Lynx fidye yazılımı, veri sızdırma ve altyapı tahribatına öncelik veren gelişmiş saldırı stratejilerini ortaya koyan son zamanlardaki izinsiz girişlerle kurumsal ortamlar için önemli bir tehdit olarak ortaya çıktı.
Kötü amaçlı yazılım kampanyası, hedef ağlar üzerinde maksimum etkiyi sağlamak için ele geçirilen kimlik bilgilerini dikkatli planlamayla birleştirir.
Saldırganlar tekniklerini geliştirdikçe ve hedefleme kapsamlarını çeşitli sektörlere genişlettikçe, güvenlik araştırmacıları bu gelişen tehdidi izlemeye devam ediyor.
Saldırı zinciri, tehdit aktörlerinin, muhtemelen bilgi hırsızı kötü amaçlı yazılımlardan, veri ihlallerinden veya ilk erişim aracılarından kaynaklanan, güvenliği ihlal edilmiş Uzak Masaüstü Protokolü kimlik bilgileri aracılığıyla ilk erişimi elde ettiği metodik bir yaklaşımı ortaya koyuyor.
Bu kampanyayı diğerlerinden ayıran şey, fidye yazılımı dağıtımından önceki uzun hazırlık aşamasıdır. Saldırganlar, sistemleri hemen şifrelemek için acele etmek yerine keşif yapmak, ağ altyapısının haritasını çıkarmak ve kalıcı arka kapılar oluşturmak için günler harcıyor.
Bu hesaplanmış yaklaşım, yüksek değerli hedefleri belirleyerek ve algılama alarmlarını tetiklemeden önce kaçış yollarını güvence altına alarak başarı şanslarını önemli ölçüde artırır.
DFIR Raporu güvenlik analistleri, izinsiz girişin Mart 2025’in başlarında, bilinmeyen bir tehdit aktörünün geçerli kimlik bilgilerini kullanarak internete yönelik bir RDP uç noktasına başarılı bir şekilde giriş yapmasıyla başladığını belirledi.
Bu erişimden önce kimlik bilgisi doldurma veya kaba kuvvet girişimlerine dair hiçbir kanıtın olmaması, saldırganların en başından beri meşru hesap kimlik bilgilerine sahip olduğunu gösteriyor.
İlk erişimden birkaç dakika sonra tehdit aktörü, komut istemi yardımcı programlarını kullanarak sistem keşfi yapmaya başladı ve daha geniş ağ numaralandırması için SoftPerfect Ağ Tarayıcısını kurdu.
Tehdit aktörünün güvenliği ihlal edilmiş ayrı bir yönetici hesabı kullanarak yalnızca on dakika içinde etki alanı denetleyicisine yanlamasına geçmesiyle saldırı hızla gelişti.
.webp)
Saldırgan, etki alanı denetleyicisine konumlandıktan sonra administrtratr gibi meşru kullanıcıları taklit etmek üzere tasarlanmış birden fazla sahte hesap oluşturdu ve bunları Etki Alanı Yöneticileri de dahil olmak üzere ayrıcalıklı gruplara ekledi.
Saldırganlar ayrıca kalıcılık sağlamak için AnyDesk uzaktan erişim yazılımını da yüklediler ve orijinal kimlik bilgileri keşfedilse bile erişimin devam etmesini sağladılar.
Yedekleme İmhasını Bir Saldırı Vektörü Olarak Anlamak
Bu Lynx fidye yazılımı kampanyasının özellikle endişe verici bir yönü, kötü amaçlı yazılımı dağıtmadan önce yedekleme altyapısının kasıtlı olarak yok edilmesidir. Tehdit aktörü, altı günlük hareketsizliğin ardından geri döndü ve NetExec kullanarak şifre sprey saldırıları gerçekleştirerek faaliyetlerine devam etti.
Ağ paylaşımlarından sistematik olarak hassas veriler topladılar ve bu dosyaları 7-Zip kullanarak sıkıştırdılar, ardından arşivleri geçici bir dosya paylaşım hizmeti olan temp.sh aracılığıyla dışarı çıkardılar.
Bu veri toplama aşaması, fidye ödenmediği takdirde saldırganların mağdurları veri yayınlamakla tehdit etmelerine olanak tanıyan çifte şantaj hazırlama yöntemi olarak hizmet etti.
Kritik son aşama, doğrudan yedekleme sunucularına bağlanmayı ve yedekleme işlerinin sistematik olarak silinmesini içeriyordu. Saldırganlar, Lynx fidye yazılımını dağıtmadan önce yedek kurtarma noktalarını kaldırarak, kurbanların şifrelenmiş dosyaları alternatif yollarla geri yükleme yeteneğini ortadan kaldırdı.
.webp)
Bu strateji, fidye yazılımını daha etkili bir gasp aracına dönüştürür çünkü kuruluşlar yedeklemelerden kolayca geri yükleme yapamazlar.
İlk güvenlik ihlalinden fidye yazılımı dağıtımına kadar geçen toplam süre, dokuz gün boyunca yaklaşık 178 saate ulaştı; bu, saldırganların saldırılarını dikkatli bir şekilde gerçekleştirmelerine ve Lynx nihayet birden fazla yedekleme ve dosya sunucusundaki kritik sistemleri şifrelediğinde organizasyonel kesintiyi en üst düzeye çıkarmalarına olanak tanıdı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
