Giriş
Yeni bir fidye yazılımı aktörü olan Spirals, bir kurumsal siber saldırıyı 24 saatten kısa bir sürede gerçekleştirerek veri hırsızlığı ve şifreleme işlemlerini tamamladı. Bu tür tehditler, özellikle bulundukları sistemlerde ciddi zararlara yol açabilmektedir.
Saldırı Nasıl Çalışıyor?
Saldırı, Haziran ayında Güney Asya’da bir BT hizmetleri firmasında gerçekleşti ve saldırgan, halka açık webdeki bir Internet Information Services (IIS) sunucusunu ele geçirdi. Araştırmacılar, Spirals operatörünün ilk erişimi sağladıktan sonra hızla hareket ettiğini ve bir ASP.NET web shell yüklediğini bildirdi.
Aşağıda, saldırının detayları sıralanmıştır:
- Kullanıcı Hesabı Kontrolü (UAC) bypass edildi.
- Remote Desktop etkinleştirildi ve yerel bir hesap oluşturuldu.
- Kimlik bilgilerini elde etmek amacıyla SAM registry hive ve LSASS process memory döküldü.
- Güvenlik yazılımlarını kaldırmayı denediler ve WMI kullanarak ondan fazla sisteme lateral hareket yaptılar.
- Redundant uzaktan erişim kanalları oluşturmak için revsocks, Chisel ve Cloudflare tünelleri kullanıldı.
Bir PowerShell yükü, Microsoft Defender’ı devre dışı bıraktı ve 23 yedekleme, veritabanı ve sanallaştırma ürününe, örneğin Veeam, VMware, Hyper-V, SQL Server, Oracle ve PostgreSQL gibi, hizmetleri durdurdu.
Spirals yükü (bitsadmin.exe), ilk ihlalin üzerinden 24 saatten az bir süre sonra devreye alındı. Araştırmalar, “Operatör, fidye yazılımı yükünü kurbanın ağında SYSTEM olarak çalışan PsExec kullanarak dağıtmaya başladı,” diye açıklıyor.
Etkilenen Sistemler
Spirals fidye yazılımı, AES-128 anahtarları ve saldırgana ait ECDH P-256 genel anahtarı ile korunmaktadır. Dosyaların şifrelenmesinde 5MB’den büyük dosyalar için kesintili şifreleme yöntemi kullanarak işlemi hızlandırmaktadır.
Kurbanın C: sürücüsünde bir RECOVERY_SECTION.log adıyla bir fidye notu bırakılmakta ve pazarlık yapma talimatları yer almaktadır. Kurbanlara, 6 gün içinde çalınan verilerin kamuya ifşa edilmekle tehdit edildiği bildirilmektedir.
Çözüm ve Korunma
Symantec, Spirals grubuna karşı savunma kurmak isteyen kuruluşlara yardımcı olmak için ilgili ağ göstergeleri ve dosya hash’lerini sağlamaktadır. Bu tehdit grubuna karşı korunma sağlamak için aşağıdaki önlemleri almanız önerilmektedir:
- Sistemlerinizi en son güncellemelerle güncelleyin.
- Güvenlik yazılımlarınızı aktif ve güncel tutun.
- Ağ erişimlerini sıkı bir şekilde denetleyin ve gereksiz portları kapatın.
- Uzaktan erişim hizmetlerini, sadece ihtiyaç duyulduğunda etkinleştirin.
- Veri yedeklemelerinizi düzenli olarak gerçekleştirin ve yedeklerinizi güvenli bir yerde saklayın.
Sonuç
Bu tür saldırılar, ani ve derinlemesine etkileri olabilen kritik tehditlerdir. Kuruluşlar, sistem güncellemeleri yaparak, gereksiz erişimleri kapatarak ve güvenlik yazılımlarını güncel tutarak bu tür tehditlere karşı bilinçlenmeli ve hazırlıklı olmalıdır.


