Giriş
Son dönemde, AI tabanlı bir fidye yazılımı saldırı aracı, aktif dizin keşfini otomatikleştirerek ve son nokta tespiti ve yanıt (EDR) çözümlerinden kaçınarak siber suçlular tarafından kullanılmaktadır. Bu gelişme, siber güvenlik alanında önemli bir tehdit oluşturmakta ve etkili savunma stratejilerinin gerekliliğini ortaya koymaktadır.
Saldırı Nasıl Çalışıyor?
Araştırmalar, fidye yazılımı çerçevesinin, tehdit aktörleri tarafından tespit edilme olasılığını azaltmayı amaçlayan çeşitli teknikleri içerdiğini ortaya koymuştur. Kullanılan başlıca bileşenler şunlardır:
- Cobalt Strike profilleri, beacon trafiğini meşru web isteklerine benzeterek tespit edilme olasılığını azaltıyor.
- Telegram bot API tabanlı komut ve kontrol (C2) mekanizması, iletişimi Telegram altyapısı üzerinden yönlendiriyor.
- Python tabanlı kötü amaçlı yazılım geliştirme scriptleri, meşru Windows yürütücü dosyalarına shellcode enjekte ederek orijinal işlevselliği koruyor.
- Arka planda gerçek C2 sunucusunu gizlemek için bir Cloudflare Worker kullanılıyor.
Bu araç, yalnızca “kırmızı takım” sonrası istismar çerçevesi gibi görünse de, siber suç faaliyetleri için kullanılmaktadır.
Etkilenen Sistemler
Sophos güvenlik şirketinden yapılan tespitlerde, kötü amaçlı yazılımın C:UsersUserDocumentstest dizininde saklanan yüklerden uyarı tetiklediği bildirilmektedir. Yapılan incelemelerde, bir siber suç çetesi tarafından kullanıldığına dair kanıtlar bulunmuştur. Öne çıkan faaliyetler arasında, ransom notları ve fidye yazılımı veri sızıntı sitelerinde belirtilen çok sayıda kuruluşla ilgili bilgiler yer almaktadır.
Çözüm ve Korunma
Fidye yazılımı geliştirirken kullanılan AI araçlarının etkilenmiş sistemlerde bağımsız bir şekilde çalışmadığı, yalnızca geliştirme sürecini hızlandırdığı görülmektedir. Ancak bu tehlikenin ciddiyeti nedeniyle, aşağıdaki önlemleri alınması önerilmektedir:
- Sunucu ve istemci yazılımlarını en son güncellemelerle güncelleyin.
- EDR çözümlerinizin etkinliğini sağlamak için sürekli test ve güncelleme yapın.
- Active Directory yapılandırmanızı gözden geçirin ve güvenlik duvarı ayarlarını sıkılaştırın.
- Herhangi bir şüpheli etkinlik tespit ettiğinizde derhal müdahale edin.
Sonuç olarak, fidye yazılımı saldırılarına karşı dikkatli olunmalı ve gerekli önlemler alınmalıdır. Güvenlik açıklarınızı kapatmak ve sistemlerinizi korumak için proaktif bir yaklaşım benimseyin.
