Yeni bir fidye yazılımı operasyonu, eski moda fidye yazılımı saldırıları gerçekleştiriyor ve hızlı ödemeler elde etmek için verileri sanal ortamlara kilitliyor.
Arctic Wolf’tan araştırmacılar “Sis” adını verdikleri grubu ilk kez 2 Mayıs’ta fark etti. yeni yayınlanan bir rapora göre. 23 Mayıs’a kadar Fog, nispeten standart fidye yazılımı saldırıları gerçekleştirdi: sanallaştırma ortamlarında depolanan verilere hızlı bir şekilde sızıp şifreledi, bir fidye notu bıraktı, ancak hiçbir şeyi dışarı sızdırmadı.
Fog’un TTP’leri
Sis saldırıları genellikle çalınan sanal özel ağ (VPN) kimlik bilgileriyle başlar. giderek daha popüler hale gelen ilk erişim araçları büyük organizasyonlara dönüştü. Grup şu ana kadar Arctic Wolf’un isim vermeyi reddettiği iki farklı VPN ağ geçidi sağlayıcısından yararlandı.
Örneğin bir durumda Sis karma geçti Hedefinin ağındaki yönetici hesaplarının güvenliğini ihlal etmek. Daha sonra bu hesapları kullanarak Hyper-V hypervisor ve Veeam veri koruma yazılımını çalıştıran Windows sunucularıyla uzak masaüstü protokolü (RDP) bağlantısı kurdu.
Diğer yaygın Fog taktikleri, teknikleri ve prosedürleri (TTP’ler), kimlik bilgileri doldurmayı, yerel Windows’u ve Metasploit ve PsExec gibi açık kaynak araçlarını kullanmayı, Windows Defender’ı devre dışı bırakmayı ve kurbanlarla iletişim kurmak için Tor’u kullanmayı içerir.
aksine son trendler, Fog şifrelediği verilere sızmaz. Sızıntı bölgesini çalıştırmaz, gerçekleştirmez çift veya üçlü gaspveya buna benzer bir şey. Araştırmacılar, “İlk izinsiz giriş ile şifreleme arasındaki kısa süre göz önüne alındığında, tehdit aktörleri daha karmaşık bir saldırı yerine hızlı bir ödemeyle daha çok ilgileniyor gibi görünüyor” dedi.
Sisin Arkasını Görmek
Fog şu ana kadar yalnızca ABD’deki kuruluşları hedef aldı. Bildirilen her beş saldırıdan dördü eğitim sektöründen gerçekleşti, geri kalanı ise eğlence sektörlerine yayıldı.
Arctic Wolf’un DFIR başkan yardımcısı Kerri Shafer-Page, nispeten amatör bir grubun özellikle eğitimi hedef almasının şaşırtıcı olmadığını söylüyor.
“Siber söz konusu olduğunda eğitime genellikle yeterince fon sağlanmıyor ve personel yetersiz. Yaz tatillerini ve personel alma modelini düşündüğünüzde, genellikle çok küçük BT departmanları var. Bu, saldırganlar için mükemmel bir fırsat” diyor.
Bu eksikliklerden bazılarını açıklamak için Shafer-Page şöyle diyor: “Çalışanların kimlik bilgilerini nasıl yönettiklerini anlamaları gerekiyor. Bu tehdit aktörleri yanlara doğru hareket etmenin ve ayrıcalıklarını yükseltmenin bir yolunu arıyor. Ayrıcalıklarını yükselttikten sonra oyun biter. Kraliyet mücevherlerine girebilirler.”
