Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), FBI, Sağlık ve İnsan Hizmetleri Bölümü ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi, Eylül 2024’ten bu yana işletmeleri ve kritik altyapı sektörlerini hedefleyen Kilit Ransomware Group tarafından artan saldırılar hakkında acil bir ortak danışma uyarısı yayınlamıştır.
Yeni ortaya çıkan Interlock varyantı, tipik fidye yazılımı işlemlerinden ayıran geleneksel olmayan saldırı yöntemlerini kullanarak özellikle sofistike bir tehdidi temsil eder.
Birçok siber suçlu grubundan farklı olarak, kilitli aktörler, el fidye yazılımı manzarasında tespiti daha zor hale getiren nadir bir teknik olan uzlaşılmış meşru web sitelerinden sürüşle indirmeler yaparak başlangıç erişimini sağlar.
Bugün yayınlanan CISA danışmanlığına göre, “Kuşkusuz aktörler fırsatçı ve finansal olarak motive, kurbanları belirli endüstri odağından ziyade fırsata dayalı hedefliyor” dedi.
Grup, Kuzey Amerika ve Avrupa’daki organizasyonlara başarılı bir şekilde sızdı ve geniş operasyonel erişim ve uyarlanabilirliklerini gösterdi.
Çift gasp tehdidi güçlendirir
Interlock’un stratejisinin merkezinde, saldırganların hem kurban verilerini şifrelediği hem de hassas bilgileri yaydığı çift gasp taktiklerinin kullanılmasıdır.
Bu ikili yaklaşım, kurbanların sadece operasyonel bozulmalara değil, aynı zamanda grubun karanlık web sızıntısı sitesi aracılığıyla kamu verilerinin maruz kalma tehdidiyle karşı karşıya kaldıkları için kuruluşların fidye ödeme baskısını önemli ölçüde artırır.
Fidye yazılımı, her iki platformda sanal makineleri şifrelemeye odaklanan hem Windows hem de Linux işletim sistemlerini hedeflemeye odaklanmıştır. Bu platformlar arası özellik, hibrid BT ortamlarını çalıştıran kuruluşlar için özellikle tehlikeli hale getirir.
Belki de en önemlisi, Interlock’un, mağdurların sistem sorunlarını çözdüğü gibi görünen sahte captcha istemlerini tıklayarak kötü niyetli yükler yürütmeye kandırıldığı ClickFix sosyal mühendislik tekniğini benimsemesidir.
Bu yöntem daha önce diğer kötü amaçlı yazılım kampanyalarıyla ilişkilendirilmiş, ancak fidye yazılımı dağıtım yöntemlerinde yeni bir evrimi temsil etmektedir.
Danışma, “Mağdurlara benzersiz bir kod veriliyor ve TOR tarayıcısı aracılığıyla.
Birçok fidye yazılımı grubunun aksine, Interlock notlarında ilk fidye taleplerini içermez; Bunun yerine, müzakereler için doğrudan iletişim kanalları oluşturur.
Interlock fidye yazılımı aktörleri tarafından kaldırılan araçlar
| Araç adı | Tanım |
|---|---|
| Anydesk | Tehdit aktörleri tarafından uzaktan erişim ve kalıcılık için kullanılan uzaktan izleme ve yönetim (RMM) aracı. Ayrıca uzak dosya transferlerini kolaylaştırır. |
| Kobalt grevi | Aktörler tarafından seçilen güvenlik profesyonelleri için tasarlanmış bir penetrasyon test aracı. |
| Powershell | Windows, Linux ve macOS’ta kötü niyetli etkinlikler komut dosyası yazmak için kullanılan platformlar arası görev otomasyonu ve yapılandırma yönetimi çerçevesi. |
| Psexec | Uzak sistemlerde programlar ve komutlar yürütmek için bir araç. |
| Mutty.exe | SSH aracılığıyla uzaktan sistem bağlantıları için açık kaynaklı bir uygulama, SFTP ve SCP gibi dosya aktarım protokollerini de destekler. |
| Screenconnect | Uzaktan destek ve erişim yazılımı. Kart aktörleri bu aracın çatlamış bir versiyonu kullanılarak gözlenmiştir. |
| Systembc | Oyuncuların sistemleri tehlikeye atmasını, komutları yürütmesini, yükleri indirmesini ve komuta ve kontrol (C2) sunucuları için bir proxy olarak hareket etmesini sağlayan bir araç. |
| Windows Konsol Ana Bilgisayar | . conhost.exe Komut satırı uygulamaları için kullanıcı arayüzünü yönetir ve bu saldırılarda kullanılmıştır. |
| Winscp | SFTP, FTP, WebDAV ve diğer protokolleri kullanarak güvenli dosya transferleri için ücretsiz, açık kaynaklı bir istemci. |
Riskli kritik altyapı
Kritik altyapı sektörlerinin hedeflenmesi, potansiyel hizmet kesintileri konusunda özel endişeleri ortaya çıkarmaktadır. Federal araştırmacılar, mevcut saldırıların öncelikle sanal makineleri şifrelemeye odaklanmış olsa da, gelecekteki kampanyalarda fiziksel sunuculara ve iş istasyonlarına genişleme potansiyeli olduğunu belirtiyor.
Bu tehditlere karşı koymak için CISA, kuruluşların özellikle sanal makine ortamları için sağlam uç nokta algılama ve yanıt (EDR) yetenekleri uygulamasını önerir. Ek koruyucu önlemler arasında DNS filtreleme, web erişim güvenlik duvarları, ağ segmentasyonu ve sosyal mühendislik tanıma konusunda kapsamlı kullanıcı eğitimi sayılabilir.
Haziran 2025’e kadar devam eden FBI araştırmaları, kilitleme ve daha önce bilinen Rhyida fidye yazılımı varyantı arasında benzerlikler ortaya koydu ve gruplar arasında olası bağlantılar veya paylaşılan teknik kaynaklar önerdi.
Ortak danışma, devam eden #Stopransomware girişiminin bir kısmını temsil ederek ağ savunucularına bu ortaya çıkan tehdide karşı korunmak için ayrıntılı teknik göstergeler ve hafifletme stratejileri sağlıyor.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi