FBI, son iki ayda en az 60 farklı kuruluşa öldürücü yeni bir fidye yazılımı bulaştığı konusunda uyardı.
İstihbarat teşkilatı geçen hafta sonlarında yayınlanan bir Flash raporunda, bilinen bir hizmet olarak fidye yazılımı aktörü olan BlackCat’in RUST’ta yazılmış bir zorlama kullanarak bu organizasyonları tehlikeye attığını söyledi.
Çoğu fidye yazılımının C veya C++ ile yazıldığı göz önüne alındığında, bu biraz sıra dışıdır. Ancak FBI, “gelişmiş performans ve güvenilir eşzamanlı işleme sunan daha güvenli bir programlama dili” olarak kabul edildiğinden, bu belirli tehdit aktörlerinin RUST’ı tercih ettiğine inanıyor.
Azaltmalar ve savunmalar
ALHPV olarak da bilinen BlackCat, genellikle şifre çözme anahtarı karşılığında Bitcoin ve Monero’da ödeme talep ediyor ve talepler genellikle “milyonlarca” olmasına rağmen, FBI, genellikle ilk talebin altındaki ödemeleri kabul ettiğini söylüyor.
BlackCat’in Darkside (aka Blackmatter) ile de güçlü bağları var, diye açıklıyor FBI, grubun kötü amaçlı yazılım ve fidye yazılımı saldırılarında “geniş ağlara ve deneyime” sahip olduğunu öne sürüyor.
Saldırı genellikle, saldırganlara hedef uç noktaya ilk erişim sağlayan, zaten güvenliği ihlal edilmiş bir hesapla başlar. Grup daha sonra Active Directory kullanıcı ve yönetici hesaplarının güvenliğini ihlal eder ve fidye yazılımını dağıtmak için kötü amaçlı Grup İlkesi Nesnelerini (GPO’lar) yapılandırmak için Windows Görev Zamanlayıcı’yı kullanır.
İlk dağıtım, Cobalt Strike ile birlikte PowerShell komut dosyalarını kullanır ve kurbanın ağındaki güvenlik özelliklerini devre dışı bırakır.
Saldırganların sistemleri kilitlemeden önce mümkün olduğu kadar çok veri indirmeleri söylenir. Hatta bulabildikleri herhangi bir bulut barındırma sağlayıcısından veri çekmeye çalışıyorlar.
Son olarak, Windows komut dosyası yardımıyla grup, fidye yazılımını ek ana bilgisayarlara dağıtmaya çalışır.
FBI ayrıca, yeni veya tanınmayan kullanıcı hesapları için etki alanı denetleyicilerini, sunucuları, iş istasyonlarını ve aktif dizinleri gözden geçirmeyi içeren kapsamlı bir önerilen azaltıcı önlemler listesi oluşturmuştur; verileri düzenli olarak yedekleme, tanınmayan zamanlanmış görevler için Görev Zamanlayıcı’yı gözden geçirme ve herhangi bir yazılım yükleme işlemi için yönetici kimlik bilgileri isteme.
