A fidye yazılımı grubu Geçtiğimiz Nisan ayında ortaya çıkan saldırı, coğrafyaları ayaklar altına alırken yüksek etkili taktiklerle saldırı kapsamını genişleterek ve bir yıldan kısa bir faaliyet süresinde çok çeşitli küresel hedefleri vurarak adından hızla söz ettiriyor.
Daha önce RA Group olarak bilinen RA World fidye yazılımı grubunun yakın zamanda Latin Amerika’daki çeşitli sağlık kuruluşlarını hedef aldığı görüldü. çok aşamalı bir siber saldırı Trend Micro’dan araştırmacılar bir blog yazısında hedeflenen ortamın grup politikası ayarlarını manipüle eden bu virüsün ortaya çıktığını ortaya çıkardı. Araştırmacılar, saldırının maksimum miktarda hasara yol açarken aynı zamanda tespit edilmekten kaçmayı amaçladığını ve bu durumun grubun karmaşıklığının hızlı bir şekilde arttığını gösterdiğini söyledi.
Trend Micro’ya göre RA World, 22 Nisan’da ABD ve Güney Kore’deki imalat, varlık yönetimi, sigorta ve ilaç endüstrilerindeki kuruluşlara yönelik ilk saldırılarla faaliyetlerine başladı ve o zamandan beri Almanya, Hindistan ve Tayvan’daki saldırılarla genişledi.
Latin Amerika’ya yeni odaklanmaya rağmen ABD, herhangi bir ülkedeki en büyük saldırı yüzdesiyle hedef listesinin başında yer almayı sürdürüyor.
RA World’ün çok aşamalı saldırısının ayrıntılarıyla ilgili paylaşımında perdeyi aralayan Trend Micro’ya göre RA World, fidye notunda önceki kurbanların ayrıntılarını kullanarak mağdurlara fidye taleplerini karşılama konusunda ekstra bir teşvik vererek çifte şantaj taktikleri kullanmaya devam ediyor .
RA Grubu Gelişen Bir Babuk Tehdididir
RA Group başlangıçta fidye yazılımı kullanan başka bir aktör olarak ortaya çıktı. Babuk fidye yazılımının kaynak kodu – 2021’de sızdırıldı – saldırılarının temeli olarak öne çıkıyor ve oldukça özelleştirilmiş bir yaklaşım kullanarak kendisini diğer aktörlerden ayırıyor.
Grup hâlâ Babuk’u kullanarak Trend Micro’ya göre, nihai yük olarak bu, süreçte diğer saldırı becerilerini geliştirirken hızlı hareket etme yeteneği açısından ona avantaj sağlıyor.
“Bu tür kaynak kodu sızıntıları, giriş çıtasını düşürüyor fidye yazılımı operatörleriTrend Micro tehdit araştırmacıları Nathaniel Morales, Katherine Casona, Ieriz Nicolle Gonzalez, Ivan Nicole Chavez, Maristel Policarpio ve Jacob Santos şunları yazdı: “Bu, gerekli teknik beceri ve bilgiye sahip olmayan siber suçluların, kötü amaçlı operasyonlara katılmak üzere kendi fidye yazılımı ailelerini oluşturmalarına olanak tanıyor.” posta.
Araştırmacıların gözlemlediği çok aşamalı saldırılarda, RA World başlangıçta güvenliği ihlal edilmiş etki alanı denetleyicileri aracılığıyla giriş elde ediyor ve PowerShell komut dosyasının yürütülmesine izin vermek için Grup İlkesi Nesnesi (GPO) ayarlarını değiştirmeye devam ediyor.
Araştırmacılar, vektörün aynı zamanda saldırganların yükü ele geçirilen makinede bir kez depolamasına, ardından bunu diğer yerel makinelerde yürütmek için Grup İlkelerini kullanmasına olanak tanıdığını ve bunun “hedef ağdaki sistemleri tehlikeye atmayı amaçlayan çok aşamalı bir saldırı yaklaşımını işaret ettiğini” yazdı. Benzer GPO manipülasyonu daha önce de görüldü Ukrayna hedeflerine yönelik silici saldırıda Rusya bağlantılı APT Sandworm tarafından.
Saldırganlar, Babuk fidye yazılımı yükünü çalıştırdıktan sonra, şantaj taktiklerinin bir parçası olarak fidye ücretini ödeyemeyen son kurbanların listesini içeren bir fidye notu da bırakıyor.
Saldırganlar, saldırı tamamlandıktan sonra kötü amaçlı yazılımın kalıntılarını da siler. Araştırmacılar, başka bir kaçınma taktiği olarak RA World operatörlerinin, Trend Micro savunma klasörünü silmeye çalışan bir komut dosyası olan SD.bat’ı kullandığını belirtti.
“Trend Micro klasörünün silinmesinden sonra fidye yazılımı, Windows’taki varsayılan önyükleme yapılandırmasından oluşturulan ‘Ağ İletişimi ile Güvenli Mod’ seçeneğini kaldıracak” diye yazdılar. “Sonunda bilgisayarı zorla yeniden başlatacak.”
Fidye Yazılımlarına Karşı Nasıl Korunulur?
Verilen fidye yazılımı aktörleri Trend Micro’ya göre, RA World’ün benzeri görülmemiş bir çeviklikle çalışmaya devam etmesi gibi, kuruluşların da uç noktalar, e-postalar, Web arayüzleri ve ağlar da dahil olmak üzere sistemlerindeki güvenlik potansiyeli erişim noktalarını güçlendirmek için çok katmanlı bir güvenlik yaklaşımı kullanması gerekiyor.
Araştırmacıların tavsiye ettiği spesifik en iyi uygulamalar Fidye yazılımı saldırılarının kurbanı olma olasılığını en aza indirin çalışanlara yalnızca gerektiğinde yönetim hakları ve erişim verilmesini ve periyodik taramalar yapılırken güvenlik ürünlerinin düzenli olarak güncellenmesini içerir.
Araştırmacılar, kuruluşların ayrıca bir olay durumunda potansiyel kaybı önlemek için temel verileri rutin yedeklemeler kullanarak korumaları gerektiğini ve ayrıca çalışanlara e-postalar ve web siteleri ile etkileşimde bulunurken, ekleri indirirken, URL’lere tıklarken veya bilinmeyen programları çalıştırırken dikkatli davranmalarını tavsiye etmesi gerektiğini belirtti. .
Trend Micro ayrıca kuruluşların çalışanlarına tipik sosyal mühendislik taktikleri konusunda eğitim vermelerini ve onları potansiyel şüpheli e-postaları ve dosyaları güvenlik ekiplerine bildirmeye teşvik etmelerini tavsiye ediyor.