Yakın zamanda gözlemlenen Qilin fidye yazılımı saldırısının ardındaki tehdit aktörleri, küçük bir grup tehlikeye atılmış uç noktadaki Google Chrome tarayıcılarında depolanan kimlik bilgilerini çaldı.
Siber güvenlik firması Sophos, perşembe günü yayınladığı raporda, fidye yazılımı enfeksiyonuyla bağlantılı olarak kimlik bilgisi toplamanın kullanılmasının alışılmadık bir gelişme olduğunu ve bunun zincirleme sonuçlara yol açabileceğini söyledi.
Temmuz 2024’te tespit edilen saldırı, çok faktörlü kimlik doğrulaması (MFA) bulunmayan bir VPN portalına ait ele geçirilmiş kimlik bilgileri aracılığıyla hedef ağa sızmayı içeriyordu ve tehdit aktörleri ilk erişimin gerçekleşmesinden 18 gün sonra istismar sonrası eylemler gerçekleştirdi.
Araştırmacılar Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia ve Robert Weiland, “Saldırgan söz konusu etki alanı denetleyicisine ulaştığında, varsayılan etki alanı ilkesini düzenleyerek iki öğe içeren oturum açma tabanlı bir Grup İlkesi Nesnesi (GPO) tanıttı” dedi.
Bunlardan ilki, Chrome tarayıcısında depolanan kimlik bilgisi verilerini toplamak için tasarlanmış “IPScanner.ps1” adlı bir PowerShell betiğidir. İkinci öğe, ilk betiği yürütmek için komutlarla iletişim kuran bir toplu betiktir (“logon.bat”).
Araştırmacılar, “Saldırgan bu GPO’yu ağda üç günden fazla süre aktif bıraktı” diye ekledi.
“Bu, kullanıcıların cihazlarında oturum açmaları ve bilmeden sistemlerinde kimlik bilgisi toplama betiğini tetiklemeleri için bolca fırsat sağladı. Tekrar ediyorum, tüm bunlar bir oturum açma GPO’su kullanılarak yapıldığından, her kullanıcı oturum açtığında bu kimlik bilgisi toplamayı deneyimleyecekti.”
Saldırganlar daha sonra çalınan kimlik bilgilerini sızdırdılar ve dosyaları şifreleyip sistemdeki her dizine fidye notu bırakmadan önce etkinliğe dair kanıtları silmek için adımlar attılar.
Chrome tarayıcısında saklanan kimlik bilgilerinin çalınması, etkilenen kullanıcıların artık her üçüncü taraf sitesi için kullanıcı adı-şifre kombinasyonlarını değiştirmelerini zorunlu kılıyor.
Araştırmacılar, “Tahmin edilebileceği gibi, fidye yazılımı grupları taktiklerini değiştirmeye ve teknik repertuarlarını genişletmeye devam ediyor” dedi.
“Eğer onlar veya diğer saldırganlar, uç noktada depolanan kimlik bilgilerini de araştırmaya karar verirlerse – ki bu, sonraki bir hedefe ulaşmada bir adım atılmasını sağlayabilir veya diğer yollarla istismar edilebilecek yüksek değerli hedefler hakkında bilgi hazineleri sağlayabilir – siber suçun devam eden hikayesinde karanlık yeni bir sayfa açılabilir.”
Fidye Yazılımlarında Sürekli Gelişen Trendler
Bu gelişme, Mad Liberator ve Mimic gibi fidye yazılımı gruplarının, istenmeyen AnyDesk isteklerini veri sızdırmak için kullandıkları ve ilk erişim için internete açık Microsoft SQL sunucularını kullandıkları gözlemlenmesinin ardından geldi.
Mad Liberator saldırıları, tehdit aktörlerinin erişimi kötüye kullanarak “Microsoft Windows Update” adlı bir ikili dosyayı aktarıp başlatmasıyla daha da belirginleşiyor. Bu dosya, kurbana yazılım güncellemelerinin yüklendiği izlenimini vermek için sahte bir Windows Update açılış ekranı gösteriyor ve veriler yağmalanıyor.
Meşru uzak masaüstü araçlarının kötüye kullanımı, özel yapım kötü amaçlı yazılımların aksine, saldırganlara kötü amaçlı faaliyetlerini açıkça kamufle etmek için mükemmel bir kılık sunar ve böylece normal ağ trafiğine karışarak tespit edilmekten kurtulmalarına olanak tanır.
Bir dizi kolluk kuvveti eylemine rağmen fidye yazılımı siber suçlular için karlı bir girişim olmaya devam ediyor ve 2024’ün şimdiye kadarki en yüksek hasılatlı yıl olması bekleniyor. Yıl ayrıca Dark Angels fidye yazılımı grubuna yaklaşık 75 milyon dolar ile şimdiye kadar kaydedilen en büyük fidye yazılımı ödemesine tanık oldu.
Blockchain analitik firması Chainalysis, “En ciddi fidye yazılımı türlerine yönelik ortalama fidye ödemesi, 2023’ün başlarında 200.000 doların hemen altından, 2024’ün Haziran ortasında 1,5 milyon dolara fırladı. Bu, bu türlerin derin cepleri ve sistemsel önemleri nedeniyle yüksek fidye ödeme olasılığı daha yüksek olabilecek daha büyük işletmeleri ve kritik altyapı sağlayıcılarını hedeflemeye öncelik verdiğini gösteriyor” dedi.
Fidye yazılımı mağdurlarının yılın ilk yarısında siber suçlulara 459,8 milyon dolar ödediği tahmin ediliyor, bu rakam bir önceki yıla göre 449,1 milyon dolardan fazla. Ancak, zincir üzerinde ölçülen toplam fidye yazılımı ödeme olayları yıllık bazda %27,29 oranında azaldı ve bu da ödeme oranlarında bir düşüş olduğunu gösteriyor.
Dahası, Rusça konuşan tehdit grupları, bir önceki yıl boyunca fidye yazılımlarıyla bağlantılı tüm kripto para gelirlerinin en az %69’unu oluşturarak 500 milyon doları aştı.
NCC Group tarafından paylaşılan verilere göre, Temmuz 2024’te gözlemlenen fidye yazılımı saldırılarının sayısı ay bazında 331’den 395’e yükseldi, ancak geçen yıl kaydedilen 502’den düştü. En aktif fidye yazılımı aileleri RansomHub, LockBit ve Akira’ydı. En sık hedef alınan sektörler arasında endüstriyel, tüketici döngüselleri ve oteller ve eğlence yer alıyor.
Endüstriyel kuruluşlar, faaliyetlerinin kritik öneme sahip olması ve kesintilerin yüksek etkisi nedeniyle fidye yazılımı grupları için kazançlı bir hedeftir; bu da kurbanların saldırganlar tarafından talep edilen fidye miktarını ödeme olasılığını artırır.
Sophos’un küresel saha teknoloji sorumlusu Chester Wisniewski, “Suçlular en fazla acı ve kesintiye yol açabilecekleri yerlere odaklanıyor, böylece halk hızlı çözümler talep ediyor ve hizmetlerin daha hızlı bir şekilde geri yüklenmesi için fidye ödemelerini umuyorlar” dedi.
“Bu, kamu hizmetlerini fidye yazılımı saldırıları için birincil hedef haline getirir. Sağladıkları temel işlevler nedeniyle, modern toplum bunların hızlı ve minimum kesintiyle kurtarılmasını talep eder.”
Dragos’a göre sektörü hedef alan fidye yazılımı saldırıları 2024’ün 2. çeyreğinde 169’dan 312 olaya çıkarak 1. çeyreğe kıyasla neredeyse iki katına çıktı. Saldırıların çoğunluğu Kuzey Amerika’yı (187) hedef aldı, ardından Avrupa (82), Asya (29) ve Güney Amerika (6) geldi.
NCC Group, “Fidye yazılımı aktörleri, kesintiyi en üst düzeye çıkarmak ve kuruluşları ödeme yapmaya zorlamak için saldırılarını bazı bölgelerdeki yoğun tatil dönemleriyle stratejik olarak zamanlıyor” dedi.
Malwarebytes, 2024 Fidye Yazılımı Durumu raporunda, geçtiğimiz yıl içinde fidye yazılımı taktiklerinde görülen üç eğilimi vurguladı; bunlar arasında hafta sonları ve sabahın erken saatlerinde, gece 1 ile 5 arasında saldırılarda artış ve şifrelemeye ilk erişimden itibaren geçen sürede azalma yer alıyor.
WithSecure, dikkat çeken bir diğer değişimin de uç hizmet istismarının ve küçük ve orta ölçekli işletmelerin hedef alınmasının artması olduğunu belirterek, LockBit ve ALPHV’nin (diğer adıyla BlackCat) kaldırılmasının siber suçlular topluluğunda güvenin aşınmasına yol açtığını ve iştiraklerin büyük markalardan uzaklaşmasına neden olduğunu söyledi.
Coveware, şirketin 2024’ün 2. çeyreğinde ele aldığı olayların %10’undan fazlasının bağımsız olduğunu, yani bunların “belirli bir markadan bağımsız olarak kasıtlı olarak faaliyet gösteren saldırganlara ve genellikle ‘yalnız kurtlar’ olarak adlandırdığımız kişilere atfedildiğini” söyledi.
Europol geçen ay yayınladığı bir değerlendirmede, “Siber suç forumları ve pazar yerlerinin sürekli olarak kapatılması, site yöneticilerinin kolluk kuvvetlerinin dikkatini çekmekten kaçınmaya çalışması nedeniyle suç sitelerinin yaşam döngüsünü kısalttı” ifadelerini kullandı.
“Bu belirsizlik, çıkış dolandırıcılıklarındaki artışla birleşince, suç pazarlarının parçalanmaya devam etmesine katkıda bulundu. Son LE operasyonları ve fidye yazılımı kaynak kodlarının sızdırılması (örneğin, Conti, LockBit ve HelloKitty) etkin fidye yazılımı gruplarının ve mevcut varyantlarının parçalanmasına yol açtı.”