Sis Fidye Yazılımı Grubu Finansal Hizmetler Sektöründeki Çalışanlara Saldırıyor

Daha önce eğitim ve eğlence sektörlerini hedef alan STOP/DJVU ailesine ait bir fidye yazılımı çeşidi olan The Fog, finans sektöründeki karlı hedeflere yöneldi.

Ağustos 2024’ün başlarında, tehdit aktörleri orta ölçekli bir finans kuruluşuna karşı fidye yazılımı saldırısı başlatmak için ele geçirilmiş VPN kimlik bilgilerini kullandı.

Suçlular, Windows ve Linux işletim sistemlerini çalıştıran uç noktalardaki hassas verileri hedeflemek için Fog fidye yazılımını (aynı zamanda “Lost in the Fog” olarak da bilinir) kullandı.

Buna rağmen, ağ içindeki fidye yazılımı etkinliğini tespit etmek için sensör olarak sahte dosyalar kullanan Adlumin’in son teknoloji ürünü saldırıyı önleyebildi.

Fog Ransomware’e Genel Bakış

2021’de Fog fidye yazılımı ilk kez tespit edildi. Çoğunlukla eğitim ve eğlence gibi endüstrileri hedef alıyor ve tehlikeye atılmış VPN kimlik bilgilerindeki güvenlik açıklarından yararlanarak ağ savunmalarını ihlal ediyor.

Fog, bir ağa dahil olduğunda, ayrıcalıkları yönetimsel düzeye taşımak için karma geçiş saldırıları gibi karmaşık yöntemler kullanarak etkisini büyük ölçüde artırır.

Ayrıca, Fog ağ güvenliğini kırmayı amaçlayan birkaç adım atmaya devam eder. Bunlar güvenlik özelliklerini kapatmak, önemli dosyaları, özellikle Sanal Makine Disklerini (VMDK’ler) şifrelemek ve yedekleme verilerini silmekten oluşur ve kurbanlara fidye ödemeyi düşünmek dışında pek fazla seçenek bırakmaz.

Genellikle “.FOG” veya “.FLOCKED” gibi uzantılarla tanımlanan şifrelenmiş dosyalar, kurbanları bir Tor ağı pazarlık platformuna yönlendiren bir fidye mesajıyla birlikte geliyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

Saldırganlar, ağ keşif sürecini başlatmak için farklı hedeflere gönderilen bir dizi ping kullandılar. Ağ keşfi yapmak için ‘Advanced_Port_Scanner_2.5.3869(1).exe’ aracını kullanarak, ağdaki, tehlikeye atılmış hizmet hesaplarından yükseltilmiş ayrıcalıklara sahip ana bilgisayarları tarıyorlar.

Adlumin ekibi, saldırının bir Rus IP adresinden geldiğini tespit etti ve saldırının korumasız bir cihaza kadar uzandığını tespit etti.

Saldırganlar, etki alanı güven ilişkisi bilgilerinden yararlanarak, tehlikeye atılmış iki hizmet hesabını kullanarak ağ içinde yatay olarak seyahat edebildiler.

Sonraki aşamada, şifrelenmiş Google Chrome kimlik bilgileri de dahil olmak üzere çok sayıda kullanıcıya ait uç noktalarda saklanan oturum açma bilgileri, Microsoft komut satırı yardımcı programı “esentutl.exe” kullanılarak yedeklendi.

Tehdit aktörü, etkili bir açık kaynaklı komut satırı aracı olan ‘Rclone’ kullanarak enfekte uç noktalardan verileri senkronize ediyor ve aktarıyor.

Fidye yazılımını yaymak için kullanılan aracın “locker.exe” olduğu tespit edildi; bu da verilerin “kilitlenmesinde” veya şifrelenmesinde rol oynadığını gösteriyor.

Fidye mesajı daha sonra her tehlikeye atılmış uç noktada “readme.txt” adlı bir dosyaya gönderildi. Saldırganlar kurbanların yedeklerden dosyalarını geri yüklemesini engellemek için PowerShell ve WMIC komutlarını kullanarak sistem gölge kopyalarını da sildi.

Arctic Wolf ekibi, Haziran ayı başında yayınladığı analizde, tehdit aktörlerinin veri sızdırma ve bilinen bir sızıntı sitesini içeren daha karmaşık bir saldırı gerçekleştirmektense, hızlı bir şekilde ödeme yapmaya odaklanmış gibi göründüğünü belirtti.

Adlumin’in Fidye Yazılımı Önleme özelliği saldırganları otomatik olarak devre dışı bırakır, tehlikeye atılan cihazları izole eder ve veri hırsızlığını durdurur.

Çok faktörlü kimlik doğrulama (MFA), sık VPN yazılım güncellemeleri, VPN erişiminin izlenmesi, etkilenen uç noktaların izole edilmesi, kapsamlı bir güvenlik platformunun kullanılması, kritik bilgilerin yedeklenmesi, en az ayrıcalık ilkesinin uygulanması ve olay yanıt planları oluşturulması önerilir.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar