Spirals Fidye Yazılımı: Hedef Sistemleri 24 Saatten Kısa Sürede Ele Geçiriyor Dünya Geneli

Spirals Fidye Yazılımı: Hedef Sistemleri 24 Saatten Kısa Sürede Ele Geçiriyor

Spirals fidye yazılımı, Güney Asya'daki bir BT şirketine saldırarak 24 saat içinde verileri çaldı ve ağı şifreledi.

Symantec Threat Hunter Ekibi'nin raporuna göre, daha önce bilinmeyen Spirals fidye yazılımı, geçen ay Güney Asya'da bir BT hizmetleri şirketine saldırdı. Saldırganlar, ilk erişimden veri hırsızlığına ve ağı şifrelemeye kadar sadece 24 saatten kısa bir sürede hareket etti. Bu hızlı saldırı, siber güvenlik dünyasında endişe yarattı.

Spirals, Rust programlama diliyle yazılmış ve her dosya için ayrı bir AES-128 anahtarı kullanarak şifreleme yapıyor. Bu anahtarlar, saldırgan tarafından kontrol edilen bir ECDH P-256 açık anahtarıyla sarılıyor. 5 MB'den büyük dosyalar, şifrelemeyi hızlandırmak için parçalara ayrılıyor. Kurbanlara, RECOVERY_SECTION.log adlı bir fidye notu bırakılıyor ve ödeme yapılmazsa çalınan verilerin altı gün içinde sızdırılacağı tehdidiyle bir Tor müzakere sitesine yönlendiriliyor.

Saldırganlar, ilk erişimi internet'e açık bir IIS web sunucusunu ele geçirerek ve bir ASP.NET web shell yükleyerek sağladı. Ardından, IIS worker process üzerinden komutlar çalıştırarak etkileşimli bir oturum açtılar. Kullanıcı Hesabı Denetimi'ni (UAC) atlayarak yetki yükselttiler, Uzak Masaüstü Protokolü'nü (RDP) etkinleştirdiler ve kalıcı erişim için yerel bir hesap oluşturdular.

Sonuç ve Değerlendirme

Yetkilerini artırdıktan sonra, Güvenlik Hesap Yöneticisi (SAM) bilgilerini parola korumalı bir arşive dökerek kimlik bilgilerini topladılar. WMI tabanlı yanal hareket sırasında, rundll32.exe ve comsvcs.dll kullanarak birden çok makinede LSASS işlem belleğini boşalttılar. Çoklu iletişim hatlarını sürdürmek için, Chisel tünelleme aracının chrome.exe adlı kopyası ve Cloudflare Tunnel istemcisi ile ters SOCKS proxy kurdular. Bazı araçlar, temel dosya türü filtrelemesini atlatmak için .jpg dosya uzantılarıyla harici olarak barındırıldı.

Teknik Analiz

Operatörler, SYSTEM olarak çalışan PsExec kullanarak aynı PowerShell yükünü uzun bir ana bilgisayar listesine itti. Yaklaşık yarım saat boyunca her birkaç saniyede bir yeni hedeflere saldırdılar. Yük, Windows Defender'ı devre dışı bıraktı ve Veeam, VMware, Hyper-V, SQL Server, Oracle, PostgreSQL gibi 23 yedekleme, veritabanı ve sanallaştırma ürününe ait hizmetleri durdurdu. Böylece fidye yazılımının dosyaları şifrelemesinin önü açıldı.

Symantec, şu ana kadar bu fidye yazılımını yalnızca bir kurban ağında gördüklerini ancak yetenekleri ve gizliliği nedeniyle arkasındaki aktörlerin daha geniş çaplı kampanyalar başlatabilecek deneyimli operatörler olduğunu belirtti. Şirket, kuruluşların kendi ortamlarını kontrol etmeleri için saldırıya ait tehlike göstergelerini (IoC) paylaştı. Bu hızlı ve karmaşık saldırı, siber güvenlik ekiplerinin hazırlıklı olması gerektiğini bir kez daha gösteriyor.

Kaynak: helpnetsecurity.com

Paylaş: