Fog adlı yeni bir fidye yazılımı çeşidi, Amerika Birleşik Devletleri’ndeki eğitim ve eğlence kuruluşları için önemli bir tehdit olarak ortaya çıktı.
Mayıs 2024’ün başlarından itibaren Arctic Wolf Labs, birden fazla olaya müdahale vakasında dağıtımını izlemeye başladı; etkilenen kuruluşların yüzde 80’i eğitim sektöründe, yüzde 20’si ise eğlence sektöründe faaliyet gösteriyordu.
Fidye yazılımı etkinliği, her biri benzer saldırı düzenleri ve prosedürleri gösteren birkaç durumda gözlemlendi. Kurbanların tamamı Amerika Birleşik Devletleri’nde bulunuyordu, bu da coğrafi odaklı bir kampanyaya işaret ediyordu.
Fog fidye yazılımı, ayrı bir grup yerine bir varyant olarak faaliyet gösteriyor ve yazılım yaratıcıları ile gerçek saldırıları gerçekleştirenler arasındaki önemli ayrımı temsil ediyor.
Bu ayrım önemlidir çünkü fidye yazılımı grupları aslında birden fazla bağımsız bağlı kuruluş ekibinden oluştuğunda genellikle tek bir varlık olarak görünür.
Fog’un arkasındaki organizasyon yapısı şu anda belirsizliğini koruyor, ancak kanıtlar tehdit aktörleri arasında koordineli faaliyet olduğunu gösteriyor.
İncelenen vakalarda belgelenen son saldırı faaliyeti 23 Mayıs 2024’te gerçekleşti ve savunma önlemleri için net bir zaman çizelgesi sağladı.
Arctic Wolf analistleri, Mayıs ayı başında bu vakaları araştırmaya başladıklarında, ikinci paragraftan sonra kötü amaçlı yazılımı tespit ettiler.
Araştırma ekibi, araştırılan her vakada, adli delillerin, tehdit aktörlerinin iki ayrı VPN ağ geçidi sağlayıcısı aracılığıyla güvenliği ihlal edilmiş VPN kimlik bilgilerinden yararlanarak kurban ortamlarına erişim elde ettiğini gösterdiğini belirtti.
Bu erişim yöntemi, kampanyanın birincil giriş noktası haline geldi ve uzaktan erişim güvenliği duruşlarındaki güvenlik açıklarını ortaya çıkardı.
Saldırı Metodolojisi ve Enfeksiyon Mekanizmaları
Tehdit aktörleri ağlara girdikten sonra, yaygın sızma testi taktiklerini fidye yazılımı dağıtımıyla birleştiren çok aşamalı bir yaklaşım uyguladılar.
Karma geçişi etkinliği, daha sonra Hyper-V ve Veeam yedekleme sistemlerini çalıştıran Windows Sunucularına RDP bağlantıları kurmak için kullanılan yönetici hesaplarını hedef aldı. Başka bir durumda, kimlik bilgilerinin doldurulması ortam boyunca yanal hareketi kolaylaştırdı.
PsExec birden fazla ana bilgisayara dağıtılırken, RDP ve SMB protokolleri hedeflenen sistemlere erişim sağladı. Şifreleme başlamadan önce, etkilenen sunucularda Windows Defender devre dışı bırakılarak kritik bir savunma katmanı kaldırıldı.
Fidye yazılımı yükü, aynı kod bloklarını içeren farklı vakalardan alınan örneklerle diğer varyantlarda ortak olan teknikleri sergiliyor. Örnek yürütüldüğünde, etkinlik durumunu günlüğe kaydetmek için %AppData% dizininde DbgLog.sys adlı bir dosya oluşturur.
Başlatma rutini, iş parçacığı ayırma için sistem bilgilerini toplamak üzere NTDLL.DLL’ye ve NtQuerySystemInformation işlevine başvurur.
Komut satırı seçenekleri arasında eşzamanlı yürütme için NOMUTEX, belirli keşif konumları için TARGET ve çıktı ekranı için CONSOLE bulunur.
Bir JSON yapılandırma bloğu, RSA genel anahtarı, dosya uzantıları (genellikle .FOG veya .FLOCKED), fidye notu adları ve hizmet kapatma prosedürleri dahil olmak üzere şifreleme etkinliklerini kontrol eder.
Dosya keşfi, FindFirstVolume ve FindFirstFile gibi standart Windows API’lerini kullanır ve baştan sona Unicode değişkenlerini kullanır.
Şifreleme işlemi, yapılandırılmış uzantılara sahip dosyaları yeniden adlandırmadan ve fidye notları yazmadan önce CryptImportKey ve CryptEncrypt işlevlerini uygulayan, iki ila on altı arasında değişen sistem işlemcilerine göre ölçeklendirilmiş bir iş parçacığı havuzundan yararlanır.
Son olarak vssadmin.exe, birim gölge kopyalarını kaldırmak için delete shadows /all /quiet komutlarını çalıştırarak yedekleme kurtarma seçeneklerini ortadan kaldırır.
| Araç Adı | Tanım |
|---|---|
| PsExec | Tehdit aktörlerinin yanal hareket ve komut yürütme için kullanılan konsol uygulamaları için tam etkileşimli olarak diğer sistemlerde işlemler yürütmesine olanak tanır |
| Metasploit | Keşif sırasında Veeam sunucularında penetrasyon testi çerçevesi tespit edildi |
| SoftPerfect Ağ Tarayıcısı | Hedeflenen ortamlardaki ağ hizmetlerini keşfetmek için kullanılan ağ yönetim aracı |
| Gelişmiş Bağlantı Noktası Tarayıcı | Erişilebilir ağ hizmetlerini tanımlamak için kullanılan ücretsiz ağ ve bağlantı noktası tarama yardımcı programı |
| SharpShares v2.3 | Erişilebilir ağ paylaşımlarını numaralandırmak ve keşfetmek için kullanılan açık kaynaklı araç |
| Veeam-Get-Creds.ps1 | Veeam Backup and Replication Credentials Manager’dan şifreleri çıkarmak için tasarlanmış PowerShell betiği |
Kuruluşlar, VPN altyapısının güvenliğini sağlamaya, çok faktörlü kimlik doğrulamayı uygulamaya, güvenli tesis dışı yedekleme sistemlerini sürdürmeye ve derinlemesine savunma stratejilerini uygulamaya öncelik vermelidir.
Tehdit aktörleri, hızlı şifreleme zaman çizelgeleri ile finansal motivasyon sergilediler ve herhangi bir veri sızıntısı gözlemlenmedi; bu da, kamuya açık sızıntı sitelerini içeren karmaşık gasp planlarından ziyade hızlı ödeme yapma niyetlerini akla getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
