ABD siber güvenlik ve istihbarat teşkilatları uyardı Phobos fidye yazılımı Hükümeti ve kritik altyapı kuruluşlarını hedef alan saldırılar, tehdit aktörlerinin dosya şifreleyen kötü amaçlı yazılımları dağıtmak için benimsediği çeşitli taktik ve tekniklerin ana hatlarını çiziyor.
Hükümet, “Hizmet olarak fidye yazılımı (RaaS) modeli olarak yapılandırılmış olan Phobos fidye yazılımı aktörleri, belediye ve ilçe hükümetleri, acil servisler, eğitim, kamu sağlık hizmetleri ve kritik altyapı dahil olmak üzere birkaç milyon ABD doları cinsinden fidyeyi başarılı bir şekilde fidye etmek için kuruluşları hedef aldı” dedi.
Tavsiye, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi'nden (MS-ISAC) geliyor.
Mayıs 2019'dan bu yana aktif olan Phobos fidye yazılımının bugüne kadar Eking, Eight, Elbie, Devos, Faust ve Backmydata olmak üzere birden fazla çeşidi tespit edildi. Geçtiğimiz yılın sonlarında Cisco Talos, 8Base fidye yazılımının arkasındaki tehdit aktörlerinin, finansal amaçlı saldırılarını gerçekleştirmek için Phobos fidye yazılımının bir çeşidinden yararlandıklarını ortaya çıkardı.
Phobos'un muhtemelen fidye yazılımının özel şifre çözme anahtarını kontrol eden merkezi bir otorite tarafından yakından yönetildiğini gösteren kanıtlar var.
Fidye yazılımı türünü içeren saldırı zincirleri, SmokeLoader gibi gizli yükleri düşürmek için genellikle kimlik avını ilk erişim vektörü olarak kullandı. Alternatif olarak, savunmasız ağlar, açıkta kalan RDP hizmetlerini arayarak ve kaba kuvvet saldırısı yoluyla bunlardan yararlanarak ihlal edilir.
Başarılı bir dijital izinsiz girişin ardından, tehdit aktörlerinin ek uzaktan erişim araçlarını bırakması, kötü amaçlı kod yürütmek ve tespitten kaçınmak için süreç ekleme tekniklerinden yararlanması ve güvenliği ihlal edilmiş ortamlarda kalıcılığı korumak için Windows Kayıt Defteri değişiklikleri yapması gelir.
Ajanslar, “Ayrıca Phobos aktörlerinin, yerleşik Windows API işlevlerini kullanarak tokenleri çalmak, erişim kontrollerini atlamak ve SeDebugPrivilege sürecinden yararlanarak ayrıcalıkları artırmak için yeni süreçler oluşturmak için gözlemlendiği gözlemlendi” dedi. “Phobos aktörleri, etki alanı yöneticisi erişimine ulaşana kadar kurban makinelerde önbelleğe alınmış parola karmalarını kullanarak kimlik doğrulaması yapmaya çalışıyor.”
E-suç grubunun ayrıca aktif dizini numaralandırmak için Bloodhound ve Sharphound gibi açık kaynaklı araçları kullandığı da biliniyor. Dosya sızdırma WinSCP ve Mega.io aracılığıyla gerçekleştirilir, ardından kurtarmayı zorlaştırmak amacıyla birim gölge kopyaları silinir.
Açıklama, Bitdefender'ın aynı anda iki ayrı şirketi etkileyen, titizlikle koordine edilmiş bir fidye yazılımı saldırısını ayrıntılarıyla anlatmasıyla geldi. Senkronize ve çok yönlü olarak tanımlanan saldırının, CACTUS adlı bir fidye yazılımı aktörüne atfedildiği belirtiliyor.
Bitdefender teknik çözümler direktörü Martin Zugec geçen hafta yayınlanan bir raporda, “CACTUS, farklı sunuculara çeşitli türde uzaktan erişim araçları ve tüneller yerleştirerek bir kuruluşun ağına sızmaya devam etti.” dedi.
“Başka bir şirkete geçme fırsatını belirlediklerinde, diğer ağa sızmak için operasyonlarını bir anlığına duraklattılar. Her iki şirket de aynı grubun parçası, ancak bağımsız olarak çalışıyor, herhangi bir yerleşik güven ilişkisi olmaksızın ayrı ağları ve alanları sürdürüyor.”
Saldırı aynı zamanda isimsiz şirketin sanallaştırma altyapısını hedeflemesi açısından da dikkate değer; bu da CACTUS aktörlerinin Hyper-V ve VMware ESXi ana bilgisayarlarına saldırmak için odak noktalarını Windows ana bilgisayarlarının ötesine genişlettiklerini gösteriyor.
Ayrıca, Ağustos 2023'teki ilk açıklamasından 24 saatten daha kısa bir süre sonra internete açık bir Ivanti Sentry sunucusundaki kritik bir güvenlik açığından (CVE-2023-38035, CVSS puanı: 9,8) yararlandı ve bir kez daha yeni yayınlanan güvenlik açıklarının fırsatçı ve hızlı bir şekilde silahlandırıldığının altını çizdi. .
Arctic Wolf'a göre fidye yazılımı, finansal motivasyona sahip tehdit aktörleri için büyük bir kazanç kaynağı olmaya devam ediyor; ilk fidye yazılımı talepleri 2023'te ortalama 600.000 dolara ulaşıyor; bu da bir önceki yıla göre %20'lik bir artış. 2023'ün 4. çeyreği itibarıyla kurban başına ortalama fidye ödemesi 568.705 dolar seviyesinde bulunuyor.
Dahası, fidye talebinin ödenmesi gelecekte koruma anlamına gelmiyor. Bir kurbanın verilerinin ve sistemlerinin güvenli bir şekilde kurtarılacağına ve saldırganların çalınan verileri yer altı forumlarında satmayacağına veya onlara tekrar saldırmayacağına dair hiçbir garanti yoktur.
Siber güvenlik şirketi Cybereason tarafından paylaşılan veriler şunu gösteriyor: “şaşırtıcı bir oran %78 [of organizations] fidyeyi ödedikten sonra tekrar saldırıya uğradı; bunların %82'si bir yıl içinde, bazı durumlarda aynı tehdit aktörü tarafından. Bu kurbanların %63'ünden “ikinci seferde daha fazla ödeme yapması istendi.”