Nitrojen adı verilen yeni bir fidye yazılımı türü, geçtiğimiz dört ay içinde inşaat, finansal hizmetler, üretim ve teknoloji gibi sektörlerdeki kuruluşları hedef alan önemli bir tehdit olarak ortaya çıktı.
Fidye yazılımı özellikle ABD, Kanada ve Birleşik Krallık’ta aktif olup ağlara sızmak ve mağdurları şantaj yapmak için gelişmiş taktiklerden yararlanıyor.
Nitrogen, Google ve Bing arama motorlarındaki kötü amaçlı reklamlar yoluyla ilk erişimle başlayan karmaşık bir saldırı zinciri kullanır.
SOPHOS, bu reklamların kurbanları AnyDesk, Cisco AnyConnect ve WinSCP gibi meşru uygulamaların kimliğine bürünen sahte yazılım indirme sitelerine yönlendirdiğini gözlemledi.
Trojanlı yükleyiciler indirildikten sonra, kayıt defteri anahtarlarını kullanarak kalıcılık sağlayan ve Cobalt Strike ve Meterpreter kabukları gibi araçlar aracılığıyla daha fazla kötü amaçlı eylemi kolaylaştıran Nitrogen kötü amaçlı yazılımını dağıtıyor.
Nitrogen, kurbanın ağında bir yer edindikten sonra fidye yazılımı yükünü çalıştırır. Kötü amaçlı yazılım, güçlü şifreleme algoritmaları kullanarak dosyaları şifreler ve etkilenen dosyalara .NBA uzantısını ekler.
Birden fazla dizine ‘readme.txt’ adlı bir fidye notu bırakarak kurbanları veri hırsızlığı ve şifreleme konusunda uyarıyor. Notta, fidyenin derhal ödenmemesi halinde çalınan verilerin karanlık web blogunda yayınlanması tehdidinde bulunuluyor.
Gelişmiş Kaçınma Teknikleri
Azot, tespit edilmekten kaçınmak için çeşitli anti-analiz mekanizmaları içerir. Bunlar şunları içerir:
- Hata ayıklayıcı ve sanal makine algılama: Kontrollü ortamlarda analizin önlenmesi.
- Kod gizleme: Tersine mühendisliği engellemek için yığın dizeleri gibi tekniklerin kullanılması.
- Sistem keşfi: Yüksek değerli hedefleri belirlemek için sistem bilgilerini ve Taşınabilir Çalıştırılabilir (PE) bölümleri numaralandırma.
Nitrogen’in fidye notu, şifrelemeyi, çifte gasp fidye yazılımının ayırt edici özelliği olan veri sızıntısı ile birleştirerek saldırının ciddiyetini vurguluyor.
Mağdurlar, bu tür eylemlerin geri dönüşü olmayan veri kaybına yol açabileceği veya GDPR gibi düzenlemeler kapsamında yasal cezalara yol açabileceği iddialarıyla üçüncü taraflardan veya kolluk kuvvetlerinden yardım aramamaları konusunda uyarılıyor.
Saldırganlar, ödeme sonrasında şifre çözme araçları, veri silme kanıtı ve güvenlik önerileri sunarken, kurallara uyma konusunda baskı kurmak için korku taktiklerini kullanıyor.
Nitrojen, aksama süresinin art arda etkileri olabileceği kritik sektörlere özellikle odaklanmıştır.
İmalat küresel olarak en çok etkilenen sektörlerden biri olmaya devam ederken, finansal hizmetler ve teknoloji firmaları da sık sık hedef oluyor.
ABD, son aylarda yaşanan vakaların %50’sinden fazlasının gerçekleştiği en çok etkilenen coğrafya oldu. Kuruluşlara, Nitrogen fidye yazılımlarına karşı korunmak için sağlam siber güvenlik önlemleri almaları tavsiye ediliyor:
- Yazılımı ve yama güvenlik açıklarını düzenli olarak güncelleyin.
- Tüm kritik sistemler için çok faktörlü kimlik doğrulamayı (MFA) uygulayın.
- Kimlik avı girişimlerini tanımak için çalışanlara eğitim verin.
- Kötü amaçlı etkinlikleri erken tespit etmek için uç nokta algılama ve yanıt (EDR) çözümlerini kullanın.
Nitrogen gibi fidye yazılımı grupları taktiklerini geliştirmeye devam ederken proaktif savunma stratejileri, riskleri en aza indirmek ve operasyonel dayanıklılığı sağlamak için hayati önem taşıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin