Sophos, Birden Fazla Fidye Çetesinin Aynı Anda Aynı Hedefe Saldırdığını Tespit Etti

Saldırıya uğrayan şirketin dosyaları üç kez arka arkaya şifrelenirken, şirkete üç ayrı fidye notu bırakıldı.

Yeni nesil siber güvenliğin lideri Sophos, Sophos X-Ops güvenlik ekibi tarafından hazırlanan ve “Multiple Attackers: A Clear and Present Danger” başlığıyla yayınlanan yeni raporunda Hive, LockBit ve BlackCat fidye yazılımlarının eş zamanlı olarak aynı hedefe saldırdığı bir vakaya dikkat çekti. Söz konusu saldırılardan ilk ikisi iki saat içinde gerçekleşirken, üçüncü saldırı ilk saldırıdan iki hafta sonra gerçekleşti. Saldırı bazı dosyaların üç kez üst üste şifrelenmesine neden olurken, fidye yazılımı çetelerinin her biri fidye taleplerine dair ayrı birer not bıraktı.

Sophos Kıdemli Güvenlik Danışmanı John Shier, bu ilginç vakaya dair şunları söyledi:

“Şirketler için bir fidye notuyla bile karşılaşmak yeterince can sıkıcıyken, üç fidye yazılımı çetesinin eş zamanlı saldırısına uğramak adeta bir kabusa karşılık geliyor. Birden çok saldırgan ağdaki dosyaları üst üste şifrelediğinde, bu durum kurtarma aşamasında yaşanacak karmaşayı apayrı bir seviyeye taşıyor. Tehdit önleme, tespit ve müdahaleyi içeren siber güvenlik çözümlerinin her büyüklükte ve sektördeki kuruluşlar için kritik öneme sahip olduğunu ısrarla yineliyoruz. Hiçbir şirket bu tehditten muaf olmadığını unutmamalı.”

Siber Saldırganlar Arası Rekabet Zemin Değiştiriyor

Raporda ayrıca kripto madencilerin, uzaktan erişim sağlayan Truva atlarının ve botların dahil olduğu diğer eş zamanlı siber saldırı örnekleri de yer aldı. Geçmişte birden fazla saldırgan aynı sistemi hedef aldığında, bu saldırılar genellikle aylar veya yıllar içinde gerçekleşiyordu. Sophos’un incelemesinde yer alan saldırılar ise ilk saldırıdan günler veya haftalar sonra, bir vakada ise eşzamanlı olarak gerçekleşti.

Suç gruplarının değerli kaynaklara erişim için yarış halinde olması, genellikle birden fazla saldırganın aynı anda çalışmasını zorlaştıran bir durum. Örneğin kripto madenciler ilk iş olarak aynı sistem içinde buldukları rakiplerini devre dışı bırakmaya odaklanıyorlar. Ancak her üç fidye yazılımı grubunu içeren saldırıda sisteme bulaşan son fidye yazılımı grubu olan BlackCat, sadece kendi etkinliğinin izlerini silmekle kalmayıp LockBit ve Hive etkinliğine dair kanıtları da ortadan kaldırma yoluna gitti. Bir diğer vakada sisteme bulaşan LockBit fidye yazılımının bıraktığı arka kapı, yaklaşık üç ay sonra Conti ile bağları olduğu bildirilen Karakurt Team üyelerinin sisteme girişi sırasında kullanıldı.

Shier, şunları kaydetti:

“Fidye yazılımı grupları birbirlerine açıkça düşmanmış gibi görünmüyor. Hatta LockBit, Sophos’un teknik incelemesinde belirtildiği üzere bağlı kuruluşların diğer rakiplerle çalışmasını engellemiyor. Bunlar arasında işbirliği olduğuna dair açık bir kanıta sahip değiliz. Bu durum, saldırganların giderek daha rekabetçi hale gelen bu pazarda sınırlı kaynaklar için verdiği mücadelenin bir sonucu olabilir. Belki de hedef üzerinde daha fazla baskı oluşturduklarında ödeme yapma ihtimalinin artacağına inanıyorlar veya aralarında bir karşılıklı fayda anlaşması var. Şimdilik ortamın farklı grupların çoklu saldırılarına açık olduğunu gözlemliyoruz. Ancak bir noktada bu grupların işbirliğine nasıl bakacakları hakkında karar vermeleri gerekecek. Birbirlerine daha fazla mı kucak açacaklar, daha mı rekabetçi olacaklar?”

Saldırılar Daha Çok Yama Uygulanmamış Sistem Açıkları ve RDP Aracılığıyla Gerçekleşiyor

Teknik incelemede vurgulanan saldırılara yönelik öncü enfeksiyonların çoğu ve en dikkat çekici olanlardan bazıları Log4Shell, ProxyLogon ve ProxyShell olmak üzere yama uygulanmamış güvenlik açıkları veya kötü yapılandırılmış, güvenli olmayan Uzak Masaüstü Protokolü (RDP) sunucuları aracılığıyla gerçekleşti. Birden fazla saldırganın dahil olduğu vakaların çoğunda, kurbanlar ilk saldırıyı etkili bir şekilde düzeltemedi ve gelecekteki siber suç faaliyetleri için kapıyı açık bıraktı. Bu durumlarda benzer RDP yanlış yapılandırmalarının yanı sıra RDWeb veya AnyDesk gibi uygulamalar, takip eden saldırılar için kolayca istismar edilen araçlar haline geldi. Açık olduğu bilinen RDP ve VPN sunucuları, dark web üzerinde satılan en popüler listeler arasında yer alıyor.

Shier, “En son Active Adversary Playbook raporumuzda yer aldığı üzere Sophos, kuruluşların aynı anda birden fazla saldırıya maruz kaldığını görmeye başladı ve bunun büyüyen bir trend olabileceğini dikkat çekti. Çoklu saldırıların artış hâlâ anekdot niteliğindeki kanıtlara dayansa da, istismar edilebilir sistemlerin mevcudiyeti siber suçlulara bu yönde ilerlemeye devam etmek için bolca fırsat veriyor” diye konuştu.

Siber suç ekosistemine yakından bakan ve sistemleri bu tarz saldırılara karşı korumak için uygulanabilecek tavsiyeleri de içeren raporun tamamına “Multiple Attackers: A Clear and Present Danger“ bağlantısından ulaşabilirsiniz.