3AM Ransomware ve Hedefe Yönelik Saldırıları
Son yıllarda siber tehditler arasında ransomware (fidye yazılımları) en tehlikeli ve yıkıcı olanlardan biri haline geldi. 3AM ransomware grubu, özellikle e-posta bombası ve sahte IT destek çağrıları gibi yenilikçi taktiklerle hedefe yönelik saldırılar gerçekleştiriyor. Bu yazıda, 3AM ransomware grubunun taktiklerini, saldırı yöntemlerini ve bu tehditlerle başa çıkmanın yollarını inceleyeceğiz.
Saldırı Yöntemlerinin Analizi
3AM ransomware, e-posta bombası ile hedef çalışanlara yoğun bir saldırı düzenliyor. İlgili kişilere birkaç dakika içinde ardı ardına birçok e-posta gönderilmesi, dikkatleri dağıtarak saldırganlara fırsatlar sunuyor. Bu saldırılar, daha önce Black Basta ransomware çetesi ile ilişkilendirilmişti ve hızla geniş bir kabul görmeye başladı.
E-posta Bombası ve Vishing
Sophos’un raporlarına göre, 2024 Kasım ile 2025 Ocak arasında bu teknikle en az 55 saldırı gerçekleşti. Hedeflenen kullanıcılar, Microsoft Teams üzerinden yapılan aramalarla sosyal mühendislik teknikleri ile ikna edilerek, kimlik bilgilerini vermeye zorlanıyor. Özellikle, sahte IT destek masası gibi görünüp kullanıcıları yanıltmak için oluşturulan şablonlar oldukça etkili.
Gerçek Zamanlı Telefon Phishing
3AM ransomware saldırısı, diğerlerinden farklı olarak gerçek telefon aramaları yaparak hedeflerini yanıltmayı başardı. Bu aramalar, hedefin gerçek IT departmanının telefon numarası taklit edilerek gerçekleştirildi. Kullanıcılara, zararlı bir aktiviteye yanıt olarak Microsoft Quick Assist uygulamasını açmaları ve uzaktan erişim izni vermeleri istendi.
Kötü Amaçlı Yazılımın Yüklenmesi
Saldırgan, kullanıcıyı ikna ederek bir sahte alan adından kötü amaçlı bir arşiv indirip çıkardı. Bu arşiv, bir VBS script’i, bir QEMU emülatörü ve QDoor arka kapısını içeren bir Windows 7 imajı taşıyordu. QEMU emülatörü, ağ trafiğini sanal makineler aracılığıyla yönlendirerek tespit edilmeden persistan erişim sağladı.
Bilgi Toplama ve Hesap Elde Etme
Saldırganlar, WMIC ve PowerShell kullanarak eşzamanlı bir istihbarat çalışması gerçekleştirdiler. Öncelikle, yerel bir yönetici hesabı oluşturarak RDP ile bağlantı sağladılar. Ardından ticari anlamda bir RMM aracı olan XEOXRemote’yi kurarak bir alan yöneticisi hesabını ele geçirdiler.
Bu süreç boyunca Sophos’un güvenlik araçları, saldırganların hareketlerini engellemeyi başardı. Ancak saldırgan, 868 GB veri sızdırdı ve bu veriyi Backblaze bulut depolama hizmetine aktardı.
Saldırının Süreci
Saldırının yedi gün süresi boyunca, veri çalmanın üçüncü günde tamamlandığı belirtildi. Daha sonra, saldırganların yayılmaları engellendi. Sophos, saldırının detaylarına dair kapsamlı bir analiz yaparak, 3AM ransomware’nin bıraktığı fidye notunu da paylaştı.
Savunma Stratejileri
Sophos’un önerdiği birkaç kritik savunma adımı bulunmaktadır. bunlar arasında:
- Yönetici Hesaplarının Denetimi: Zayıf güvenlik önlemleri nedeniyle bilgisayar ağını etkileyebilecek hesapların gözden geçirilmesi.
- XDR Araçlarının Kullanımı: QEMU ve GoodSync gibi onaylanmamış araçların engellenmesi.
- PowerShell Politikalari: Yalnızca imzalı scriptlerin çalıştırılmasına izin veren bir güvenlik politikası uygulanması.
Ayrıca, mevcut tehdit göstergelerini kullanarak bilinen kötü niyetli kaynaklardan gelen girişimleri önlemek için engelleme listeleri oluşturulması önerilmektedir. Bu tür saldırıların önüne geçebilmek için, yalnızca teknik önlemler yeterli değildir; çalışanların bu tür tehditler hakkında farkındalığının artırılması da kritik önem taşımaktadır.
Çalışan Farkındalığı
Sonuç olarak, e-posta bombası ve ses phishing gibi saldırıların etkili şekilde engellenebilmesi için çalışanların bu konuda eğitilmesi şarttır. Bilgi güvenliği bilinci oluşturmak, gelecekte karşılaşılabilecek saldırılara karşı en etkili savunma mekanizması olacaktır. Eğitimler ve farkındalık çalışmaları ile şirketlerin siber güvenlik açıklarını kapatması sağlanabilir.
3AM ransomware operasyonu, 2023 yılının sonlarına doğru başlayarak, Conti ve Royal ransomware çeteleri ile bağlantılı olarak gelişmiştir. Bu tehdit gruplarının yöntemleri, diğer siber suçlular üzerinde de etkili olmaya devam etmektedir, bu nedenle sürekli bir savunma stratejisi geliştirmek her zamankinden daha önemli hale gelmiştir.
