Araştırmacılar, Medusa Ransomware Grubu’nun kritik bir operasyonel güvenlik (OPSEC) açığını ortaya çıkardı ve grubun bulut depolama alanına erişerek çeşitli kurbanlara ait sızdırılmış verileri açığa çıkardı.
Olay, bir fidye yazılımı müdahale operasyonu sırasında gün yüzüne çıktı. Araştırmacılar, Medusa’nın çalınan bilgileri bulut hesaplarına taşımak için popüler bir veri aktarım aracı olan Rclone’u kullandığını buldu. Mega.nz veya mega.io’yu tercih eden birçok fidye yazılımı grubunun aksine, Medusa depolama platformu olarak put.io’yu seçti.
Medusa Fidye Yazılımı OPSEC Hatası
MEDUSA fidye yazılımı grubu, sağlık, eğitim, imalat ve perakende gibi farklı sektörlerde faaliyet gösteren birçok ülkeyi hedef almasının ardından ilk kez Haziran 2021’de güvenlik araştırmacılarının dikkatini çekmişti.
Tehdit aktörlerinin hatası, rclone.exe’yi C:\Windows\AppCompat\ dizinine bıraktıktan sonra bir yapılandırma dosyası bırakmaktı. Bu dosya, genellikle tam erişim için ek kimlik bilgileri gerektiren put.io belirtecini içeriyordu. 70’ten fazla bulut sağlayıcısıyla entegrasyon için destek sağlayan Rclone, fidye yazılımı grupları arasında artan kullanım gördü.
Ancak, Dark Atlas Squad yalnızca bu token’ı kullanarak kimlik doğrulaması yapabildiklerini keşfetti. Burp Suite’i kullanarak kendi token’larını Medusa’nınkiyle değiştirerek grubun bulut depolarına tam erişim elde ettiler.
Bu ihlal, Medusa’nın hesabıyla ilişkili e-posta adresini ortaya çıkardı: [email protected]Daha da önemlisi, Kansas City Bölge Ulaştırma İdaresi de dahil olmak üzere çok sayıda kurbandan çalınan verileri ifşa etti.
Kurtarma ve Önleme
Hızlı davranan ekip, çalınan verilerin kurtarılmasını otomatikleştirmek için bir Python betiği geliştirdi. Zip dosyaları oluşturdular ve bunları indirdiler, Medusa saldırıyı tespit etmeden önce görevi tamamlamak için zamanla yarıştılar.
Araştırmacılar daha sonra mağdurlara ait hassas dosyaları silmeye başladılar ve kurtarma çalışmalarına yardımcı olmak için mümkün olduğunca çok sayıda etkilenen tarafa ulaştılar.
Gelecekteki olayları önlemeye yardımcı olmak için güvenlik araştırma ekibi, ağlar içinde put.io ile ilgili DNS sorgularını tespit etmek üzere tasarlanmış bir Sigma kuralı oluşturdu. Bu kural, meşru put.io kullanımından potansiyel olarak yanlış pozitifler üretirken, şüpheli etkinliği belirlemek için değerli bir araç görevi görür.
Fidye yazılımı grupları taktiklerini geliştirmeye devam ettikçe, bu olay saldırganların hatalarını savunma ve kurtarma fırsatlarına dönüştürme potansiyeli taşıyor.
Haziran 2024’ün başlarında fidye yazılımı grubu, çalınan verilerin bu kurumlardan yayınlanmasını önlemek için Fitzgerald, DePietro & Wojnas CPAs, PC’den 120.000 ABD doları ve Tri-City College Prep Lisesi’nden 100.000 ABD doları ödül talep etmişti.
Medya Sorumluluk Reddi: Bu rapor çeşitli yollarla elde edilen dahili ve harici araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar bunlara güvenmelerinin tüm sorumluluğunu üstlenirler. Cyber Express, bu bilgilerin doğruluğu veya kullanılmasının sonuçları konusunda hiçbir sorumluluk kabul etmez.