Ransomware ve Sanal Makineler Arasındaki Bağlantı
Ransomware saldırıları, kötü amaçlı yazılımların büyük ölçeklerde dağıtıldığı bir tehdit haline gelmiştir. Son araştırmalar, ISPsystem’in sanal makinelerini (VM) istismar eden bu saldırıların arttığını ortaya koymaktadır.
Saldırı Nasıl Çalışıyor?
Siber güvenlik şirketi Sophos, ‘WantToCry’ ransomware olaylarını araştırırken, kötü niyetli aktörlerin Windows VM‘lerini kullanarak saldırılarını gerçekleştirdiğini gözlemlemiştir. Araştırmalar, saldırganların ISPsystem‘in VMmanager platformu tarafından üretilen varsayılan şablonları kullandığını ve bu şablonların aynı ana bilgisayar adlarıyla tekrar tekrar dağıtıldığını göstermektedir.
Bu konu üzerinde daha fazla derinlemesine araştırma yapıldığında, aynı ana bilgisayar adlarının birden fazla ransomware operatörünün altyapısında da bulunduğu tespit edilmiştir. Bu operatörler arasında LockBit, Qilin, Conti, BlackCat/ALPHV ve Ursnif gibi gruplar, yanı sıra RedLine ve Lummar bilgi hırsızlığı kampanyaları da yer almaktadır.
Etkilenen Sistemler
ISPsystem, sanal sunucu yönetimi için kontrol panelleri geliştiren bir yazılım şirketidir. VMmanager, Windows veya Linux VM’leri oluşturmak için kullanılan sanallaştırma yönetim platformudur. Ancak, Sophos tarafından yapılan bir incelemede, VMmanager‘ın varsayılan Windows şablonlarının her dağıtımda yeniden aynı ana bilgisayar adlarını ve sistem tanımlayıcılarını kullandığı belirlenmiştir.
Bu durum, siber suç operasyonlarını destekleyen ve yıkım taleplerini görmezden gelen bulletproof hosting sağlayıcıları tarafından kötüye kullanılmaktadır. Bu sağlayıcılar, kötü niyetli aktörlerin komut ve kontrol (C2) ve payload dağıtım altyapısı için VM’ler oluşturmasına izin vermektedir.
Yaygın Olarak Kullanılan Ana Bilgisayar Adları
Araştırmalar, en yaygın kullanılan ISPsystem ana bilgisayar adlarının toplam internetle ilişkili ISPsystem sanal makinelerinin %95’inden fazlasını oluşturduğunu ortaya koymuştur. Bu ana bilgisayar adları şunlardır:
- WIN-LIVFRVQFMKO
- WIN-344VU98D3RU
- WIN-J9D866ESIJ2
Bu isimlerin hepsi, siber suç faaliyetleriyle bağlantılı müşteri tespit veya telemetri verilerinde yer almaktadır.
Çözüm ve Korunma
Sophos, VMmanager‘ın sanallanma yönetim platformu olarak meşru bir hizmet olmasına rağmen, düşük maliyeti ve hızlı uygulama kabiliyeti nedeniyle siber suçlular için cazip olduğunu belirtmektedir. Önerilen önlemler arasında şunlar yer alır:
- Mevcut sistemlerinizi ve yazılımlarınızı düzenli olarak güncelleyin.
- Güvenlik duvarı ayarlarınızı kontrol edin ve gereksiz açık portları kapatın.
- Şüpheli trafik veya aktiviteleri izlemek için güvenlik izleme sistemlerini etkinleştirin.
Sonuç olarak, işletmelerin bu tehditlere karşı proaktif bir yaklaşım benimsemesi gerekmektedir. Saldırılara karşı önlem almak ve sistemlerini sürekli güncellemeyi ihmal etmemek büyük önem arz eder.
