Kaspersky'nin yaptığı araştırmaya göre, LockBit 3.0 tabanlı fidye yazılımı, Batı Afrika'da Gine-Bissau'da meydana gelen bir saldırıda yeni bir yöntem kullanarak kurumsal ağlara sızdı ve yayıldı. Saldırganlar, yasa dışı yollarla elde edilen ayrıcalıklı sistem yöneticisi kimlik bilgilerini kullanarak fidye yazılımını kurumsal ağda kendi kendine yaymayı başardı.

Saldırıda, virüs bulaşmış ana bilgisayarlar üzerinden fidye yazılımı, ağın daha geniş bir kısmına yayıldı. Bu durum, saldırının sadece bölgesel değil, global olarak da tehdit oluşturabileceğini gösteriyor. Kaspersky'nin yaptığı analizler, saldırganların fidye yazılımını yalnızca belirli dosya türlerine veya sistemlere bulaşacak şekilde özelleştirebildiğini de ortaya koyuyor.

Tehdit Aktörü Ayrıcalıklı Kimliklere Bürünüyor

Tehdit aktörü, yasa dışı yollarla elde edilen kimlik bilgilerini kullanarak ayrıcalıklı haklara sahip bir sistem yöneticisinin kimliğine bürünüyor. Bu ayrıcalıklı hesaplar, saldırıyı yürütmek ve kurumsal altyapının en kritik bölgelerine erişim sağlamak için geniş olanaklar sunuyor.

Özelleştirilmiş fidye yazılımı, yüksek ayrıcalıklı etki alanı kimlik bilgilerini kullanarak ağ üzerinde bağımsız bir şekilde yayılabiliyor. Ayrıca, verileri şifrelemek ve izlerini silmek amacıyla Windows Defender'ı devre dışı bırakma, ağ paylaşımlarını şifreleme ve Windows Olay Günlüklerini silme gibi kötü amaçlı faaliyetlerde bulunabiliyor. Bu kötü amaçlı yazılımın davranışı, virüs bulaşan bir ana bilgisayarın, ağdaki diğer ana bilgisayarlara virüsü aktarmaya çalışmasıyla sonuçlanıyor.

Kamufle Olma Yeteneği

Özelleştirilmiş yapılandırma dosyaları sayesinde, kötü amaçlı yazılım, mağdur şirketin özel sistem yapılandırmalarına uyum sağlayabiliyor. Saldırganlar, fidye yazılımını sadece .xlsx ve .docx gibi belirli dosya türlerine veya yalnızca belirli sistemlere bulaşacak şekilde programlayabiliyor.

Kaspersky'nin yaptığı testlerde, bu özel yapılandırılmış yazılım bir sanal makine üzerinde çalıştırıldığında, kötü amaçlı eylemlerin yanı sıra masaüstünde özel bir fidye notu oluşturduğu gözlendi. Söz konusu not, gerçek bir saldırı durumunda, kurbanın şifre çözücüyü nasıl elde edeceği ve saldırganlarla iletişim kurma yöntemleri hakkında bilgi veriyor.

Kaspersky, Saldırganların Kullandığı Araçları Belirledi

Kaspersky, saldırganların etkilenen sistemlerdeki uzak bağlantılar için kayıtlı parolaları ele geçirmek amacıyla SessionGopher komut dosyasını kullandığını belirledi.

LockBit 3.0'ın Küresel Etkisi

Kendi kendine yayılma ve kimliğe bürünme yeteneği olmayan ancak sızdırılan LockBit 3.0 kurucusuna dayanan diğer saldırılar dünya genelindeki çeşitli sektörlerde ve bölgelerde, özellikle Rusya, Şili ve İtalya'da sıkça meydana gelen olaylarla saldırıların coğrafi yayılımının genişlediğini gösteriyor.

Kaspersky, Saldırılara Karşı Korunma Önerileri Sunuyor

Kaspersky, fidye yazılımı saldırılarına karşı mücadelede etkinlik sağlamak amacıyla alınması gereken önlemleri de açıkladı.

  • Güvenlik Yazılımı Kullanımı: Şirket, sağlam bir güvenlik çözümü olan Kaspersky Endpoint Security gibi programları kullanmanın ve doğru şekilde yapılandırılmasının önemini vurguluyor. Bu programlar, şüpheli aktiviteleri tespit ederek fidye yazılımlarının bulaşmasını engelleyebilir.

  • MDR Hizmetlerini Değerlendirmek: Proaktif tehdit avcılığı için Yönetilen Algılama ve Yanıt (MDR) hizmetlerini değerlendirmek de faydalı olabilir. MDR hizmetleri, şirket ağlarını sürekli olarak izleyerek tehditleri tespit edip önleme konusunda uzmanlaşmış servislerdir.

  • Saldırı Yüzeyini Azaltma: Saldırıya uğrama riskini azaltmak için kullanılmayan hizmetleri ve bağlantı noktalarını devre dışı bırakmak gerekir. Bu sayede saldırganların sisteme sızabileceği açıkların sayısı azaltılmış olur.

  • Güncel Kalmak: Kaspersky, güvenlik açığı kapatma işlemlerinin (yama) gecikmeden yapılması ve sistemlerin yazılımlarının güncel tutulmasının önemini de vurguluyor. Güncel olmayan yazılımlar, siber saldırganlar için kolay hedef haline gelebilir.

  • Düzenli Güvenlik Kontrolleri: Zayıf noktaları tespit etmek ve uygun önlemleri almak için düzenli olarak sızma testleri ve güvenlik açığı taraması yapılması öneriliyor. Bu taramalar sayesinde sistemdeki açıklardan haberdar olunarak gerekli müdahaleler yapılabilir.

Fidye yazılımlarının giderek daha gelişmiş teknikler kullanarak kurumsal ağlara sızarak büyük hasarlara yol açabildiği görülüyor. Bu nedenle şirketlerin siber güvenlik önlemlerini sıkı tutmaları ve çalışanlarını siber tehditler konusunda bilinçlendirmeleri gerekiyor.

Editör: Kazim Bozkurt