‘Fog’ adlı yeni bir fidye yazılımı çeşidinin, eğitim ve eğlence sektörlerindeki ABD işletmelerini hedef aldığı tespit edildi.
Adli veriler, tehdit aktörlerinin ele geçirilen VPN kimlik bilgilerini kullanarak kurban ortamlarına eriştiğini ortaya çıkardı. Uzaktan erişim için özellikle iki farklı VPN ağ geçidi sağlayıcısı kullanıldı.
Yönetici hesaplarına yönelik karma geçiş etkinliği de tespit edildi ve bu hesaplar daha sonra Veeam ve Hyper-V çalıştıran Windows sunucularına RDP bağlantıları oluşturmak için kullanıldı.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Sis Fidye Yazılımı Windows Sunucularına Saldırıyor
Arctic Wolf Labs, 2 Mayıs 2024’te Fog fidye yazılımı türünün yayılmasını izlemeye başladı. Kurban kuruluşların tamamı ABD merkezliydi ve bunların %80’i eğitim, %20’si ise eğlence alanında çalışıyordu.
Tehdit aktörleri, güvenliği ihlal edilmiş VPN kimlik bilgilerini ve yönetici hesaplarını kullanarak kurban ortamlarına erişim elde etti ve bunları daha sonra Windows Sunucularına RDP bağlantıları kurmak için kullandılar.
Çevrede daha kolay yanal harekete izin vermesi beklenen kimlik bilgisi doldurma açıktı.
Arctic Wolf Labs, Cyber Security News ile şunları paylaştı: “Her durumda, PsExec birkaç ana bilgisayara dağıtıldı ve hedeflenen ana bilgisayarlara erişmek için RDP/SMB kullanıldı.”
“Tehdit aktörlerinin etkileşimde bulunduğu Windows Sunucularında Windows Defender, tehdit aktörleri tarafından devre dışı bırakıldı.”
Tehdit aktörlerinin Veeam nesne deposundaki yedekleri sildiği ve VM deposundaki VMDK dosyalarını şifrelediği görüldü.
Tehdit aktörleri ele geçirilen sistemlere fidye notları bıraktı ve her zaman aynı işlevsel fidye yazılımı yükünü kullandılar. Benzersiz bir sohbet kodunun yanı sıra fidye mesajları da benzerdi.
Araştırmacılar, tehdit aktörü ile kurban arasındaki iletişim için kullanılan.onion adresi dışında, veri sızdıran bir web sitesi gibi başka bir dark web varlığıyla karşılaşmadıklarını söyledi.
Araştırmacılar, “Şu anda Fog fidye yazılımını dağıtan saldırıları gerçekleştirmekten sorumlu grup veya grupların organizasyon yapısı bilinmiyor” dedi.
İlk ihlal ile şifreleme arasındaki kısa süre göz önüne alındığında, tehdit aktörlerinin, veri sızdırma ve yüksek profilli bir sızıntı sitesi içeren daha karmaşık bir saldırı başlatmak yerine hızlı kâr elde etmeye daha fazla odaklandığı görülüyor.
Kanıtlar, tehdit aktörlerinin büyük ölçüde eğitim sektörüne odaklandığını ve yerleşik mağduriyetle uyumlu mali motivasyonlara sahip olduklarını gösteriyor.
Bu durumlarda kullanılan stratejiler fidye yazılımı faaliyetleri için oldukça standart olsa bile, bu tehditler, saldırıları mümkün olan en kısa sürede engellemek için kapsamlı ve güvenli, tesis dışı yedekleme altyapısına olan ihtiyacın bir hatırlatıcısı olmalıdır.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo