Storm-0501: Bulut Ortamlarındaki Tehditler ve Stratejileri
Son yıllarda, siber güvenlik alanında dikkat çeken en büyük tehditlerden biri, finansal amaçlarla hareket eden siber suç gruplarıdır. Bu gruplardan biri, ilk kez Microsoft tarafından tanıtılan Storm-0501‘dir. Bu grup, bulut ortamlarında veri sızdırma ve zorla fidye talep etme saldırılarını hedef alarak, geleneksel ransomware yöntemlerinden köklü bir değişime gittiğini gösteriyor.
Ransomware’in Evrimi
Geleneksel on-premises ransomware saldırılarında, saldırganlar genellikle zararlı yazılımlar kullanarak kritik dosyaları şifreler ve çözüm anahtarı için müzakere yaparlar. Storm-0501 ise, bulut tabanlı bir yaklaşım benimseyerek, bu süreci bambaşka bir boyuta taşıyor. Bulut yerel yeteneklerden yararlanarak büyük veri hacimlerini hızlıca çıkaran ve verileri ve yedekleri yok eden saldırganlar, fidye taleplerini de yine geleneksel yöntemlerden bağımsız bir şekilde yapmaktadır.
Microsoft’un yaptığı araştırmalara göre, Storm-0501, özellikle hükümet, üretim, ulaşım ve hukuk alanlarındaki hedeflere yönelik hibrit bulut ransomware saldırılarını geliştirmiştir. Böylece, saldırılarında on-premises’tan bulut ortamına geçiş yaparak, veri sızdırma, kimlik avı ve ransomware dağıtımını daha verimli hale getirmiştir.
Saldırı Stratejileri ve Teknikleri
Storm-0501’in saldırı orgcerteşorları, genellikle ilk erişim sağlama aşamasında yetki yükseltme ve alan yöneticisi olma süreçlerini içermektedir. Daha sonra, on-premises’tan bulut ortamına geçerek, hedefin bulut ortamını ihlal etmeye yönelik çok aşamalı bir saldırı dizisi başlatmaktadır. Bu aşamalar arasında kalıcılık sağlama, veri sızdırma ve şifreleme süreçleri bulunmaktadır.
Başlangıç aşamaları, genellikle siber suç gruplarının ortaya koyduğu ilk erişim taktiklerini içerir. Microsoft’a göre, Storm-0501, erişim brokırları kullanarak şifrelenmiş, ele geçirilmiş kimlik bilgilerini kullanmakta veya bilinen uzaktan kod yürütme açıklarını istismar etmektedir. Örneğin, söz konusu siber saldırganlar, Evil-WinRM aracılığıyla, geniş bir ağda keşif yapmaktadırlar.
Bir Vaka İncelemesi
Son dönemlerde Storm-0501’in, çok sayıda alt işletmeye sahip büyük bir kuruluşa yönelik gerçekleştirdiği bir saldırı dikkat çekmektedir. Saldırganlar, önce keşif yaparak ağda hareket etmeye başlamış, ardından DCSync Attack adı verilen bir teknikle Active Directory’den kimlik bilgilerini çıkarmıştır. Alan denetleyicisi davranışı simüle ederek, Active Directory ortamında geçiş yapmışlardır.
Microsoft, bu süreçte Storm-0501’in, Entra Connect sunucusunu ele geçirdiğini ve farklı bir Entra ID kiracısına ve Active Directory alanına sızdığını belirtmektedir. Buna ek olarak, saldırganlar, çok faktörlü kimlik doğrulaması (MFA) korumalarından yoksun bir Global Admin hesabına erişim sağlamışlardır. Bu ortamda ele geçirilen hesap, Azure Portal’a ulaşmalarını ve kritik kaynaklar üzerinde yetkilerini arttırmalarını sağlamıştır.
Veri Sızdırma ve Fidye Talebi
Storm-0501, exfiltrasyon aşamasını tamamladıktan sonra kurban kuruluşun verilerini barındıran Azure kaynaklarını kitlesel olarak silmeye başlamıştır. Kurbanın verileri kurtarma işlemlerini gerçekleştirmesine engel olmak için bu adımı atmıştır. Verilerin başarılı bir şekilde dışarıya çıkarılmasının ardından, Storm-0501, fidye talebi aşamasına geçmiştir.
Saldırganlar, fidye taleplerini gerçekleştirmek için daha önce ele geçirmiş oldukları kullanıcı hesaplarını kullanarak Microsoft Teams aracılığıyla kurbana ulaşmışlardır. Üzerine düşen sorumlulukları yerine getirmek için Microsoft, Entra ID üzerinde değişiklikler yaparak saldırganların yetki artırmalarını engellemeyi hedeflemektedir.
Önerilen Önlemler
Microsoft, müşterilere daha fazla güvenlik sağlamak için Microsoft Entra Connect için güncellemeler yayınlamıştır. Bu güncellemeler, modern kimlik doğrulama kullanarak uygulama bazlı kimlik doğrulamasının yapılandırılmasını içermektedir. Ayrıca, Entra Connect Sync sunucularında Güvenilir Platform Modülü (TPM)’nin etkinleştirilmesi önerilmektedir. Böylece, hassas kimlik bilgileri ve kriptografik anahtarlar güvenli bir şekilde saklanabilmektedir.
Sonuç olarak, Storm-0501’in bulut ortamlarındaki ferdî saldırı teknikleri ve sürekli gelişimi, özellikle hibrit bulut uygulamalarının yaygınlaşması ile ciddi tehditler oluşturmaktadır. Bu nedenle, organizasyonların siber güvenlik stratejilerini güncellemeleri ve mevcut riskleri minimize etmeleri büyük önem taşımaktadır.
