Trigona Ransomware Saldırıları ve Tehditler
Son dönemde gözlemlenen Trigona ransomware saldırıları, ele geçirilen ortamlardan verileri daha hızlı ve verimli bir şekilde çalmak amacıyla özel bir komut satırı aracı kullanmaktadır. Bu durum, siber güvenlik açısından ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Araştırmaları yürüten siber güvenlik firması Symantec, saldırılarda kullanılan aracın adının uploader_client.exe olduğunu ve sabitlenmiş bir sunucu adresine bağlandığını belirtmektedir. Bu aracın performans ve kaçınma yetenekleri şunlardır:
- Dosya başına beş eşzamanlı bağlantı desteği ile paralel yükleme yaparak veri sızdırma hızını artırma.
- Trafik 2GB’ye ulaştığında TCP bağlantılarının döndürülmesi ile izleme yöntemlerinden kaçınma.
- Büyük ve düşük değerli medya dosyaları hariç olmak üzere, seçici dosya türü sızdırma seçeneği.
- Çalınan verilere dışarıdan erişimi kısıtlamak amacıyla bir kimlik doğrulama anahtarı kullanma.
Bir olayda, bu araç yüksek değerli belgeleri, örneğin fatura ve PDF dosyalarını, ağ sürücülerinden çalmak için kullanıldı.
Etkilenen Sistemler
Trigona ransomware, Ekim 2022’de iki aşamalı bir operasyon olarak başlatıldı ve kurbanlarından Monero kripto para biriminde fidye talep etmektedir. Ekim 2023’te Ukraynalı siber aktivistler Trigona operasyonunu kesintiye uğratarak sunucularını hackleyip iç verileri çaldı. Ancak Symantec’in raporuna göre, tehdit aktörleri yine de operasyonlarına devam etti.
Son Trigona saldırılarında, tehdit aktörleri HRSword adlı Huorong Ağ Güvenliği Suite aracını kernel sürücü hizmeti olarak kurmaktadır. Bu aşama, güvenlik ile ilgili ürünleri devre dışı bırakmayı sağlayan ek araçların dağıtılmasıyla devam etmektedir. Örneğin, PCHunter, Gmer, YDark, WKTools, DumpGuard ve StpProcessMonitorByovd gibi araçlar kullanmaktadır.
Symantec, bu araçların çoğunun, uç nokta koruma süreçlerini sonlandırmak amacıyla savunmasız kernel sürücülerini kullandığını bildirmektedir. Bazı yardımcı programlar, kullanıcı modunu geçerek uygulama ve betikleri yükseltilmiş izinlerle çalıştıran PowerRun ile yürütülmektedir. Ayrıca, AnyDesk, ihlal edilen sistemlerde doğrudan uzaktan erişim sağlamak amacıyla kullanılmıştır. Mimikatz ve Nirsoft gibi yardımcı programlar ise kimlik bilgisi çalma ve parola kurtarma işlemleri için devreye sokulmuştur.
Çözüm ve Korunma
Symantec, son Trigona faaliyetlerine ilişkin tespit belirtilerini (IoC) raporunun sonunda listeleyerek bu saldırıların zamanında tespit edilmesi ve engellenmesi için yardımcı olmaktadır.
Sonuç
Kurumların bu tehdidi küçümsememesi ve aşağıdaki adımları uygulaması hayati önem taşımaktadır:
- Güvenlik yazılımınızı güncelleyin ve tüm sistemlerinizde en son güvenlik yamalarını uygulayın.
- Ağda gereksiz bağlantıları kapatın ve yalnızca gerekli portları açık tutun.
- Veri yedeklemelerinizi düzenli olarak yapın ve bu yedekleri güvenli bir yerde saklayın.
Bu adımlar, siber saldırılara karşı korunma ve potansiyel veri kaybını azaltma konusunda önemli rol oynamaktadır.
