Temmuz 2021’de, Yunanistan’ın en büyük ikinci şehri, görünüşte amatör bir fidye yazılımı grubu tarafından düzenlenen bir siber saldırının kurbanı oldu. PayOrGrief, Selanik’in güvenlik sistemlerini kırdığında sadece birkaç haftadır var olmuş gibi görünüyordu.
Grup, 20 milyon dolarlık yıkıcı bir fidye talebi yayınlamadan önce çok sayıda dosyayı sızdırdı ve şifreledi. İhlalin ne kadar ileri gittiğinden emin olmayan belediyenin güvenlik ekibi, Selanik web sitesinin tüm halka açık hizmetlerini kapatmak ve devasa fidyeyi ödeyip ödememeyi düşünmeden önce ihlalle ilgili tam bir soruşturma başlatmak zorunda kaldı.
Farkı Bulun: PayOrGrief ve DoppelPaymer
PayOrGrief’in kesinti konusunda itibar kazanması uzun sürmedi. Çifte gasp fidye yazılımı taktiklerini kullanması, çok sayıda üretici ve Selanik gibi belediyeler de dahil olmak üzere her türlü sektördeki kuruluşları hedeflemede etkili olduğunu kanıtladı.
PayOrGrief’in operasyonunun yeniliği, özellikle ilk birkaç hafta içinde, tarihsel saldırılara dayalı güvenlik araçlarını yenmesini kolaylaştırdı. Ancak güvenlik uzmanlarının, PayOrGrief’in fidye yazılımı sahnesine katılan son tomurcuklanan gruptan daha fazlası olduğuna dair şüpheleri vardı. Saldırı oyun kitabı, deneyim önerdi.
Daha fazla araştırma, PayOrGrief’in yeni bir grup olmadığını, Mayıs 2021’de faaliyetlerine son veren DoppelPaymer adlı eski bir grubun yeniden markası olduğunu aşağı yukarı doğruladı. Yeni PayOrGrief takma adı ve biraz değiştirilmiş bir dizi taktik, teknik ve prosedürle (TTP’ler) ), grup fidye ödemelerinde 10 milyon doların üzerinde bir başarı elde etti.
PayOrGrief marka değişikliğinin başarısı, bir grubun geçmiş verilere dayalı araçların görünümünden ne kadar kolay gizlenebileceğini gösteriyor. TTP’lerini değiştirmek, PayOrGrief’in güvenlik araçlarını yenmesine izin verdi, ancak bu değişiklikler önemli olmaktan çok uzaktı ve analistler için DoppelPaymer oyun kitabı hala açıktı.
PayOrGrief Bir Saldırıyı Nasıl Yönetir?
Bu oyun kitabı, Temmuz 2021’de PayOrGrief bir Avrupa imalat şirketini hedef aldığında ortaya çıktı. Söz konusu şirket, Darktrace’in dijital iş anlayışını sürekli olarak güncelleyen ve bir tehdide işaret eden anormal davranışlar arayan kendi kendine öğrenen yapay zeka (AI) teknolojisini kullanmıştı. Bu teknoloji, PayOrGrief’in saldırısının yaşam döngüsünü ortaya çıkarmayı başardı.
PayOrGrief, saldırılarına genellikle, Dridex gibi kötü amaçlı yazılım türlerini hedef cihazlara enjekte edebileceği sahte güncellemeler veya kötü amaçlı belgeler içeren kimlik avı e-postalarıyla başlar. Bu durumda, muhtemelen tek bir kimlik avı kampanyasıyla dört cihazın güvenliği ihlal edildi ve birkaç nadir harici IP’ye komut ve kontrol (C2) bağlantıları yapmaya başladı.
Geçersiz bir SSL sertifikasıyla şifrelenen bu bağlantıları, şirketin kurumsal sunucusuna 50 MB’lık bir veri yüklemesi izledi. Bu artan konumla, saldırganlar canlı tutma işaretleri kurdular ve ardından bu çifte gasp fidye yazılımı saldırısının sızma aşamasına başlamaya hazırdılar.
Yalnızca birkaç saat içinde, HTTPS aracılığıyla Mega dosya depolama platformuna 100 GB’ın üzerinde veri aktarıldı. Saldırganlar bundan daha fazlasını hedef almıştı, ancak şirketin otonom savunması önlerine çıktı.
Bu davranışın, işin normal “yaşam modeli” bağlamında oldukça sıra dışı olduğunu fark eden AI, şirketin yapılandırma ayarları tarafından müdahale edilmesi çoğunlukla engellenmediyse, tehdidi en erken aşamalarında durdurabilirdi. AI, izin verilen sınırlı eylemi gerçekleştirdi ve veri hırsızlığının kapsamını sınırladı. Anormal dosya etkinliğini tespit edip engelleyerek, dijital mülkün doğrudan eylemde bulunamadığı kısımlarını izlemeye devam ederken, bazı sızma çabalarını engelledi.
Saldırganlar, dahili keşif için RDP ve SMB’yi kullanarak ve yönetici ayrıcalıklarından ve süreçlerinden yararlanarak dijital ortamda yanlamasına hareket etmeye devam etti. Ardından, güvenliği ihlal edilen ilk cihazların kötü niyetli bağlantılar kurmaya başlamasından yalnızca 10 saat sonra PayOrGrief fidye yazılımını dağıttı.
Şifreleme, 137 cihazda görülen “.pay0rgrief” dosya uzantısına sahip bir SMB yazmasıyla şirkete yayıldı. Bir kez daha, AI siber güvenlik sistemi, belirli cihazları anormal dosya etkinliklerinden koruyabildi ve saldırının kapsamını önemli ölçüde daralttı. C2, yanal hareket, dahili keşif, sızma ve şifreleme dahil olmak üzere saldırının her aşamasında, AI, işin kendisini kesintiye uğratmadan tehdidi durdurmak için belirli bağlantıları engellemek ve cihazların yaşam modellerini zorlamak için eylemler önerdi.
Fidye Yazılımında Bir Sonraki Büyük Adı Durdurmak
PayOrGrief artık yabancı bir isim değil, artık birçok kural tabanlı siber güvenlik çözümünün OSINT’ine yansıyacak bir gerçek. Ancak kuruluşlar, geçmiş saldırılara bakarak ve en son fidye yazılımı türleri ve TTP’leri sürekli olarak yakalayarak bu yaklaşıma devam ederse, her zaman bir sonraki adıma karşı savunmasız kalacaklardır. DoppelPaymer marka değişikliğinin hızı ve etkinliğinin gösterdiği gibi, saldırganın özelliklerine odaklanmak kısa görüşlü bir çözümdür.
Bunun yerine işletmeler, daha önce görülüp görülmediğine bakılmaksızın tehditleri durduran siber güvenlik araçlarını benimsemelidir. Darktrace gibi yapay zekaya dayalı çözümler, işletmenizin normal şekilde nasıl davranması gerektiği konusundaki anlayışlarını sürekli olarak güncelleyerek, ortaya çıkan saldırıları tespit etmek için anormallikleri bir araya getirebilir ve hatta onları durdurmak için özerk eylemlerde bulunabilir. Bu, kendilerine ne ad verirlerse versinler veya nasıl çalışırlarsa çalışsınlar, saldırganların oldukları gibi görüleceği ve durdurulacağı anlamına gelir.