğini söyledi.
Palo Alto Networks’ün kıdemli güvenlik araştırmacısı Lior Rochberger, daha önce Mallox’un nispeten küçük ve kapalı bir fidye yazılımı grubu olarak tanındığını söylüyor.
“Görünüşe göre 2023’ün başında grup, üyeler alarak operasyonlarını genişletmek için daha fazla çaba sarf etmeye başladı” diyor. “Bu, potansiyel olarak bu yıl boyunca ve özellikle daha yakın zamanda, Mayıs ayı civarında gözlemlediğimiz artışı açıklayabilir.”
Mallox grubunun kurumsal ağlarda ilk erişimi elde etmeye yönelik tipik yaklaşımı, güvenlik açığı bulunan ve diğer açılardan güvensiz olan SQL sunucularını hedeflemektir. Genellikle, saldırganın bir kuruluşun SQL sunucularına karşı yaygın olarak kullanılan parolaların veya bilinen varsayılan parolaların bir listesini kullandığı bir kaba kuvvet saldırısıyla başlarlar.
Güvenli Olmayan SQL Sunucularını Hedefleme
Rochberger, araştırmacıların Mallox’un SQL’de en az iki uzaktan kod yürütme güvenlik açığından yararlandığını gözlemlediğini söylüyor: CVE-2020-0618 ve CVE-2019-1068.
Şimdiye kadar, Birim 42 yalnızca Mallox’un SQL sunucuları aracılığıyla ağlara sızdığını gözlemledi. Ancak Rochberger, diğer araştırmacıların yakın zamanda Mallox’u kimlik avı e-postaları yoluyla dağıtma girişimlerini bildirdiklerini ve bunun da artık yeni bağlı grupların da işin içinde olduğunu öne sürdüğünü söylüyor.
Unit 42’nin bu haftaki raporunda, “Erişim elde ettikten sonra, saldırganlar uzak bir sunucudan Mallox fidye yazılımı yükünü indirmek için komut satırını ve PowerShell’i kullanıyor.”
Bugünlerde diğer birçok fidye yazılımı bulaşmasında olduğu gibi, yük önce bir kurban sistemdeki verileri şifreleme yeteneğini engelleyebilecek tüm hizmetleri devre dışı bırakmaya çalışıyor. Ayrıca gölge kopyaları sistematik olarak silmeye çalışır, bu nedenle şifreleme tamamlandıktan sonra veri geri yükleme zorlaşır. Ayrıca kötü amaçlı yazılım, adli tıp analizini karmaşıklaştırma çabasının bir parçası olarak ortak bir Microsoft komut yardımcı programını kullanarak tüm olay günlüklerini temizlemeye çalışır.
Mallox çifte gasp kampanyasıdır, yani tehdit aktörleri kurban ortamından verileri şifrelemeden önce çalar. Grup, bugünlerde neredeyse tüm diğer fidye yazılımı operasyonlarında olduğu gibi, fidye taleplerini kabul etmeyi reddeden kurbanlara ait verileri sızdırdığı bir web sitesine sahip. Mağdur kuruluşlar, kendilerini doğrulamak için benzersiz bir özel anahtar kullanarak bir Tor web sitesi aracılığıyla Mallox operatörleriyle görüşebilir. Mallox operatörleri, dünya çapında yüzlerce organizasyonu ihlal ettiğini iddia ediyor. Birim 42, kendi telemetrisinin dünya çapında en az düzinelerce potansiyel kurban gösterdiğini söyledi.
Mallox’un ani faaliyet patlaması kayda değer olsa da, işletme savunucuları için herhangi bir şeyi değiştirmesi veya onlar için yeni ek sorunlara yol açması pek olası değildir. NCC Group’tan bu hafta yayınlanan yeni bir rapor, 2022’nin aynı dönemine kıyasla bu yıl fidye yazılımı saldırılarında %221’lik bir artış olduğunu gösterdi. NCC Group, Haziran 2023’te rekor sayıda 434 saldırı saydığını ve bunların çoğunun Cl0p fidye yazılımı grubunun MOVEit dosya aktarım güvenlik açığını istismar etmesine bağlı olduğunu söyledi. Cl0p grubu, NCC’nin Haziran ayında gözlemlediği toplam 90 fidye yazılımı saldırısından sorumluydu. NCC Group, Lockbit 3.0’ın dönem boyunca bir başka çok aktif tehdit aktörü olduğunu söyledi.
Her zaman olduğu gibi, tehdide karşı en iyi savunma, bu tür saldırıları ele almak için çok katmanlı bir plana sahip olmaktır. Güvenlik satıcısı, “Unit 42 ekibi, İnternet’e bakan tüm uygulamaların düzgün bir şekilde yapılandırıldığından ve tüm sistemlerin yama uygulanmış ve mümkün olan her yerde güncel olduğundan emin olunmasını öneriyor.” Satıcı, süreç enjeksiyon girişimlerini, yanal hareket çabalarını ve güvenlik kontrollerinden kaçma girişimlerini tespit etmek için bellek içi inceleme gerçekleştirmek için uç nokta güvenlik kontrollerinin yerinde olmasının da iyi bir fikir olduğunu söyledi.