Fog Ransomware ve Yeni Araç Seti
Fog ransomware grubu, siber saldırı yöntemleri ile bilinir. Bu grup, ilk kez geçen yıl Mayıs ayında gözlemlendi. Saldırganlar, kurbanlarının ağlarına erişmek için ele geçirilmiş VPN kimlik bilgilerini kullanarak sistemlere sızmaktadır. Saldırı gerçekleştikten sonra, “pass-the-hash” saldırıları ile yönetici ayrıcalıkları kazanmakta, Windows Defender’ı devre dışı bırakmakta ve tüm dosyaları, sanal makine depolama alanlarını da kapsayacak şekilde şifrelemektedir.
Daha sonra, bu tehdit grubu, n-gün açıklarını kullanarak Veeam Backup & Replication (VBR) sunucuları ve SonicWall SSL VPN uç noktaları üzerinde istismar faaliyetleri gerçekleştirmiştir. Bu durum, ransomware dünyasında yeni bir tehdit unsuru olarak dikkat çekmektedir.
Yeni Saldırı Araç Setleri
Son zamanlarda, Symantec ve Carbon Black Threat Hunter ekibi, Asya’daki bir mali kurumda gerçekleşen bir olay müdahalesi sırasında alışılmadık bir saldırı araç seti keşfetti. Araştırmacılar, bu saldırı araçlarının daha önce benzeri kötü niyetli faaliyetlerde kullanılmadığını belirtmektedir. En ilginç araçlardan biri, daha önce bilinen bir çalışan izleme yazılımı olan Syteca‘dır. Ekran ismiyle bilinen bu yazılım, ekran etkinliğini ve tuş vuruşlarını kaydederek, saldırganların kurbanların bilgi girişlerini izlemesine olanak tanımaktadır.
Saldırganlar, Syteca aracını sistemlere sızdırmak için Stowaway adındaki açık kaynaklı bir proxy aracını kullanmaktadır. Bu araç, gizli iletişim ve dosya transferleri için tasarlanmıştır. Saldırı ayrıca, SMBExec aracılığıyla yürütülmekte olup, bu araç açık kaynak framework olan Impacket içinde yer almaktadır. Saldırı esnasında kullanılan GC2, bir açık kaynak post-exploitation arka kapısıdır ve Google Sheets veya Microsoft SharePoint gibi platformlarda komut ve kontrol (C2) ve veri sızdırma işlemlerini gerçekleştirmektedir.
GC2 aracı, daha önce APT41 isimli Çin tehdit grubuna atfedilen saldırılarda nadiren görülmüştür. Bunun yanında, Symantec, Fog ransomware’ın son arsenaline dahil olan diğer araçları da listelemektedir:
- Adapt2x C2: Cobalt Strike’a bir açık kaynak alternatif olup, post-exploitation işlemleri desteklemektedir.
- Process Watchdog: Anahtar süreçlerin yeniden başlatılmasına olanak tanıyan sistem izleme aracı.
- PsExec: Ağa bağlı makinelerde uzaktan yürütme için kullanılan Microsoft Sysinternals aracı.
- Impacket SMB: SMB’ye düşük seviyeli programatik erişim sağlayan bir Python kütüphanesi. Bu, saldırganların ransomware yükünü kurbanın makinesine dağıtmak için kullanılmıştır.
Saldırganlar, verileri sızdırmak ve kendi altyapılarına ulaştırmak için 7-Zip, MegaSync ve FreeFileSync gibi yardımcı programları da kullanmaktadır. Symantec’in raporuna göre, "Saldırganlar tarafından kullanılan araç seti bir ransomware saldırısı için oldukça alışılmadık."
Sonuçlar ve Öneriler
Bu tür alışılmadık araç setleri, tehdit aktörlerinin tespit edilmeden saldırı gerçekleştirmesine olanak tanımaktadır. Araştırmacıların raporu, kuruluşların bu tür olaylardan korunmasına yardımcı olabilecek kompromi göstergeleri sunmaktadır.
Tüm dünyada ransomware saldırılarının artması nedeniyle, her işletmenin güçlü bir siber güvenlik stratejisi geliştirmesi gerekmektedir. Bunlar arasında düzenli yazılım güncellemeleri, güvenlik duvarı kurulumları ve çalışanların güvenlik farkındalığı eğitimleri yer almaktadır. Şirketler, bu tehditleri önlemek amacıyla ihtiyaç duyulan önlemleri almalı ve siber güvenlikteki en son trendleri takip etmelidir.
Unutulmamalıdır ki, siber saldırılara karşı en iyi savunma, güçlü bir siber güvenlik kültürü oluşturmaktır. Yalnızca teknolojik önlemler değil, aynı zamanda farkındalık ve bilgi paylaşımı da büyük bir önem taşımaktadır. Bu sayede, hem bireysel hem de kurumsal düzeyde daha güvenli bir siber ortam sağlanabilir.
