LeakNet Ransomware: Tehlike ve Yeni Taktikler
LeakNet fidye yazılımı grubu, kurumsal ortamlara ilk erişim sağlamak için ClickFix tekniğini kullandığı ve JavaScript ile TypeScript için açık kaynak Deno çalışma zamanına dayanan bir zararlı yazılım yükleyici dağıttığı için ciddi bir tehdit oluşturmaktadır. Bu durum, siber güvenlik alanında önemli bir risk çizerken, fidye yazılımlarının evrim geçirdiğini ve daha karmaşık hale geldiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
LeakNet, ClickFix tekniğiyle kullanıcıları sahte bildirimlerle zararlı komutlar çalıştırmaya ikna ederek sistemi hedef alıyor. Bu yöntemi Termite ve Interlock gibi diğer fidye yazılım grupları da kullanmakta. LeakNet’in uyguladığı ClickFix tuzağı, Deno tabanlı bir yükleyicinin devreye girmesine ve sistem belleğinde bir JavaScript yükünün çalıştırılmasına yol açıyor.
ReliaQuest, bu tekniği “bring your own runtime” (BYOR) saldırısı olarak tanımlıyor. Deno, meşru bir JavaScript/TypeScript çalışma zamanı olduğundan, bilinmeyen ikili yürütmelere yönelik engelleme listelerini ve filtreleri aşabiliyor. Saldırganlar, daha fazla dikkat çekmemek için özelleştirilmiş bir zararlı yazılım yükleyicisi kullanmak yerine meşru Deno yürütücüsünü yükleyerek zararlı kodu çalıştırıyor.
Etkilenen Sistemler
Sistemlerdeki potansiyel etkiler arasında şunlar yer alıyor:
- DLL sideloading kullanarak jli.dll yükleme (C:ProgramDataUSOShared üzerinden Java ile)
- Komut ve kontrol (C2) ile sürekli bağlantı kurma
- Kullanıcı kimlik bilgilerini keşfeden ‘klist’ listesi oluşturma
- PsExec ile yan hareket etme
- Veri sızdırma ve yük aşaması gerçekleştirme, Amazon S3’nin kötüye kullanımı
Saldırının tekrar edilebilirliği, savunucular için algılama fırsatları sunmakta. Deno’nun geliştirme ortamları dışındaki çalıştırma durumu, şüpheli tarayıcıdan ‘misexec’ yürütmesi, anormal PsExec kullanımı ve S3’e beklenmedik dış trafik gibi belirtiler, potansiyel LeakNet aktivitelerini işaret etmektedir.
Çözüm ve Korunma
LeakNet’e karşı yapılması gereken en önemli adımlar şunlardır:
- Sistemlerinizi güncel tutun ve yazılım yamalarını düzenli olarak kontrol edin.
- Deno gibi meşru yazılımların yönetimi ve kullanımı için sıkı politikalar uygulayın.
- Ağ trafiğinizi izleyin ve beklenmedik dış bağlantıları tespit etmek için analiz yapın.
- Potansiyel zararları en aza indirmek için çalışma ortamları dışında zararlı olabilecek araçları sınırlayın.
Sonuç olarak, şirketler ve bireyler, LeakNet gibi yeni nesil fidye yazılımlarına karşı hazırlıklı olmalı ve gerekli önlemleri almalıdır. Bu, hem sistem güncellemeleri yapmayı hem de olası tehditlere karşı proaktif bir yaklaşım benimsemeyi gerektirmektedir.
