Bu yılın başlarında Oakland Şehri’ni hedef alan ve hızla yükselen Play fidye yazılımı grubu, fidye yazılımlarını alt müşterilerine dağıtmak için bir siber saldırı kampanyasıyla dünya çapında yönetilen hizmet sağlayıcıları (MSP’ler) vuruyor.
Kampanyanın sıkıntılı yönlerinden biri, tehdit aktörünün tespit edilmekten kaçınmak için dosyanın yalnızca bazı bölümlerinin şifrelendiği aralıklı şifrelemeyi kullanmasıdır.
Geniş Kurban Yelpazesi
Adlumin’in bu hafta yayınladığı bir raporda, Play’in hedeflerinin ABD, Avustralya, İngiltere, İtalya ve diğer ülkelerdeki finans, hukuk, yazılım, nakliye, yasa uygulama ve lojistik sektörlerindeki orta ölçekli işletmeler olduğu görülüyor. Kampanyayı PlayCrypt olarak izleyen Adlumin’deki araştırmacılar, saldırganın bu ülkelerdeki eyalet, yerel ve aşiret varlıklarını da hedef aldığını söylüyor.
MSP’leri içeren diğer saldırılarda olduğu gibi, Play veya PlayCrypt grubu MSP sistemlerine girer ve MSP müşterilerinin ağlarına ve sistemlerine sınırsız erişim elde etmek için uzaktan izleme ve yönetim (RMM) araçlarını kullanır. Bu, diğer tehdit aktörlerinin kullandığı ve önemli etkiye sahip bir taktiktir. En dikkate değer örnek, REvil fidye yazılımı grubunun Kaseya’nın Sanal Sistem Yöneticisi (VSA) ağ izleme aracındaki güvenlik açıkları aracılığıyla birden çok MSP’ye saldırısıdır. Saldırı, bu MSP’lerin 1.000’den fazla müşterisinin sistemlerindeki verilerin şifrelenmesiyle sonuçlandı.
Adlumin’de tehdit araştırma direktörü Kevin O’Connor, şirketinin araştırmasının, tehdit aktörlerinin MSP’lerdeki çalışanları hedef alan bir kimlik avı kampanyası aracılığıyla ayrıcalıklı yönetim sistemlerine ve RMM araçlarına erişim elde ettiğini gösterdiğini söylüyor. “[This] doğrudan istismar veya kimlik bilgilerinin toplanması ve yeniden kullanılması yoluyla sistemlerinin ve erişiminin tehlikeye girmesine yol açar” diyor.
Birçok İstismar, Microsoft Exchange Üzerinden Dahil Olmak Üzere
Adlumin’in bu hafta yayınladığı bir raporda, Play aktörlerinin kurbanın MSP’si aracılığıyla bir müşteri ortamına eriştikten sonra hızla ek istismarlar devreye soktuklarını ve etki alanlarını genişlettiklerini söyledi. Bazı durumlarda, Microsoft Exchange Server’daki güvenlik açıklarından yararlanmışlardır. Örnekler şunları içerir: CVE-2022-41040saldırganların Microsoft tarafından düzeltilmeden önce istismar ettiği bir ayrıcalık yükseltme hatası ve CVE-2022-41082, aynı zamanda ifşa anında sıfır gün olan bir uzaktan kod yürütme hatası. Adlumin araştırmacıları, Play oyuncularının Fortinet cihazlarındaki görece daha eski güvenlik açıklarından yararlandığını da gözlemledi. CVE-2018-13379, FortiOS’ta beş yıllık bir yol geçişi kusuru ve CVE-2020-12812FortiOS’ta bir güvenlik atlama kusuru.
Play’in diğer taviz sonrası araçları arasında 2022’nin ProxyNotShell güvenlik açıklarına yönelik istismarlar, hizmet tarafı istek sahteciliği (SSRF) ve tehdit aktörünün kötü niyetli etkinliği kamufle etmesine olanak tanıyan meşru PowerShell betikleri yer alır. Adlumin, yürütülebilir dosyaları Grup İlkesi Nesneleri, zamanlanmış görevler ve uzaktan işlem yürütme için PsExec yardımcı programı aracılığıyla dağıtan tehdit aktörünü tespit etti.
O’Connor, “Saldırganlar, yanal hareket ve dahili yayılma için ilk uzlaşma sonrası istismarlardan yararlandı” diyor. “İlk uzlaşma, Uzaktan İzleme ve Yönetim (RMM) araçlarına yasa dışı erişim / kullanım yoluyla oldu.”
Aralıklı Şifreleme
Adlumin’e göre Play fidye yazılımı aracının kendisi oldukça karmaşık bir çalışma. Özel ilgiyi hak eden bir özellik, kurban sistemlerde verilere erişilemez hale getirmek için aralıklı şifreleme kullanmasıdır. Aralıklı şifreleme ile, bir hedef dosyadaki yalnızca belirli sabit veri bölümleri şifrelenir. Yaklaşım, daha hızlı şifrelemeye olanak tanır – bu, tehdit aktörlerinin görevlerini daha hızlı gerçekleştirebilecekleri anlamına geldiği için hoşlarına giden bir gerçektir – aynı zamanda verileri kurbanlar için erişilemez hale getirir.
Ancak, aralıklı şifreleme de kusursuz değildir. CyberArk’ın bu şekilde şifrelenen dosyalar üzerinde yaptığı araştırma, bazen belirli bir şekilde oluşturulmuş dosyalarla veri kurtarmanın mümkün olduğunu ortaya koyuyor. Şirket, Mayıs 2023’te, Play gibi fidye yazılımı gruplarının kurbanlarına şifre çözme anahtarı almak için ödeme yapmak zorunda kalmadan kilitli verileri yeniden oluşturma şansı veren ücretsiz bir araç yayınladı.
Play, aralıklı şifreleme yaklaşımını kullanmaya başlayan küçük bir grup saldırgandan biridir. Adlumin, hileyi benimseyen ilk kişi olduğunu değerlendirdi. Diğerleri BlackCat, DarkBit ve BianLian operatörlerini içerir.
O’Connor, Adlumin’in telemetrisinin Play’in muhtemelen Haziran 2022’de faaliyete geçtiğini gösterdiğini söylüyor. Şirketin Play’in TOR’daki sızıntı sitesini izlemesi, tehdit grubunun şimdiye kadar bir düzineden fazla şirkette en az 150 kurban talep ettiğini gösteriyor.
Grubu takip eden diğer satıcılar, onu hızla ortaya çıkan ancak daha dar bir odak alanına sahip bir tehdit olarak tanımladılar. Son raporlarda, hem Trend Mikro Ve SOCRadar, örneğin Latin Amerika’yı Play’in birincil odak alanı olarak belirledi. O’Connor, “Adlumin, grubun hedeflenmesiyle ilgili mevcut durumun bu olduğunu kesinlikle gözlemlemiyor ve kurbanların çoğunluğu artık ABD veya en azından ABD/Avrupa merkezli görünüyor” dedi.