Tehdit ve Fırsatlar: Scattered Spider’ın Ransomware Saldırıları
Son yıllarda siber suçlar, özellikle ransomware saldırıları, dünya genelinde büyük bir endişe kaynağı haline geldi. Bu bağlamda, Scattered Spider olarak bilinen savaşçı grubu, VMware ESXi hipervizörlerini hedefleyen yenilikçi ve karmaşık saldırılar düzenlemekte. Kuzey Amerika‘da özellikle perakende, havayolu ve ulaşım sektörlerine yönelik bu saldırılar, siber güvenliği tehdit eden yeni bir boyut kazandırıyor.
Saldırıların Stratejisi: Sosyal Mühendislik ve Hedefli Operasyonlar
Google’ın Mandiant ekibinin detaylı analizine göre, Scattered Spider’ın kullandığı yöntemler, yazılım açıklarına dayanmak yerine kanıtlanmış bir oyun kitabına dayanmaktadır. Bu gruptaki aktörler, agresif, yaratıcı ve sosyal mühendislikte oldukça yetenekli. Olumsuz durumlarla karşılaşmadan geçerli güvenlik programları tarafından geçilebilen tasarımlar üzerinde çalışmakta. Bunun nedeni, bu gruptaki saldırıların rastgele olmaktan ziyade, belirli bir hedefe odaklanan operasyonlar olmasıdır.
Scattered Spider, zaman zaman 0ktapus, Muddled Libra, Octo Tempest ve UNC3944 gibi isimlerle de anılmakta. Bu gruptaki siber suçlular, hedeflerin sistemlerine erişim sağlamak için gelişmiş sosyal mühendislik taktikleri kullanmakta ve ardından yönetim sistemlerine sızmayı başarmaktadır. Active Directory kontrolü elde edildiğinde, VMware vSphere ortamına geçiş yaparak, veri sızıntısı ve ransomware dağıtımı için etkili bir yol haritası sunmaktadırlar.
Saldırı Zinciri: Beş Aşama
Scattered Spider’ın saldırı zinciri beş belirgin aşamadan oluşmakta:
İlk Sızma: İlk olarak, tüm gerekli bilgilere ulaşmak için hedef kurumun IT dokümanları, destek kılavuzları ve organizasyon şemaları gibi bilgilere erişirler. Bu aşamada, hedefledikleri yüksek değerli yönetici şahsiyetin kimliğini taklit ederek parola sıfırlama talebinde bulunmak için IT yardım masasıyla iletişime geçerler.
Sanal Ortama Geçiş: Scattered Spider, Active Directory ile ilişkili olan vSphere kimlik bilgilerini kullanarak VMware vCenter Server Appliance (vCSA) erişimi kazanır. Bu aşamada, kalıcı ve şifreli bir ters shell oluşturulmakta, böylece güvenlik duvarı kurallarını aşacak bir geçiş sağlanmaktadır.
SSH Bağlantılarının Etkinleştirilmesi: ESXi sunucularında SSH bağlantıları aktive edilmekte ve kök parolaları sıfırlanmakta. Bu, NTDS.dit Active Directory veritabanını almak için uygulanan “disk-swap” saldırısının gerçekleştirilmesiyle sonuçlanmaktadır. Bu süreçte, bir Domain Controller sanal makinesi kapatılmakta ve diski kontrol altında olan başka bir VM’ye bağlanmaktadır.
Yedeklemelerin Bozulması: Elde edilen erişim ile yedek alma işlerinin, anlık görüntülerin ve yedekleme havuzlarının silinmesi yoluyla kurtarma imkanları engellenmektedir.
Ransomware Dağıtımı: Geçmişte elde edilen SSH erişimini kullanarak kendi ransomware binary’lerini ortamda (SCP/SFTP üzerinden) yaymakta.
Aşırı Hız ve Gizlilik: Ransomware Saldırılarının Özellikleri
Google’a göre, UNC3944’ün kullandığı yöntemlerin savunma stratejileri açısından köklü bir değişim gerektirdiği belirtiliyor. Geleneksel Windows ransomware saldırılarından farklı olarak, bu saldırıların iki belirgin özelliği bulunmaktadır: hız ve gizlilik. Bu tür saldırıların toplam süreci, saldırganların ilk erişiminden veri sızıntısına ve nihai ransomware dağıtımına kadar birkaç saat içerisinde gerçekleşebilmektedir.
Palo Alto Networks’ın Unit 42 raporuna göre, Scattered Spider, sadece sosyal mühendislikteki becerileriyle değil, aynı zamanda DragonForce (kısaca Slippery Scorpius) ransomware programı ile de iş birliği yaparak, iki günlük bir süreçte 100 GB’tan fazla veriyi dışarıya aktarabilen bir yapıdadır.
Önerilen Koruma Katmanları
Böyle tehditlerle başa çıkmak için kuruluşların üç katmanlı koruma stratejileri geliştirmeleri önerilmektedir:
- vSphere kilitleme modu etkinleştirilmeli, execInstalledOnly uygulanmalı ve vSphere VM şifrelemesi kullanılmalıdır. Eski sanal makineler devre dışı bırakılmalı ve IT yardım masası güçlendirilmelidir.
- Phishing-e karşı dayanıklı çok faktörlü kimlik doğrulama (MFA) uygulamakta, kritik kimlik altyapısını izole etmekte ve kimlik doğrulama döngülerinden kaçınılmalıdır.
- Anahtar loglar merkezi hale getirilmeli, yedeklemeler üretim Active Directory’den izole edilmeli ve sahtecilik yapılmış bir yöneticiden erişime kapatılmalıdır.
Bu tür stratejiler, siber güvenlik altyapısını güçlendirecek ve olası saldırılara karşı organizasyonları koruyacaktır.
