Interlock Ransomware ve Yeni Yöntem: FileFix
Son zamanlarda siber suç dünyasında, Interlock fidye yazılımı saldırılarında kullanılan FileFix adlı yeni bir teknik dikkat çekiyor. Bu yöntem, hedef sistemlere uzaktan erişim trojanı (RAT) yerleştirmek için kullanılan etkili bir strateji haline geldi. Siber güvenlik alanındaki araştırmacılar, bu yeni yöntemin kullanılmaya başlandığını The DFIR Report ve Proofpoint kaynaklarıyla duyurdu.
KongTuke ve Saldırı Yöntemlerinin Evrimi
Son birkaç ayda Interlock fidye yazılımı saldırıları önemli ölçüde artmış durumda. Bu artış, saldırganların KongTuke web enjeksiyonu olarak bilinen teknikle ilişkilendiriliyor. KongTuke, aynı zamanda “LandUpdate808” olarak da biliniyor ve sahte CAPTCHA ile doğrulama yaparak kullanıcıları aldatmayı amaçlıyor. Hedeflenen kullanıcılar, kompromize edilmiş web sitelerine girdiğinde, bir PowerShell script’i çalıştırmaları için kandırılıyor.
Geçtiğimiz Haziran ayında, bu sistemde bir değişiklik meydana geldi. PHP tabanlı Interlock RAT artık bu teknikler aracılığıyla dağıtılmaya başlandı ve kullanıcılara komutların sahte dosya yolları olarak sunulmasıyla daha karmaşık bir hale geldi.
FileFix’in Kullanım Yöntemi
FileFix, güvenlik araştırmacısı mr.d0x tarafından geliştirilen bir sosyal mühendislik saldırı tekniğidir. ClickFix tekniğinin de bir evrimi olan bu yöntem, başarılı bir şekilde kullanıcıları zararlı yazılımları çalıştırmaya ikna etmek için Windows arayüz öğelerini kötüye kullanıyor. Kullanıcılara bir dosya açmaları söylendiğinde, aslında bir PowerShell komutu, bir dosya yolu gibi gösteriliyor.
Hedefler, File Explorer‘ın adres çubuğuna kopyaladıkları bir komutu yapıştırmaları için ikna ediliyor. Bu işlem sonucunda, siber suçluların kontrolündeki ‘trycloudflare.com’ kaynağından PHP RAT indiriliyor ve sistemde çalıştırılıyor.
Enfeksiyon Sonrası Etkiler
Enfekte olduktan sonra, RAT çeşitli PowerShell komutları çalıştırarak sistem ve ağ bilgilerini toplar. Bu bilgiler, JSON formatında saldırgana iletilir. The DFIR Report, ayrıca aktif dizinlerin sorgulanması, yedeklerin kontrol edilmesi ve yerel dizinlerde gezinme gibi etkileşimli aktivitelerin kanıtlarına da rastladığını belirtmektedir.
Komut ve Kontrol sunucusu (C2), RAT’ın çalıştırması için shell komutları gönderebilir, yeni yükler ekleyebilir ya da sistemde kalıcılığını sağlamak için kayıt defterine giriş yapabilir. Ayrıca, uzak masaüstü (RDP) kullanarak lateral hareketler gerçekleştirebilir.
Interlock Ransomware’ın Tarihçesi
Interlock fidye yazılımı, Eylül 2024’te piyasaya sürüldü ve Texas Tech Üniversitesi, DaVita ve Kettering Health gibi önemli kurbanlarla dikkat çekti. Öncelikle ClickFix tekniğini kullanarak hedef alırken, FileFix’e geçiş yapması, saldırganların daha gizli ve etkili saldırı yöntemlerine hızla uyum sağladığını gösteriyor.
Bu, FileFix’in gerçek siber saldırılarda kullanıldığına dair ilk halka açık onaydır. Saldırganların bu tekniği, saldırı zincirlerine dahil etme yollarını keşfetmesiyle, önümüzdeki dönemde daha fazla popülerlik kazanması bekleniyor.
Sonuç Olarak, Güvenlik Önlemleri
Siber güvenlik alanında kullanıcıların dikkatli olması gereken noktalar bir hayli artmış durumda. Interlock ve benzeri fidye yazılımlarının hızla gelişen yöntemleri, bireyler ve kurumlar için ciddi riskler taşıyor. Kullanıcıların güvenlik yazılımları kullanmalarını, sürekli güncel kalmalarını ve şüpheli bağlantılardan kaçınmalarını öneriyoruz. Özellikle, sosyal mühendislik saldırılarına karşı tetikte olunması büyük önem taşıyor.
FileFix gibi yeni tekniklerin ortaya çıkması, siber güvenlik uzmanlarının da sürekli olarak kendilerini güncellemelerini ve yeni yöntemlere karşı hazırlıklı olmalarını zorunlu kılıyor. Unutmamak gerekir ki, her zaman dikkatli olmak, siber saldırıların etkisini azaltmanın en etkili yoludur.
