Son zamanlarda, bir şirketin sunucusunda gözlemlenen CPU aktivitesindeki ani artış, derinlemesine bir inceleme sonrası, RansomHub adlı bir ransomware grubuna ait bir tehdit tarafından gerçekleştirilen bir saldırının işaretleri olarak belirlendi. Kullanıcıların bir tarayıcı güncellemesi zannettiği zararlı bir JavaScript dosyasının indirilmesiyle başlayan olay, hızlı bir reaksiyon ile kontrol altına alındı. Varonis ekibi, durumu 48 saat içinde araştırarak, avlayarak ve tehditleri etkisiz hale getirerek, ransomware’a dönüşmesini engellemeyi başardı.
İlk Erişim Süreci
Olay, bir kullanıcının tarayıcı güncellemesi olduğuna inandırıldığı zararlı bir dosyayı indirmesi ve çalıştırmasıyla başladı. Bu noktada, bilgisayarın Active Directory kullanıcılarını, sistem bilgilerini sorgulama gibi otomatik keşif aktiviteleri başladı. İlk aşamada, ikinci düzey zararlı yazılım bir görev zamanlayıcısı olarak kuruldu ve saldırgan altyapısı ile iletişimi sağlayan bir SOCKS proxy kuruldu.
Tehditin Keşfi
İlk olarak, tehdidin bilgisayarı ele geçirmesinin hemen ardından, kullanıcının şifrelerini ve yetki artırımı fırsatlarını araştırmaya başladığı tespit edildi. Aday bir saldırgan, RDP dosyalarının yanı sıra KeePass vault gibi şifreleri içeren dosyaları taradı. Tarayıcıda saklanan şifreleri analiz ederek, kullanıcı verilerini elde etmeye çalıştıkları görüldü.
Yetki Artırma İşlemleri
Tehdit, ilk ihlaldan yaklaşık dört saat sonra, bir Alan Yöneticisi hesabını kontrol etmeye başladı. Olayla ilgili talepler bir Active Directory kontrolü sırasında zor görünmesine rağmen, belirli konfigürasyon hataları tehditin hızlı bir şekilde erişim sağlamasına olanak tanıdı. Bu tür hatalar, genellikle kullanıcıların yönetici düzeyinde yetki almasına zemin hazırlıyor.
Ekstra Keşif Faaliyetleri
Yetki kazandıktan sonra, saldırgan ağ üzerinde keşif faaliyetlerine girişti. İlk olarak, alan yöneticilerine ait dizüstü bilgisayarlara yöneldi. Bu süreçte, uzaktan bağlantı sağlayabilmek için kayıt defteri ayarlarını değiştirdi. Ayrıca, Microsoft Office uygulamaları kullanarak hedef dosyaları açma gibi ilginç bir yöntemle iç yapıya dair bilgi toplamaya çalıştı.
Veri Sızdırma Aktiviteleri
İlk ihlalin üzerinden yaklaşık 24 saat geçtikten sonra, saldırgan, büyük miktardaki veriyi hedef dizinlere sızdırmaya başladı. Saldırganın bir Azure Storage aracını kullanarak veri sızdırma işlemi gerçekleştirmesi, ilk CPU artışını tetikledi ve şirketin güvenlik ekibinin dikkatini çekti. Böylelikle, potansiyel bir ransomware saldırısı için tehdit henüz evrimleşmeden etkisiz hale getirildi.
Sonuç olarak, kullanılan tehdit teknikleri ve prosedürler araştırıldığında, olayın RansomHub grubuna ait unsurlarla ilişkilendirildiği belirlendi. Varonis ekipleri, işletmelere yönelik saldırılara karşı sürekli alarmda olmanın önemini bir kez daha vurguladı.
Bu içerik Varonis tarafından sağlanmıştır.
