Fidye Yazılımı Hizmeti (RaaS), tehdit aktörlerinin fidye yazılımı saldırıları düzenlemesinin önündeki teknik engelleri önemli ölçüde azaltırken, asgari becerilere sahip tehdit aktörlerinin bile karmaşık siber saldırılar gerçekleştirmesine olanak tanır.
Bu model abonelik esasına göre çalışır ve bu model aracılığıyla, söz konusu hizmetlerin geliştiricileri diğer tehdit aktörlerine kullanıma hazır fidye yazılımı araçları sunar.
Group-IB’deki siber güvenlik araştırmacıları yakın zamanda RansomHub’ın büyük miktarda veriyi sızdırmak için RDP hizmetlerini kullandığını tespit etti.
RansomHub RDP Hizmetlerini İstismar Ediyor
RansomHub, kurbanlarının sistemlerinden dosyaları şifreleyerek ve çalarak her zamanki gibi çift taraflı gasp yöntemiyle faaliyet gösteren karmaşık bir Ransomware-as-a-Service (RaaS) grubudur.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Bu grup öncelikle ABD, İngiltere, İspanya, Fransa ve İtalya’daki kuruluşları hedefliyor ve uzmanlık alanları ise sağlık, finans ve hükümet.
Operasyonları çok gelişmiş olmasa da ağ yayılımı ve uzaktan izleme ve yönetim yoluyla C2’nin kontrolü için çift kullanımlı araçlar kullanırlar.
.webp)
Fidye taleplerinin miktarının yüksek olduğu belirtilirken, Kuzey Afrika’ya yönelik saldırılar için yaklaşık 50 milyon dolar fidye talep edildiği ifade edildi.
RansomHub mağdurlarının mali değerlendirmesi, hedef kişinin bildirilen işlemlerinin internet üzerinden erişilmesi nedeniyle fidye yoluyla para manipülasyonunun çok etkili olduğunu ortaya koymaktadır.
Group-IB’nin Dijital Adli Bilişim ve Olay Müdahale Birimi tarafından yürütülen çeşitli araştırmalar, kurbanların çoğunun insanlar, süreçler ve teknoloji açısından uygun güvenlik önlemlerinden yoksun olduğunu gösterdiğinden, hedefler geri çekilse bile küresel ağlar üzerinden saldırılar devam ediyor.
Ransomware-as-a-Service (RaaS) operasyonu olarak faaliyet gösteren RansomHub, 2 Şubat 2024’te ‘RAMP’ karanlık web forumunda “Koley” takma adıyla yazmaya başladı.
Ortaklarına %90-10 kar payı vaat ediyorlar, ardından hxxp://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd adresinde Tor tabanlı DLS çalıştırıyorlar[.]soğan/.
Golang tabanlı fidye yazılımları Windows, Linux ve ESXi IDE’de çalışabiliyor. Bunun yanı sıra ağ yayılımı, Güvenli Mod ve donanım hızlandırmalı şifreleme (AES-256, Cha-Cha20, Xcha-Cha20) özelliklerine sahip.
Saldırı zinciri genellikle, çoğu durumda LummaC2 hırsızı tarafından kandırılan ve tehlikeye atılan etki alanı Yönetici hesaplarının kullanılmasını ve ardından RDP gibi harici hizmetlere uzaktan giriş yapılmasını içerir.
Ağ keşfi ve yanal hareket için saldırganlar Netscan, smbexec ve PsExec gibi araçlar kullanırlar. Şifrelemeden önce, Mega’ya veri sızdırma işlemi yapmak için rclone kullanmak mümkündür.
Dosyaları şifreledikten sonra fidye yazılımı, rastgele 6 karakterlik bir uzantı ekler ve README_ adlı dosyalar oluşturur.[random 6 char]Fidye mesajlarını içeren .txt dosyası.
.webp)
RansomHub, CIS ülkeleri, Kuzey Kore, Çin, Romanya ve Küba’ya yönelik saldırıları kısıtlar. RansomHub, hacklenmiş hesaplar ve genel VPN’ler aracılığıyla erişim sağlarken, verileri çalar ve şifreler.
Yeni stratejileri RaaS’ı devreye sokmak ve yüksek fidye talepleri çıkarmaktan ibaret, bu da saldırgan taktiklerini gösteriyor.
Araştırmacılar, kuruluşların bu tür tehditlerden kaçınmak için erişim kontrollerini iyileştirmeleri, izlemeyi geliştirmeleri ve güvenlik olaylarına daha etkin yanıt vermeleri gerektiğini söyledi.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Siber tehditlere maruz kalma durumlarını tespit etmek için araçları kullanın.
- Uzaktan erişim için OTP tabanlı MFA’yı zorunlu kılın.
- Fidye yazılımına karşı hazır olup olmadığınızı düzenli olarak değerlendirin.
- Güçlü veri yedekleme politikaları uygulayın.
- Güvenlik uyarıları için hızlı yanıt süreleri belirleyin.
- Çift kullanımlı aletleri kullanmaktan kaçının ve bunları izleyin.
- Ağdaki büyük artışlara dikkat edin.
- Yıllık güvenlik denetimleri yapın.
- Saldırı tespiti için gelişmiş analitiği kullanın.
- Fidye Yazılımına Hazırlık kılavuzunu inceleyin.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial