Giriş
Son dönemlerde, *Crazy* ransomware çetesi, yasal çalışan izleme yazılımlarını ve *SimpleHelp* uzaktan destek aracını kullanarak kurumsal ağlarda kalıcılık sağlamakta ve fidye yazılımı saldırılarına hazırlanmaktadır. Bu durum, siber güvenlik uzmanlarının dikkatli olması gereken yeni bir tehdit vektörü oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, *Huntress* tarafından gerçekleştirilen incelemelerde, tehdit aktörlerinin *Net Monitor for Employees Professional* yazılımını *SimpleHelp* ile birlikte kullanarak, ihlal edilmiş ağlara uzaktan erişim sağlamak için çeşitli yöntemler kullandıklarını gözlemlemiştir. Saldırganlar, *msiexec.exe* aracılığıyla bu yazılımı kurarak, izleme aracını doğrudan geliştirici web sitesinden hedef sistemlere yüklemiştir.
Kurulduktan sonra, bu araç sayesinde saldırganlar kurbanın masaüstünü uzaktan görüntüleyebilmekte, dosya transferi yapabilmekte ve komutlar çalıştırabilmektedir. Aşağıda, saldırganların gerçekleştirdiği bazı önemli işlemler yer almaktadır:
- Yerli yönetici hesabını etkinleştirme:
net user administrator /active:yes - PowerShell kullanılarak SimpleHelp uzaktan erişim istemcisini indirme ve kurma
- Dosya isimlerini *Visual Studio vshost.exe* ile benzer şekilde kullanarak gizleme
Bu süreçler, saldırganların Windows Defender‘ı devre dışı bırakmak için ilgili hizmetleri durdurmaya ve silmeye çalıştıklarını da göstermektedir.
Etkilenen Sistemler
Saldırı sırasında, izleme yazılımı kullanılarak gerçekleştirilen işlemler şunlardır:
- Uzaktan komut çalıştırma
- Dosya transferi
- Sistem aktivitesini gerçek zamanlı izleme
Ayrıca, saldırganların kripto para cüzdanlarına erişildiğinde ve uzaktan yönetim araçları kullanıldığında kendilerine haber veren izleme kuralları oluşturduğu da tespit edilmiştir.
Huntress araştırmacıları, SimpleHelp yazılımının, kripto para ile ilgili anahtar kelimeleri izleme amaçlı sürekli döngü halinde tetikleme ve sıfırlama olayları gerçekleştirdiğini belirtmektedir. İzlenen anahtar kelimeler arasında metamask, exodus, binance, teamview gibi terimler bulunmaktadır.
Çözüm ve Korunma
Kuruluşlar, bu tür tehditlerle daha etkin bir şekilde başa çıkmak için aşağıdaki adımları izlemelidir:
- Uzaktan İzleme ve Destek Araçlarının İzinlerine Dikkat Edin: Yetkisiz kurulumları izleyin.
- MFA (Çok Faktörlü Kimlik Doğrulama) Uygulaması: Tüm uzaktan erişim hizmetleri için MFA uygulayın.
- Sistem Güncellemeleri: Tüm sistemlerinizi ve yazılımlarınızı düzenli olarak güncelleyin.
Özellikle, SimpleHelp gibi yasal uzaktan destek araçlarının kötüye kullanıldığını göz önünde bulundurarak, kurumsal ağlarınızdaki tüm erişim noktalarını sıkı bir şekilde kontrol etmeniz önerilmektedir.
Sonuç
Fidye yazılımı saldırılarındaki artış, siber güvenlik tedbirlerini almak için bir zorunluluk haline getirmiştir. Kuruluşların, yasal yazılımların kullanımını dikkatli bir şekilde izlemeleri ve uzaktan erişimlerde çok faktörlü kimlik doğrulama uygulamalarıyla güvenliklerini artırmaları gerekmektedir. Aksi takdirde, bu tür tehditlere maruz kalma riski artacaktır.
