Water Bakunawa olarak takip edilen RansomHub fidye yazılımı grubu, Zerologon güvenlik açığından yararlanmak için hedefli kimlik avı yöntemini kullanıyor ve bu sayede ağlara yetkisiz erişim sağlayarak çeşitli endüstrileri ve kritik altyapı sektörlerini etkiliyor, veri yayınlamak için fidye talep ediyor.
Grubun yakın zamanda tespit edilmekten kaçınmak ve güvenlik süreçlerini aksatmak için tasarlanmış bir araç olan EDRKillShifter’ı entegre etmesi, EDR çözümlerini dinamik olarak devre dışı bırakma ve kalıcılığı sağlama yeteneği sayesinde geleneksel güvenlik önlemleri için zorlu bir rakip haline gelen uç nokta güvenliği için önemli bir tehdit oluşturuyor.
Bir fidye yazılımı grubu genellikle güvenlik açıklarını istismar ederek, kimlik avı yaparak veya parola püskürtme yoluyla sistemlere ilk erişimi elde eder. Belirli bir olayda birincil giriş noktası tehlikeye atılmış bir kullanıcı hesabıydı ve birden fazla hedefli kimlik avı girişimi tespit edildi.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Zerologon güvenlik açığı, Vision One telemetri veri setinin yükseklik kontrol mekanizmalarının kötüye kullanıldığını gösteren tespitleri ortaya koyması ve kötü amaçlı faaliyetlerin varlığını daha da ileri götürmesiyle potansiyel bir erişim vektörü olarak tanımlandı.
RansomHub’ın kaçınma taktikleri, güvenlik önlemlerini devre dışı bırakmak ve yetkisiz erişimi kolaylaştırmak için dört toplu komut dosyası kullanıyordu; 232.bat ise parola püskürtmeyi kullanıyor ve Windows Defender’ı devre dışı bırakıyordu.
Tdsskiller.bat kayıt defterini değiştirdi, işlemleri sonlandırdı ve Trend Micro’nun antivirüs hizmetini devre dışı bıraktı; karıştırılmış bir PowerShell betiği olan Killdeff.bat ise Windows Defender ayarlarını değiştirdi ve ayrıcalık yükseltme girişiminde bulundu.
LogDel.bat, adli analizi engellemek için dosya özniteliklerini değiştirdi, RDP ayarlarını düzenledi ve Windows Olay Günlüklerini temizledi; bu da sistem güvenliğini tehlikeye attı ve RansomHub’ın kötü amaçlı yükünü yürütmesine olanak tanıdı.
BYOVD yükleyicisi olan EDRKillShifter aracı, “data.bin” adlı gömülü bir kaynağı yürütmek ve şifresini çözmek için parola korumalı bir komut satırı kullanır ve ardından ikinci aşama yükünü açar ve yürütür; bu yük, Gobinary’yi ve savunmasız sürücüyü içeren son yükü şifresini çözer.
Yükleyici, yükseltilmiş ayrıcalıklar elde etmek için savunmasız sürücüyü dağıtır ve kullanır. Bu, sistemde kalıcı olması için KB20240815 adlı bir Windows hizmeti oluşturarak bir IoC metin dosyasında listelenen belirli antivirüs uygulamalarını sonlandırmasına olanak tanır.
RansomHub, LSASS belleğini boşaltmak için Taskmgr.exe’yi kullanarak kimlik bilgisi hırsızlığıyla başlayan ve ardından NetScan ile gizli ağ keşfi gerçekleştiren ve SMB/Windows Yönetici Paylaşımlarını kullanarak yatay olarak ilerleyen çok aşamalı bir saldırı uyguladı.
C&C altyapısı olarak AnyDesk kullanılırken, hassas dosyaları sızdırmak için rclone kullanıldı; bu da derin erişim elde etmek, verileri çalmak ve operasyonları aksatmak için çeşitli tekniklerden yararlandı.
Gelişmiş bir fidye yazılımı, güvenlik savunmalarını atlatmak için EDRKillShifter’ı kullanıyor ve dosyaları şifreleyen ve VSS anlık görüntülerini silen bir ikili dosya dağıtıyor.
Şifrelenmiş dosyaları tanımlamak için fidye notunun dosya adına dayalı benzersiz bir dosya uzantısı kullanır.
Bu tehdide karşı koymak için kuruluşlar uç nokta korumasını güçlendirmeli, sürücü ve çekirdek düzeyinde korumalar uygulamalı, kimlik bilgisi güvenliğini zorunlu kılmalı, davranışsal izlemeyi etkinleştirmeli, uç nokta yapılandırmalarını sağlamlaştırmalı ve en son tehdit istihbaratıyla güncel kalmalıdır.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free