Ransomware Gangs ve Skitnet Malware
Son yıllarda siber güvenlik tehditleri hızla artarken, özellikle ransomware (fidye yazılımı) grupları, çeşitli yeni ve etkili araçlar geliştirerek bu tehditleri daha da artırmaktadır. Skitnet adı verilen yeni bir malware (kötü yazılım), bu grupların saldırı yöntemlerini gizli bir şekilde yürütmelerine yardımcı olmak için tasarlanmıştır. İlk olarak Nisan 2024’te yeraltı forumlarında satışa sunulan Skitnet, 2025’in başlarından itibaren ransomware grupları arasında önemli bir popülarite kazanmıştır.
Skitnet’in Kısa Tarihçesi
Prodaft araştırmacıları, Skitnet’in gerçek dünya saldırıları sırasında birçok ransomware operasyonu tarafından kullanıldığını gözlemlemiştir. Özellikle, BlackBasta ve Cactus gibi grupların, Microsoft Teams üzerinden phishing (oltalama) saldırıları düzenlerken bu malware’i kullandıkları bildirilmiştir. Skitnet, gelişmiş özellikleri sayesinde siber suçlular için cazip bir araç haline gelmiştir.
Gizli ve Güçlü Arka Kapı
Skitnet enfeksiyonu, hedef sistemde Rust tabanlı bir loader (yükleyici) ile başlar. Bu yükleyici, ChaCha20 ile şifrelenmiş bir Nim ikili dosyasını deşifre eder ve bellek üzerinde çalıştırır. Nim yüklemesi, komut ve kontrol (C2) sunucusu ile iletişim kurmak için DNS tabanlı bir ters kabuk (reverse shell) oluşturur.
Skitnet’in İletişim Süreci
Skitnet, başlangıçta rasgele DNS sorguları ile C2 sunucusuna bağlanır. İletişim süreci, birkaç farklı iş parçacığı aracılığıyla yürütülür. Bu iş parçacıkları, sistemin durumunu izlemek, şifre çözme talimatlarını beklemek ve düzenli olarak kalp atışı DNS istekleri göndermek gibi işlemleri yerine getirir.
C2 Kontrol Paneli ve Komutlar
Skitnet’in C2 paneli, operatörlere hedef sistemin IP’sini, konumunu ve durumunu görüntüleme olanağı sağlar. Kullanıcılar, aşağıdaki komutları çalıştırabilir:
- startup: Sistem açıldığında kalıcılık sağlar; üç dosya indirir ve bir Asus yürütülebilir dosyasına kısayol oluşturur.
- Screen: Hedefin masaüstünün ekran görüntüsünü alır, Imgur’a yükler ve URL’yi C2 sunucusuna gönderir.
- Anydesk: Arka planda AnyDesk programını indirir ve yükler.
- Shell: PowerShell komut döngüsü başlatır ve sunucudan yeni komutlar almak için her 5 saniyede bir sorgu yapar.
- Av: Yüklenmiş antivirüs ve güvenlik yazılımını sorgular ve sonuçları C2 sunucusuna gönderir.
Bu komutlar, operatörlerin hedef sistemler üzerinde daha fazla kontrol ve özelleştirme imkanı sunar.
Neden Skitnet?
Ransomware grupları genellikle özel geliştirilmiş araçlar kullanmayı tercih etse de, bu araçların geliştirilmesi zaman alıcı ve maliyetli olabilmektedir. Skitnet gibi hazır bir kötü yazılım kullanmak, daha hızlı bir dağıtım süreci sağlarken aynı zamanda atıf yapmayı da zorlaştırır. İşte bu yüzden, birçok tehdit aktörü, Skitnet’ten yararlanmayı tercih ediyor.
Malware’in Yaygınlığı
Skitnet’in kullanımı, gelişmiş Güvenlik Zafiyetleri ve Av saldırıları için de önemli bir tehdit oluşturmaktadır. Ransomware dünyasında, hem özel araçların hem de hazır malware’lerin bir arada kullanılması yaygındır. Bu durum, siber suçluların daha geniş bir kitleye ulaşmalarını sağlamakta ve onları daha tehlikeli hale getirmektedir.
Prodaft ve İyileştirme Stratejileri
Prodaft’ın yaptığı araştırmalara göre, Skitnet ile ilgili zarar indirme (IoCs) göstergeleri GitHub üzerinde yayınlanmıştır. Bu belirti ve göstergeler, güvenlik uzmanlarının saldırıları tespit etmelerini ve önlem almalarını kolaylaştırmaktadır. Ransomware saldırılarının önlenmesi için kurumların, güvenlik yazılımlarını ve prosedürlerini sürekli olarak güncellemeleri ve iyileştirmeleri gerekmektedir.
Sonuç
Ransomware gruplarının kötü yazılım kullanma yöntemleri, siber dünyada büyük bir tehdit oluşturuyor. Skitnet gibi yeni araçlarla, bu tür gruplar daha da tehlikeli hale geliyorlar. Hem bireyler hem de şirketler, bu tür saldırılara karşı hazırlıklı olmalı ve güvenlik protokollerini güncelleyerek önlemlerini artırmalıdır.
