Yeni bir fidye yazılımı grubu olan Rhysida, ilk kurbanını Mayıs 2023’te vurdu. RaaS (Hizmet Olarak Fidye Yazılımı) olarak sunulan ve web sitelerinde en az 50 küresel kurbanın listelendiği fidye yazılımlarını kullanıyorlar.
Mayıs 2023’te Şili Ordusu ile bağlantılı sistemlere fidye yazılımı yerleştirildiği iddiasıyla manşetlere çıktılar.
Son zamanlarda Fortinet’teki siber güvenlik araştırmacıları, Rhysida fidye yazılımının Windows makinelerine VPN cihazları ve RDP aracılığıyla saldırdığını tespit etti.
Windows Makinesine Saldıran Fidye Yazılımı
Rhysida, eğitim ve üretime odaklanarak çeşitli endüstrileri hedefliyor. Ancak benzer ağ kurulumlarına ve sınırlı güvenliğe sahip okullar sıklıkla mağdur oluyor.
Okullardaki tutarlı güvenlik duruşu, izinsiz giriş taktiklerini daha etkili hale getirir. Coğrafi olarak mağdurlar büyük bölgelere yayılıyor ve aşağıdaki ülkeler listenin başında yer alıyor:
- Amerika
- Fransa
- Almanya
- İngiltere
- İtalya
Saldırılar yaygınlaşırken Avrupa’da özellikle ilk beş ülkede dikkat çekici bir yoğunlaşma gözleniyor.
FortiGuard MDR ekibi bir ‘Hassas Bilgi Erişimi’ olayı işaretleyerek lsass.exe belleğini (T1003.001) boşaltma girişimini ortaya çıkardı. Saldırgan, Taskmgr.exe dosyasını kullandı ancak FortiEDR bu girişimi engelledi.
FortiEDR, IP 10.xx10’dan uzak bir bağlantıya bağlı ‘svchost.exe’nin muhtemelen bir Uzak Kayıt Defteri hizmetini barındırdığını tespit etti. SAM veritabanına erişme girişimi engellendi.
Üçüncü bir olay, FortiEDR tarafından engellenen meşru ‘ProcDump’ aracının LSASS belleğini boşaltmaya çalışmasını içeriyordu. IP cihazında FortiEDR olmamasına rağmen göstergeler, uzak kayıt defteri (T1003.002) yoluyla bir SAM boşaltma girişimine işaret ediyor.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Olayın tespit edilmesinin ardından MDR ekibi izlemeye devam ederken FortiGuard IR ekibi tamamen araştırıldı. IR ekibi, SonicWall VPN aralığındaki meşru bir yönetici hesabını kullanarak 10.xx231’den HOST_A’ya bir RDP bağlantısı buldu.
Uzmanlar, herhangi bir kaba kuvvet veya bilinen bir güvenlik açığı kanıtı bulamadı; bu da, güvenliği ihlal edilmiş kimlik bilgileriyle önceden erişim sağlandığını gösteriyor.
HOST_A’ya yönelik güvenliği ihlal edilen ilk RDP oturumu, tehdit aktörünün Active Directory’ye eriştiği Temmuz 2023’ün başlarında (1. Gün) gerçekleşti.
3. Günde, bir RDP oturumunun ardından tehdit aktörü, Active Directory veritabanını HOST_A sunucusuna kopyaladı. Ardından, ağı dahili olarak taramak için Gelişmiş Bağlantı Noktası Tarayıcısını indirip çalıştırdılar ve taranan IP aralığına sahip bir kayıt defteri girişi oluşturdular.
Aşağıda IP’lerden bahsettik: –
- 207.38.72.0/24
- 10.10.0.0/16
- 10.30.0.0/16
- 10.143.0.0/16
- 192.168.0.0/16
FortiEDR engellemesinden habersiz olan tehdit aktörü, kimlik bilgilerine erişim için çeşitli araç ve teknikleri denedi. Dökümleri kopyalamak yerine uç noktada hash analizi kullanmaları tespit şansı verdi.
Başarısız denemelerden sonra, HOST_FILESERVER1’e başka bir RDP oturumu oluşturdular ve dahili keşfi bağlantı noktası taramasıyla sürdürdüler.
PowerShell komut dosyalarını PowerShell ISE aracılığıyla yürütme girişimleri engellendi, ancak aktör HOST_DC2, HOST_DC4, HOST_E ve HOST_FILESERVER1 üzerinde farklı bir yaklaşım için PsExec.exe’ye geçti.
Altı saat sonra tehdit aktörü, HOST_DC4’te kimlik doğrulaması yapmak için RDP’yi kullandı ve veri çıkarmak için ‘DataGrabberI.exe’ dosyasını oluşturdu; bundan sonra dosya aktarımı için AnyDesk ve WinSCP HOST_F’ye indirildi ve çalıştırıldı. PuTTY, Linux fidye yazılımı ’67’yi dağıtmak için ESXi sunucularına bağlandı.
Tehdit aktörü daha sonra HOST_FILESERVER1 üzerinde Rhysida fidye yazılımının bir Windows versiyonunu (‘fury.exe’) konuşlandırarak birden fazla sistemdeki kullanıcı dosyalarını şifreledi ve Rhysida fidye notlarını görüntüledi.
IOC’ler
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.