Tehdit istihbaratı uzmanı Recorded Future, Rhysida fidye yazılımı çetesinin gelecekteki kurbanlarını, fidye yazılımı dolabını yerleştirme şansına sahip olmadan önce nasıl bulabileceğine ve uyarabileceğine ilişkin ayrıntıları açıkladı.
Birleşik Krallık’ta belki de en çok 2023 sonlarında Britanya Kütüphanesi’ne düzenlenen saldırıyla tanınan Rhysida, Ocak 2023’ten bu yana aktif ve standart bir çifte şantaj, hizmet olarak fidye yazılımı operasyonu yürütüyor. Her ne kadar eğitim ve sağlık kuruluşlarını hedeflemeyi tercih etmiş gibi görünse de, farklı sektörlerde faaliyet göstermektedir.
Kuruluşun dahili Insikt Group araştırma ekibi, Recorded Future’da geliştirilen yeni bir erken tespit tekniğinin, fidye yazılımına karşı mücadelede potansiyel bir oyun değiştirici olabileceğini söyledi.
“Insikt Grubu, Rhysida kurbanlarının kamuya açık şantaj sitelerinde görünmeden ortalama 30 gün önce tespit edilebildiğini tespit etti. Rhysida’nın altyapısının izlenmesi…bu tespitin mümkün olmasını sağladı” diye yazdılar.
“İlk enfeksiyon ile fidye yazılımının yayılması arasındaki ortalama bekleme süresi, savunmacılara yanıt vermeleri için kritik bir pencere sunuyor. Ağ iletişimlerini ve diğer uzlaşma göstergelerini tanımlayarak [IoCs] Güvenlik ekipleri, saldırganlar verileri şifrelemeden veya fidye talebinde bulunmadan önce tehditleri etkisiz hale getirmek için erken harekete geçebilirler.”
Bir Rhysida saldırısının anatomisi
Rhysida, saldırılarını kolaylaştırmak için çok katmanlı bir altyapı kullanıyor; hedefleri kandırarak CleanUpLoader olarak bilinen bir arka kapı kötü amaçlı yazılımını barındıran bir yük sunucusunu ziyaret etmeleri için SEO zehirleme teknikleriyle geliştirilmiş yazım hatası yapan alanlar yaratıyor.
Oldukça çok yönlü bir arka kapı olan CleanUpLoader, genellikle meşru bir yazılım parçası için sahte bir yükleyici olarak sunulur; Google Chrome ve Microsoft Teams bu bağlamda oldukça tercih edilmektedir çünkü bunlar o kadar yaygın olarak kullanılmaktadır ki, muhtemelen daha fazla kişi bunlara tıklayacaktır.
CleanUpLoader, hedef sistemde çalışmaya başladıktan sonra kalıcılığı kolaylaştırmaya hizmet eder; konfigürasyonunda yer alan birden fazla komuta ve kontrol (C2) alanıyla, birinin çevrimdışı olması veya güvenliğinin ihlal edilmesi durumunda hızlı bir şekilde diğerine yük devredebilir ve hedeflerinin alan adlarından sızmak için Rhysida’ya zaman kazandırır. veri.
Ekip aynı zamanda muhtemelen CleanUpLoader’ın C2 operasyonunu yürütmek için kullanılan bir yönetici panelinden oluşan daha üst düzey bir yönetim altyapısını da işletiyor. Rhysida’nın çalışanları, sanki çevrimiçi bir çalışma aracına giriş yapan normal bir çalışan gibi, uç noktalarından bu panele giriş yapıyor. Bu panel genellikle belirli bir alana bağlanmıştır; Insikt Grubu bunlardan birkaçının çeşitli zamanlarda kullanıldığını tespit etmiştir.
Yönetim katmanı ayrıca yönetici paneline bağlanan açık kaynaklı bir Zabbix sunucusunu da içerir. Bu muhtemelen altyapı izleme için kullanılıyor ve varsayılan dili şaşırtıcı olmayan ama dikkat çekici bir şekilde Rusça olarak ayarlanmış.
Kalma süreleri
Tüm bu faaliyetler, Rhysida’nın hedef ortamına ilk erişim sağlaması ile fidye yazılımını çalıştırması arasındaki dönemde gerçekleşir. Böylece Insikt Grubu, C2 altyapısından akan trafiği izlemek ve toplamak için bu çeşitli görevleri yürütmek için gereken bekleme süresinden yararlanarak çetenin önüne çıkmayı başardı.
Insikt Group ekibi, “Rhysida’nın Temmuz 2024’te şantaj sitesinde listelediği 11 kurbandan yedisi (%60’ın üzerinde) CleanUpLoader C2 sunucularına işaret ederek erken enfeksiyon belirtileri gösterdi” diye yazdı.
“Bu kurban kuruluşların CleanUpLoader C2 sunucularına ilk işaret vermeleri ile gasp sitesinde göründükleri gün arasında ortalama 30 günden fazla zaman geçti.”
Ekip aynı zamanda geniş bir yelpazedeki diğer kuruluşlardan CleanUpLoader C2 altyapısına giden ve buradan gelen trafiği de tespit edebildiklerini ve bu kuruluşların kısa süre içinde Rhysida’nın gasp sitesinde görünebileceğine dair oldukça iyi bilgilendirilmiş bir değerlendirme yapmalarına olanak sağladığını söyledi.
“Bu erken tespit yöntemi, altyapısının tespit edilebilmesi ve daha sonra Kaydedilmiş Gelecekteki Ağ İstihbaratı ile birleştirilebilmesi koşuluyla, teorik olarak herhangi bir fidye yazılımı grubuna ve kurbanlarına uygulanabilir. Bunu başarmak iki temel faktöre bağlıdır: zamanlılık ve tespit edilen kötü amaçlı altyapının genişliği” dedi ekip.
“Fidye yazılımı grupları sıklıkla ticari olarak satılan ve özel araçların bir karışımını kullandığından ve bunları sürekli olarak değiştirip geliştirdiğinden, tehdit ortamını izleyerek ve etkili tespitler geliştirip sürdürerek bu araçların çeşitliliğini hızlı bir şekilde belirlemek çok önemlidir.
“Ayrıca, zamanlılık çok önemlidir ve daha yüksek seviyeli altyapılara ilişkin içgörülerimiz, geleneksel avlanma yöntemlerini tamamlayacak şekilde yeni ortaya çıkan altyapıyı hızlı bir şekilde tespit etmemize ve tanımlamamıza olanak sağladığından hayati öneme sahiptir.”