Spirals Fidye Virüsü: 24 Saat İçinde Sistemleri Ele Geçirip Verileri Şifreliyor Siber Güvenlik

Spirals Fidye Virüsü: 24 Saat İçinde Sistemleri Ele Geçirip Verileri Şifreliyor

Yeni keşfedilen Spirals fidye virüsü, Güney Asya'da bir BT firmasına 24 saat içinde sızarak verileri şifreledi.

Symantec'in Tehdit Avcılığı Ekibi tarafından tespit edilen Spirals adlı yeni bir fidye virüsü, Güney Asya'da bir BT hizmetleri şirketine düzenlenen saldırıda kullanıldı. Saldırganlar, ilk erişimi sağladıktan sonra 24 saatten kısa bir sürede verileri çaldı ve ağı şifreledi. Bu hızlı ve etkili saldırı, fidye virüsünün ne kadar tehlikeli olduğunu gözler önüne seriyor.

Spirals, Rust programlama dilinde yazılmış ve her dosya için ayrı bir AES-128 anahtarı kullanarak şifreleme yapıyor. Bu anahtarlar, saldırganın kontrolündeki bir ECDH P-256 açık anahtarı ile sarılıyor. Şifreleme hızını artırmak için 5 MB'den büyük dosyalar parçalara bölünerek şifreleniyor. Saldırının ardından kurbanlara RECOVERY_SECTION.log adlı bir fidye notu bırakılıyor ve bu notta Tor üzerinden bir müzakere sitesine yönlendirme yapılıyor. Ödeme yapılmazsa çalınan verilerin altı gün içinde sızdırılacağı tehdidi savruluyor.

Saldırganlar, ilk erişimi internet üzerinden erişilebilen bir IIS web sunucusunu hedef alarak ve bir ASP.NET web shell yükleyerek elde etti. Ardından IIS çalışan süreci üzerinden komutlar çalıştırarak etkileşimli bir oturum açtılar. Kullanıcı Hesabı Denetimi'ni (UAC) atlatarak yetkilerini yükselttiler, Uzak Masaüstü Protokolü'nü (RDP) etkinleştirdiler ve kalıcı erişim için yerel bir hesap oluşturdular.

Kimlik bilgilerini ele geçirmek için Güvenlik Hesabı Yöneticisi (SAM) kovanını parola korumalı bir arşive dökerek kullanıcı bilgilerini topladılar. Daha sonra WMI tabanlı yanal hareket sırasında, rundll32.exe ve comsvcs.dll kullanarak birden fazla makinede LSASS işlem belleğini boşalttılar. Birden fazla iletişim kanalı açık tutmak için ters SOCKS proxy, Chisel tünel aracının chrome.exe olarak gizlenmiş bir kopyası ve bir Cloudflare Tunnel istemcisi kurdular. Kullanılan bazı araçlar, temel dosya türü filtrelemesini atlatmak için .jpg dosya uzantısıyla harici olarak barındırıldı.

Sistem Güvenliği

Operatörler, SYSTEM olarak çalışan PsExec kullanarak aynı PowerShell yükünü geniş bir ana bilgisayar listesine gönderdi. Yaklaşık yarım saat boyunca her birkaç saniyede bir yeni hedeflere saldırdılar. Yük, Arka Plan Akıllı Aktarım Hizmeti ile ilişkili meşru Windows aracı bitsadmin.exe adını taşıyordu. Bu yük, Windows Defender'ı devre dışı bıraktı ve Veeam, VMware, Hyper-V, SQL Server, Oracle, PostgreSQL gibi 23 yedekleme, veritabanı ve sanallaştırma ürününe ait hizmetleri durdurdu. Böylece fidye virüsünün dosyaları şifrelemesinin önü açıldı.

Detaylar ve Etkileri

Symantec, şu ana kadar bu fidye virüsünün yalnızca bir kurban ağda görüldüğünü ancak yetenekleri ve gizliliğinin, arkasındaki aktörlerin daha geniş çaplı kampanyalar başlatabilecek yetenekli operatörler olduğunu gösterdiğini belirtiyor. Şirket, kuruluşların kendi ortamlarını kontrol etmeleri için saldırıyla ilgili tehlike göstergelerini paylaştı. Bu yeni tehdit, fidye virüslerinin giderek daha hızlı ve sofistike hale geldiğini gösteriyor.

Kaynak: helpnetsecurity.com

Paylaş: