Yeni Nesil EDR Katili: RansomHub’un Geliştirdiği Tehdit
Son dönemde siber güvenlik dünyasında öne çıkan bir gelişme, RansomHub tarafından geliştirilen yeni nesil Endpoint Detection and Response (EDR) katili. Bu araç, içindeki EDRKillShifter evrimi olarak görülüyor ve sekiz farklı fidye yazılımı çetesi tarafından yapılan saldırılarda kullanıldığı tespit edildi. Bu tür araçlar, fidye yazılımı operatörlerinin ele geçirilen sistemlerde güvenlik ürünlerini devre dışı bırakmasına olanak tanıyor. Böylece, zararlı yazılımın kurulumunu gerçekleştirerek, ayrıcalıkları artırma, yan hareket etme ve ağ üzerindeki cihazları şifreleme işlemlerini gizlice gerçekleştirebiliyorlar.
Hedefteki Çeteler ve Kullanım Alanları
Sophos güvenlik araştırmacıları, bu yeni aracın isminin belirtilmediğini, ancak kullanımda olduğu çetelerin arasında RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx ve INC gibi grupların yer aldığını bildiriyor. Bu araç, şifreli bir ikili dosya kullanıyor ve çalışma zamanında kendini çözerek meşru uygulamalara entegre oluyor.
Araç, beş karakterli rastgele isimlendirilmiş dijital imzalı (çalıntı veya süresi dolmuş sertifika) sürücü arayışına çıkıyor. Bulunduğunda, kötü niyetli sürücü çekirdek seviyesine yükleniyor. Bu da, EDR ürünlerini devre dışı bırakmak için gerekli olan “kendi zayıf sürücünü getir” (BYOVD) saldırısını gerçekleştirmesine olanak tanıyor.
Kötü Amaçlı Sürücünün Çalışma Prensibi
Kötü niyetli sürücü, örneğin CrowdStrike Falcon Sensor Driver gibi meşru bir dosya olarak maskeleniyor. Aktif hale geldiğinde, antivirüs ve EDR ile ilgili süreçleri sonlandırıyor ve güvenlik araçlarıyla ilişkili hizmetleri durduruyor. Hedef alınan satıcılar arasında Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro ve Webroot bulunmaktadır.
Yeni EDR katili aracının çeşitli sürümleri, sürücü isimleri, hedeflenen antivirüs yazılımları ve yapı özellikleri açısından farklılık gösteriyor. Ancak, hepsi HeartCrypt kullanarak paketleniyor ve bu da birbirleriyle rekabet eden tehdit grupları arasında bilgi ve araç paylaşımını işaret ediyor.
Tehdit Grubu İşbirliği ve Paylaşılan Araçlar
Sophos, bu aracın sızıntı yoluyla başkaları tarafından kullanıldığına inanmadığını, aksine işbirlikçi bir çerçevede geliştirildiğini belirtiyor. “Açık olmak gerekirse, EDR katilinin tek bir ikilisinin sızdığı ve tehdit aktörleri arasında paylaşıldığı anlamına gelmiyor. Bunun yerine, her saldırı, özel aracın farklı bir sürümünü kullandı,” diyor Sophos.
Araç paylaşımı taktiği, özellikle EDR katilleri konusunda, fidye yazılımı alanında yaygın bir uygulama. Sophos, EDRKillShifter dışında ayrıca Medusa Locker ve LockBit tarafından kullanılan bir başka aracın da AuKill olduğunu belirtiyor. Ayrıca, SentinelOne geçen yıl FIN7 hacker grubunun özelleştirilmiş “AvNeutralizer” aracını çok sayıda fidye yazılımı çetesiyle sattığını rapor etti.
Sonuç: Yeni Tehditler ve Savunma Stratejileri
Kötü niyetli araçların artışı, siber güvenlik alanında yeni bir savaş başlattı. Malware hedefli saldırılarda kullanılan bu tür araçların sayısındaki artış, güvenlik profesyonellerini daha yenilikçi savunma stratejileri geliştirmeye zorluyor. MITRE ATT&CK tekniklerinin kullanımı ve 93%’e varan bir oranla başarısızlıkların sebeplerini içeren bu yeni tehditlere karşı savunma yapmak, günümüz şirketleri için kritik önem taşıyor.
Son olarak, bu yeni EDR katili aracıyla ilişkili tüm ihlal belirteçleri, bir GitHub reposunda mevcuttur. Bu tür tehditler karşısında, siber güvenlik uzmanlarının sürekli olarak gelişen bu tehditlere karşı hazırlıklı olabilmesi için bilgi edinmeleri ve gerekli önlemleri almaları büyük bir zorunluluk haline gelmektedir. Kötü niyetli yazılımlar, kullanıcıların güvenliğini tehdit ederken, uzmanların da bu tehlikelere karşı etkin bir şekilde mücadele edebilmesi için sürekli güncellenen bilgilere ihtiyaç duyması beklenmektedir.
