Akira fidye yazılımı aktörleri artık kurbanlardan sadece iki saatten biraz fazla bir sürede veri çalabiliyor. Bu, bir siber suçlunun ilk erişimden bilgi sızdırmaya geçmesi için gereken ortalama sürede önemli bir değişime işaret ediyor.
BlackBerry Threat Research and Intelligence Team’den gelen habere göre, bugün Latin Amerika’daki bir havayoluna Haziran ayında yapılan Akira fidye yazılımı saldırısının dökümünü yayınladı. BlackBerry’nin saldırı anatomisine göre, tehdit aktörü, Güvenli Kabuk (SSH) protokolünü kullanarak, yama uygulanmamış bir Veeam yedekleme sunucusu üzerinden ilk erişimi elde etti ve ertesi gün Akira fidye yazılımını dağıtmadan önce hemen bilgi çalmaya başladı.
Rapora göre muhtemel suçlu, Akira fidye yazılımı hizmeti (RaaS) platformunun üretken bir kullanıcısı ve Akira sızıntı sitesini sürdüren grup olan Storm-1567’dir (diğer adıyla Punk Spider ve Gold Sahara). Çete, çift gasp taktiklerive Mart 2023’te gölgelerden çıktığından beri küresel olarak çok sayıda endüstri dikeyinde 250’den fazla kuruluşa saldırdı. Sitelerini çoğunlukla Windows sistemlerine yerleştiriyor, ancak Linux/VMware ESXi çeşitleri aynı zamanda teknik anlamda da yüksek bir yetenek sergilemiştir.
Bir Fidye Yazılımı Saldırısının Hızla Gelişmesi
LatAm havayolu saldırısında, Storm-1567 erişim sağladığında Veeam yedekleme sunucusu (muhtemelen CVE-2023-27532 aracılığıyla) verileri sifonlama sürecine hemen başladı, çünkü ilk giriş noktası potansiyel olarak hassas verilerle dolu sulu bir erikti; grubun aradıklarını bulmak için yanlamasına hareket etmesine gerek yoktu.
“Veeam sunucuları, kimlik bilgilerini depolama eğilimleri nedeniyle son derece popüler hedeflerdir [and other data]BlackBerry’de tehdit araştırmaları ve istihbaratı başkan yardımcısı Ismael Valenzuela, “FIN7’yi içerenler gibi geçmiş olaylar, siber suçlular için çekiciliğini vurguluyor. Veeam’in kendisine göre, siber saldırıların %93’ü yedekleme depolamasını hedef alıyor ve bu da güvenlik açıklarını vurguluyor.” diyor.
BlackBerry’ye göre, söz konusu saldırı sırasında çete, Veeam yedekleme klasöründeki belgeler, resimler ve elektronik tablolar gibi yedekleme verilerine erişti ve bu verilerin fidye için saklanabilecek gizli ve değerli bilgiler içerdiğine dair bir iddiada bulundu.
Hırsızlık sırasında Storm-1567, bir dizi meşru araç ve yardımcı programı kötüye kullandı. “topraktan geçinmek” Gizlice keşif yapmak, kalıcılık sağlamak ve verileri ortamdan dışarı taşımak.
Rapora göre, “Tehdit aktörü ağa girdikten sonra ‘yedek’ adlı bir kullanıcı oluşturdu ve ortamda bir yer edinmek için kendisini Yönetici grubuna ekledi.” “Daha sonra saldırgan, ‘rota yazdırma’ yoluyla keşfedilen yerel alt ağları taramadan önce meşru ağ yönetim aracı Advanced IP Scanner’ı kurdu. Son olarak, veriler Windows için ücretsiz bir dosya yöneticisi olan WinSCP aracılığıyla dışarı sızdırıldı.”
Tüm operasyon sadece 133 dakika sürdü, ardından saldırganlar araçları gün boyunca kapattılar (ilginçtir ki, tam 4:55 pm GMT/UTC’de, bu da grubun Batı Avrupa’da konuşlanmış olabileceğini gösteriyor, diye belirtti BlackBerry). Ancak ertesi gün (8:40 pm GMT/UTC’deki makul başlangıç saatinde) geri döndüler ve ağa daha derine inip gerçek fidye yazılımını dağıttılar.
Rapora göre, “Saldırgan, birincil Veeam yedekleme sunucusuna giriş yapmadan önce bir avuç makinede kullanıcı kontrolleri gerçekleştirdi.” “Netscan, Google Chrome kullanılarak indirildi ve sıkıştırmasını açmak için WinRAR kullanıldı. Active Directory’ye bağlı makineler belirlendi ve ‘AdComputers.csv’ adlı bir dosyaya eklendi.”
Bu arada, Storm-1567 sanal makine (VM) ana bilgisayarında antivirüs (AV) korumasını devre dışı bıraktı, meşru uzak masaüstü yazılımı AnyDesk ağdaki diğer sistemlere bağlanmak için, ortamdaki çeşitli yamalanmamış hataları istismar ettiler, kurtarmayı kolaylaştıracak buldukları tüm yedek kopyaları yok ettiler, ek veri parçaları çaldılar (ana web sunucusundan bir RAR dosyası gibi) ve son olarak Akira fidye yazılımını Veeam makinesine indirdiler.
BlackBerry’ye göre, “Artık kalıcılık tam olarak sağlanmışken, tehdit aktörleri kontrol noktası olarak Veeam yedekleme sunucusunu kullanarak fidye yazılımını ağ genelinde dağıtmaya çalıştılar.” “‘w.exe’ dosyasının — Akira fidye yazılımı — tehlikeye atılan Veeam sunucusundan çeşitli ana bilgisayarlara dağıtıldığını gördük.”
Çıkış Süresi Kısalmaya Devam Ediyor
Fidye yazılımı dağıtımı özellikle çok uzun sürmedi (saldırganların güne başlamasından itibaren sekiz saatten az bir süre geçti) ancak bu ultra hızlı veri sızdırma çabası, sızdırma olay ufkunun giderek kısaldığını vurgulaması nedeniyle kuruluşlar için bir uyarı niteliğinde olmalı.
Palo Alto Networks’ün 2024 Birimi 42 Olay Müdahalesine göre rapor2021’de ihlalden veri sızdırılmasına kadar geçen ortalama süre dokuz gündü; bu süre geçen yıl iki güne düştü; ve bu yıl vakaların neredeyse yarısında (%45) sadece 24 saatin biraz altındaydı.
Bu eğilim çizgisi elbette endişe verici; siber savunucular için bir tehlikeye yanıt vermek ve 24 saatten kısa sürede veri hırsızlığını engellemek en iyi ihtimalle bile zordur; bunu iki saatte yaparsanız değişim imkansız olabilir. Ve sonunda, kuruluşların yakında hiç zaman lüksü olmayabilir; kasalar herhangi bir alarm çalmadan önce boşaltılmış olacaktır.
Valanzuela’ya göre en iyi ve belki de tek strateji savunmayı güçlendirmek.
“Potansiyel düşmanları anlamakla başlayan sıfır güven çerçevesini içeren sağlam bir güvenlik mimarisi uygulamak çok önemlidir,” diyor. “Temiz çevre yamaları gibi temel uygulamalar, saldırganlar için birincil hedef olarak güvenlik açığını tanımak için önemlidir.”
Bunu yapmamanın havayolunun yaşadığı hızlı veri sızdırmasındaki en önemli etken olduğu düşünülüyor: Valanzuela, “Bu olay, saldırı vektörünün mutlaka sıfırıncı gün açığı içermediğini gösteriyor” diye ekledi.
Veri hırsızlarının ne kadar çabuk hareket etmeye başladıkları göz önüne alındığında, diğer temel hijyen adımları da giderek daha önemli hale gelecektir. Örneğin, “hizmet verisi [of the airline] Valanzuela, “Bu, geçici bir liman aracılığıyla sızdırılmış olması anlamına geliyor. Bu durum, temel liman erişim kısıtlamalarının uygulanmasının bu tür sızdırma girişimlerinin zorluğunu artırabileceğini gösteriyor” dedi.