GodDamn Fidye Yazılımı: Microsoft Onaylı Sürücüyle Güvenlik Önlemlerini Aşıyor Siber Güvenlik

GodDamn Fidye Yazılımı: Microsoft Onaylı Sürücüyle Güvenlik Önlemlerini Aşıyor

GodDamn fidye yazılımı, Microsoft imzalı kötü amaçlı sürücüyle güvenlik yazılımlarını devre dışı bırakarak kurumsal ağları hedef alıyor.

Siber güvenlik araştırmacıları, 2022'den beri kuruluşları hedef alan bir fidye yazılımı ailesinin en yeni versiyonunun, Microsoft tarafından imzalanmış kötü amaçlı sürücüler kullanarak uç nokta savunmalarını atlattığını tespit etti. Symantec uzmanları tarafından detaylandırılan GodDamn fidye yazılımı, ilk olarak Mayıs 2026'da ortaya çıktı ve kod analizi, bunun Beast fidye yazılımının en yeni sürümü olduğunu gösterdi. Beast ise 2022'de görülen Monster fidye yazılımının yeniden markalaşmış haliydi. Her üç fidye yazılımı da Hyadina olarak adlandırılan bir ailenin parçası.

9 Temmuz'da yayınlanan bir blog yazısında Symantec araştırmacıları, saldırganların 'Müzik' adlı bir klasörde gizlenmiş AnyDesk uzak masaüstü uygulamasını kullandığını ve bu uygulamanın bilinmeyen IP adreslerine giden bağlantılar kurduğunu belirtti. Araştırmacılar, saldırganların makineye ilk erişimi nasıl sağladığını bilmediklerini, ancak hesap ele geçirmenin fidye yazılımı saldırıları için yaygın bir başlangıç noktası olduğunu ifade etti.

Saldırganlar, Symantec ürünü kılığına girmiş bir yürütülebilir dosya kullanarak PoisonX adlı kötü amaçlı bir çekirdek sürücüsünü sisteme yerleştirdi. Bu sürücü, meşru bir Microsoft Windows Hardware Compatibility Publisher imzası taşıyor ve güvenlik ürünlerinin süreçlerini sonlandırarak sistem savunmasını daha da düşürüyor. İmzanın nasıl elde edildiği bilinmiyor; ancak yaygın yöntemler arasında çalıntı kurumsal kimlikler kullanmak veya meşru üçüncü taraf sürücülerden gizlice yararlanmak yer alıyor.

Teknik Analiz

Savunma düştükten sonra saldırganlar, kimlik bilgilerini, çerezleri, canlı ağ trafiğini ve daha fazlasını çalmak için NirSoft ve Mimikatz gibi araçlar yükledi. Amaç, yönetici hesapları da dahil olmak üzere makine ve geniş ağ üzerinde daha fazla kontrol sağlamaktı. Son olarak, yeterli kontrol sağlandığında GodDamn fidye yazılımı tetiklenerek dosyalar şifrelendi ve bir fidye notu görüntülendi.

Araştırmacılar, GodDamn'in Hyadina ailesinin en yeni varyantı olarak, fidye yazılımı operasyonlarının araç, taktik ve prosedürlerini nasıl geliştirmeye devam ettiğini gösterdiğini vurguluyor. Symantec ve Carbon Black tehdit avcılığı ekibi, 'GodDamn'in nispeten yeni keşfedilen PoisonX kötü amaçlı sürücü bileşenini kullanması, bu grubun savunma atlatma kabiliyetinde bir tırmanışı temsil ediyor ve Hyadina'nın fidye yazılımını ve yeteneklerini aktif olarak geliştirmeye devam ettiğini gösteriyor' dedi.

Bu saldırı, fidye yazılımı tehditlerinin giderek karmaşıklaştığını ve geleneksel güvenlik önlemlerinin yetersiz kalabileceğini ortaya koyuyor. Kuruluşların, çok katmanlı savunma stratejileri benimsemesi, düzenli güvenlik güncellemeleri yapması ve çalışanlarına siber güvenlik farkındalığı eğitimi vermesi kritik önem taşıyor. Ayrıca, imzalı sürücü saldırılarına karşı koruma sağlamak için sürücü imza doğrulama ve davranışsal analiz araçlarının kullanılması öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: