Kaspersky, Küba olarak bilinen ünlü fidye yazılımı kümesinin faaliyetlerine ilişkin yeni bir araştırma yaptığını duyurdu. Bu siber suç çetesi, yakın zamanda gelişmiş tespitten kaçan kötü amaçlı yazılımları yaymaya devam etti ve dünya çapındaki kuruluşları hedef alarak, çeşitli dallardaki ele geçirilen şirketlerin izini bıraktı.
Aralık 2022’de Kaspersky, müşterilerinden birinin sisteminde şüpheli bir olay tespit etti ve ardından üç şüpheli dosyayı ortaya çıkardı. Bu dosyalar, BUGHATCH olarak da bilinen komar65 kitaplığının yüklenmesine yol açan bir dizi eylemi tetikledi.
BUGHATCH, bellekte konuşlandırılan karmaşık bir arka kapıyı ifade eder. Bu arka kapı, çeşitli işlevler içeren Windows API’yi kullanarak, ayrılmış bellek alanında gömülü bir kabuk kodu bloğunu çalıştırır. Daha sonra bir komuta ve kontrol (C2) sunucusuna bağlanır ve sonraki talimatları bekler. Bu sayede Cobalt Strike Beacon ve Metasploit gibi yazılımları indirmek için komutlar alabiliyor. Saldırıda Veeamp’ın kullanılması Küba’nın olaya dahil olma ihtimalini artırıyor.
PDB belgesi özellikle, Rusça’da “sivrisinek” anlamına gelen “komar” klasörüne atıfta bulunuyor ve küme içinde Rusça konuşan üyelerin olası varlığını gösteriyor. Kaspersky tarafından yapılan ayrıntılı analiz, Küba kümesi tarafından dağıtılan ve kötü amaçlı yazılımın işlevselliğini artıran ek modülleri de ortaya çıkardı. Bu modüllerden biri, HTTP POST istekleri yoluyla bir sunucuya gönderilen sistem bilgilerinin toplanmasından sorumluydu.
Soruşturmasını derinleştiren Kaspersky, VirusTotal’daki Küba kümesiyle ilişkilendirilen yeni kötü amaçlı yazılım örneklerini ortaya çıkardı. Bu örneklerden bazıları diğer güvenlik sağlayıcılarının tespitinden kaçmayı başardı. Bu örnekler, antivirüs algılamasından kaçmak için şifrelenmiş bilgileri kullanan BURNTCIGAR kötü amaçlı yazılımının yinelemelerini temsil ediyor.
Kaspersky Siber Güvenlik Uzmanı Gleb İvanov, söz konusu: “Bulgularımız, en son raporlara ve tehdit istihbaratına erişmenin önemini vurguluyor. Küba gibi fidye yazılımı çeteleri gelişip taktiklerini geliştirdikçe, potansiyel saldırıları etkili bir şekilde azaltmak için kullandıkları taktiklerin önüne geçmek çok önemli. Siber tehditlerin sürekli değiştiği bir ortamda, ortaya çıkan siber tehditler suçlulara karşı en büyük savunmamız bilgi olacaktır.”
Derleme Zaman Damgasını Değiştirir!
Cuba, ek kütüphanelere ihtiyaç duymadan çalışabildiği için tespit edilmesi zor, tek dosyalı bir fidye yazılımı türü olarak öne çıkıyor. Rusça konuşulan bu küme, perakende, finans, lojistik, hükümet ve imalat gibi sektörleri hedef alan Kuzey Amerika, Avrupa, Okyanusya ve Asya’daki geniş erişimiyle biliniyor. Kamuya açık ve özel araçların bir karışımını kullanır, araç setlerini düzenli olarak günceller ve BYOVD (Kendi Savunmasız Sürücünüzü Getirin) gibi taktiklerden yardım alır. Operasyonların ayırt edici özelliklerinden biri, araştırmacıları yanıltmak için oluşturma zaman damgalarını değiştirmektir.
Örneğin, 2020’de bulunan bazı örneklerin derleme tarihi 4 Haziran 2020 iken, daha yeni sürümlerdeki zaman damgaları 19 Haziran 1992’den itibaren gösteriliyor. Kümenin benzersiz yaklaşımları yalnızca verileri şifrelemeyi değil, aynı zamanda hassas verileri elde edecek şekilde saldırıları uyarlamayı da içeriyor. mali belgeler, banka kayıtları, şirket hesapları ve kaynak kodu gibi bilgiler. Yazılım geliştirme şirketleri özellikle risk altındadır. Küme dinamik yapısını korumakta ve tekniklerini sürekli geliştirmektedir.
Raporun tamamına Securelist.com adresinden ulaşabilirsiniz.
Kaspersky, kuruluşlarınızı fidye yazılımlarına karşı korumaya yardımcı olacak en iyi uygulamaları şu şekilde listeliyor:
-
Saldırganların güvenlik açıklarından yararlanmasını ve ağınıza sızmasını önlemek için kullandığınız tüm cihazlarda yazılımı her zaman güncel tutun.
-
Savunma stratejinizi yanal hareketleri ve internete veri sızıntısını tespit etmeye odaklayın. Siber suçluların ağınıza olan bağlantılarını tespit etmek için giden trafiğe özellikle dikkat edin. Davetsiz misafirlerin kurcalayamayacağı çevrimdışı yedeklemeler oluşturun. Gerektiğinde veya acil bir durumda bunlara hızlı bir şekilde erişebildiğinizden emin olun.
-
Tüm uç noktalar için fidye yazılımı korumasını etkinleştirin. Bilgisayarları ve sunucuları fidye yazılımlarına ve diğer kötü amaçlı yazılım türlerine karşı koruyan, kötüye kullanımları önleyen ve önceden yüklenmiş güvenlik çözümleriyle uyumlu olan ücretsiz Kaspersky Anti-Ransomware Tool for Business’ı kullanabilirsiniz.
-
Anti-APT ve EDR analizlerini kurarak gelişmiş tehdit tespiti ve tespiti, araştırması ve olayların zamanında giderilmesi için gereken yetenekleri ortamınıza getirin. SOC ekibinizin en son tehdit istihbaratına erişmesini sağlayın ve profesyonel eğitimlerle grubunuzun becerilerini düzenli olarak artırın. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, Kaspersky grubunun 20 yılı aşkın süredir topladığı siber saldırı verilerini ve öngörülerini sağlayan, tehdit istihbaratı için tek bir ortak erişim noktasıdır. Kaspersky, işletmelerin bu zor zamanlarda etkili savunmalar sağlamasına yardımcı olmak için devam eden siber saldırılar ve tehditler hakkında bağımsız, her zaman güncellenen ve küresel kaynaklı bilgilere ücretsiz erişimi duyurdu. Teklife buradan erişim talebinde bulunabilirsiniz.
Kaspersky hakkında
Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıyı, hükümetleri ve tüketicileri korumaya yönelik sürekli olarak yenilikçi çözümlere ve hizmetlere dönüşmektedir. Şirketin kapsamlı güvenlik portföyü, gelişmiş ve gelişen dijital tehditlerle mücadele etmek için önde gelen uç nokta korumasını, özel güvenlik yapılarını ve hizmetlerini ve Siber Bağışıklık çözümlerini içerir. 400 milyondan fazla kullanıcı Kaspersky teknolojileri tarafından korunuyor ve şirket, 220.000’den fazla kurumsal müşterinin kendileri için en değerli olanı korumasına yardımcı oluyor. Kaspersky.com’da daha fazla bilgi edinin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
