Spirals Fidye Yazılımı: 24 Saatte Ağınızı Ele Geçiren Yeni Tehdit Siber Güvenlik

Spirals Fidye Yazılımı: 24 Saatte Ağınızı Ele Geçiren Yeni Tehdit

Spirals fidye yazılımı, 24 saatten kısa sürede kurumsal ağlara sızıyor, veri çalıyor ve dosyaları şifreliyor. Symantec raporuna göre bu yeni tehdit, ö

Siber güvenlik dünyası, yeni bir fidye yazılımı türü olan Spirals ile çalkalanıyor. Symantec Tehdit Avı Ekibi'nin raporuna göre, Spirals adlı bu yeni tehdit aktörü, bir kurumsal ağı sıfırdan ele geçirip veri çalma ve şifreleme işlemini 24 saatten kısa bir sürede tamamlayabiliyor. Saldırı, Haziran ayında Güney Asya'da faaliyet gösteren bir IT hizmet firmasını hedef aldı ve saldırganlar, internete açık bir IIS sunucusundaki güvenlik açığını kullanarak sisteme sızdı. Bu hızlı ve etkili saldırı yöntemi, fidye yazılımı tehditlerinin ne kadar evrildiğini gözler önüne seriyor.

Saldırının başlangıç aşaması oldukça klasik: Saldırgan, güvenlik açığı bulunan bir IIS sunucusuna sızarak ASP.NET web shell yükledi. Ancak asıl dikkat çekici olan, sonraki adımların hızı ve karmaşıklığı. Saldırgan, User Account Control (UAC) korumasını aşarak Remote Desktop'ı etkinleştirdi ve kalıcı erişim için yerel bir hesap oluşturdu. Ardından, SAM kayıt defteri ve LSASS işlem belleğini dökümleyerek kimlik bilgilerini ele geçirmeye çalıştı. Bu teknikler, saldırganın ne kadar deneyimli olduğunu ve hedef ağda hızlıca kök salmayı hedeflediğini gösteriyor.

Symantec araştırmacıları, tehdit aktörünün güvenlik yazılımlarını devre dışı bırakmaya çalıştığını, WMI kullanarak bir düzineden fazla sisteme yanal hareket ettiğini ve revsocks, Chisel ile Cloudflare tünelleri gibi araçlarla yedekli uzaktan erişim kanalları oluşturduğunu tespit etti. Bir PowerShell yükü, Microsoft Defender'ı devre dışı bırakarak tehdit tanımlarını sildi ve Veeam, VMware, Hyper-V, SQL Server, Oracle, PostgreSQL gibi 23 yedekleme, veritabanı ve sanallaştırma ürünüyle ilişkili servisleri durdurdu. Bu hazırlık, şifreleme aşaması öncesinde kurtarma seçeneklerini tamamen ortadan kaldırmayı amaçlıyordu.

Detaylar ve Etkileri

Spirals yükünün (bitsadmin.exe) dağıtımı, ilk ihlalden 24 saatten kısa bir süre sonra gerçekleşti. Symantec raporuna göre, saldırgan, PsExec'i SYSTEM olarak çalıştırarak fidye yazılımını ağ genelinde yaydı. Yükün bitsadmin.exe olarak adlandırılması, Windows'un meşru Background Intelligent Transfer Service (BITS) aracı gibi görünme amacı taşıyordu. Spirals, Rust programlama diliyle yazılmış bir fidye yazılımı ailesi olup, AES-128 anahtarlarını saldırgan kontrolündeki ECDH P-256 açık anahtarıyla koruyor. 5 MB'den büyük dosyalar için aralıklı şifreleme kullanarak süreci hızlandırıyor.

Uzmanların Görüşleri

Şifrelenen cihazlarda C: sürücüsüne RECOVERY_SECTION.log adlı bir fidye notu bırakılıyor. Notta, fidye ödenmediği takdirde çalınan verilerin altı gün içinde kamuya ifşa edileceği tehdidi yer alıyor. Symantec, şu ana kadar Spirals'i yalnızca tek bir vakada gözlemlemiş olsa da, bu yeni ailenin geniş çaplı siber suç operasyonları için mi yoksa yalnızca bu belirli IT hizmet firmasına yönelik özel bir yük mü olduğu henüz net değil. Ancak saldırının hızı ve karmaşıklığı, Spirals'in ciddi bir tehdit olduğunu gösteriyor.

Sonuç ve Değerlendirme

Bu tehdide karşı korunmak için kuruluşların, internet'e açık IIS sunucularını düzenli olarak güncellemesi, güçlü erişim kontrolleri uygulaması ve ağ segmentasyonu ile yanal hareketi sınırlaması kritik önem taşıyor. Ayrıca, UAC ve RDP gibi servislerin yönetimi, güvenlik yazılımlarının devre dışı bırakılmasını engelleyecek politikalar ve düzenli yedekleme stratejileri de hayati rol oynuyor. Symantec raporu, Spirals saldırısında kullanılan ağ göstergeleri ve dosya hash'lerini içeriyor; bu bilgiler, savunma ekiplerinin tehdidi erken tespit etmesine yardımcı olabilir. Siber güvenlik uzmanları, Spirals gibi hızlı hareket eden fidye yazılımlarına karşı proaktif bir duruş sergilenmesi gerektiğini vurguluyor.

Kaynak: bleepingcomputer.com

Paylaş: