Crypto24 Fidye Yazılım Grubunun Yöntemleri
Crypto24 fidye yazılım grubu, güvenlik çözümlerinden kaçmak için özel araçlar kullanarak, ele geçirilen ağlarda veri sızıntısı gerçekleştiriyor ve dosyaları şifreliyor. Bu grubun en erken faaliyetleri, Eylül 2024’te BleepingComputer forumlarında rapor edilmiştir. Ancak, fidye yazılım grupları arasında önemli bir üne ulaşamamıştır.
Trend Micro araştırmacıları, Crypto24’ün faaliyetlerini takip ederken, hackerların ABD, Avrupa ve Asya’daki birkaç büyük kuruluşa saldırdığını, özellikle finans, üretim, eğlence ve teknoloji sektörlerindeki yüksek değerli hedeflere odaklandığını belirtmektedir.
Araştırmalar, Crypto24’ün iyi bilgili ve deneyimli görünümünün, şimdiye kadar faaliyet gösteren fidye yazılım operasyonlarının eski üyeleri tarafından kurulmuş olabileceğini göstermektedir.
İlk Erişim Sonrası Faaliyetler
Crypto24’ün ilk erişimi sağladıktan sonra, hackerlar, işletme ortamlarındaki Windows sistemlerinde varsayılan yönetici hesaplarını etkinleştirir ya da yeni yerel kullanıcı hesapları oluşturarak gizli, kalıcı bir erişim sağlarlar. Bu süreçten sonra, bir reconnaissance (keşif) aşaması gerçekleştirerek, özel bir komut dosyası ve sistem donanımını değerlendiren komutlar kullanmaktadırlar.
Saldırgan, WinMainSvc adında bir anahtar kaydedici hizmeti ve MSRuntime adında bir fidye yazılımı yükleyici oluşturmak için kötü niyetli Windows hizmetleri ve programlanmış görevler yaratır.
Yetki Yükseltme ve Engellemeler
Crypto24 operatörleri, bir dizi güvenlik sağlayıcısını hedef alan açık kaynaklı bir araç olan RealBlindingEDR‘nin özel bir varyantını kullanmaktadır. Bu araç, Trend Micro, Kaspersky, Sophos gibi birçok üreticinin çekirdek sürücülerini devre dışı bırakmakta kullanılmaktadır.
Bu özel araç, sürücünün meta verilerinden şirket adını çıkartarak, sabit kodlanmış bir liste ile karşılaştırmaktadır. Eğer bir eşleşme varsa, bu araç, belirli güvenlik yazılımlarının tespit motorlarını “körleştirerek” etkisiz hale getirir.
Trend Micro yüzünden saldırganın yönetici haklarına sahip olması durumunda, XBCUninstaller.exe adlı meşru bir dosyanın çalıştırıldığı, bu sayede Trend Vision One güvenlik çözümünün kaldırıldığı belirtilmektedir. Bu, sonradan kullanılacak kötü niyetli yüklerin (anahtar kaydedici ve fidye yazılımı) tespitini engellemektedir.
Anahtar Kaydedici ve Veri Hırsızlığı
Anahtar kaydedici olarak gizlenen WinMainSvc, aktif pencere başlıklarını ve tuş vuruşlarını, kontrol anahtarları (Ctrl, Alt, Shift) dahil olmak üzere kaydeder. SMB paylaşımlarını kullanarak, yan hareket edilmekte ve dosyalar hazırlandıktan sonra dışarı aktarılmaktadır.
Tüm çalınan veriler, Google Drive’a özelleştirilmiş bir araç kullanılarak sızdırılmaktadır. Bu araç, WinINET API’yi kullanarak Google’ın hizmetleriyle etkileşim kurmaktadır. Fidye yazılımı yükü, Windows sistemlerinde gölge kopyalarını silerek çalıştırılır; bu da kurtarma işlemlerini engeller.
Crypto24 Saldırısının Genel Bakışı
Trend Micro, Crypto24 saldırısının fidye yazılımı bölümüne dair ayrıntılara yer vermemekte ve böylece şifreleme şemasını, fidye notlarını, iletişim yöntemlerini, hedef dosya yollarını, dil veya marka ipuçlarını açıklamamaktadır. Ancak, siber güvenlik şirketi, diğer savunmacıların Crypto24 fidye yazılımı saldırılarını daha ulaşmadan tespit edebilecekleri bazı tehlike göstergelerini raporunun sonunda paylaşmıştır.
Sonuç ve Öneriler
Crypto24 gibi fidye yazılım grupları, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır. Bu tarz gruplara karşı proaktif önlemler almak hayati önem taşımaktadır. Şirketler, güvenlik duvarları, düzenli güncellemeler ve kullanıcı eğitimi gibi yöntemlerle bu tehditlere karşı korunmalıdır. Ayrıca, veri yedekleme stratejileri oluşturmak ve bu verileri bulut veya çift lokasyonlu sistemlerde tutarak güvenliğini artırmak kritik bir adımdır. Cybersecurity alanındaki gelişmeleri takip etmek ve en son tehditlere karşı hazırlıklı olmak gerekmektedir.
