Spirals Fidye Yazılımı: Kurumsal Ağa 24 Saatten Kısa Sürede Sızdı Linux

Spirals Fidye Yazılımı: Kurumsal Ağa 24 Saatten Kısa Sürede Sızdı

Spirals fidye yazılımı, Güney Asya'daki bir BT firmasına 24 saatten kısa sürede sızarak veri çaldı ve ağı şifreledi. Symantec detayları açıkladı.

Yeni bir fidye yazılımı türü olan Spirals, Haziran ayında Güney Asya'da bir BT hizmetleri firmasına sızdı. Saldırı, internet üzerinde açık olan bir IIS sunucusuna yapıldı. Symantec Threat Hunter ekibine göre saldırgan, ASP.NET web shell yükleyerek hızlıca ilerledi ve 24 saat içinde veri hırsızlığı ile şifrelemeyi tamamladı.

Saldırgan, UAC'yi atlattı, Uzak Masaüstü'nü etkinleştirdi ve kalıcı erişim için yerel bir hesap oluşturdu. SAM kayıt defteri ve LSASS bellek dökümü yaparak kimlik bilgilerini toplamaya çalıştı. Ayrıca WMI kullanarak 10'dan fazla sisteme yanal hareket etti ve revsocks, Chisel, Cloudflare tünelleri ile yedek erişim kanalları kurdu.

PowerShell ile Microsoft Defender devre dışı bırakıldı, tehdit tanımları silindi ve Veeam, VMware, Hyper-V, SQL Server, Oracle, PostgreSQL gibi 23 yedekleme, veritabanı ve sanallaştırma ürününün hizmetleri durduruldu. Bu hazırlıklar, şifreleme aşamasına geçişi kolaylaştırdı.

Önemli Gelişmeler

Spirals yükü (bitsadmin.exe), ilk ihlalden 24 saatten kısa sürede PsExec ile SYSTEM yetkisinde dağıtıldı. Bu dosya, Windows'un Background Intelligent Transfer Service aracını taklit ediyor. Spirals, Rust tabanlı ve AES-128 anahtarları ile ECDH P-256 açık anahtar kullanıyor; 5MB'den büyük dosyalarda aralıklı şifreleme yaparak hızı artırıyor.

C: sürücüsünde RECOVERY_SECTION.log adlı fidye notu bırakılıyor ve 6 gün içinde ödeme yapılmazsa çalınan verilerin ifşa edileceği tehdidi yapılıyor. Symantec, şimdilik yalnızca bir vaka gözlemledi; bu fidye yazılımının genel bir tehdit mi yoksa hedefli bir saldırı için özel mi oluşturulduğu belirsiz.

Symantec raporu, Spirals saldırısına ait ağ göstergeleri ve dosya hash'lerini içeriyor. Kuruluşların bu tehdit grubuna karşı savunma alması öneriliyor. Spirals, hızlı hareket kabiliyeti ve gelişmiş teknikleriyle dikkat çekiyor; siber güvenlik ekiplerinin bu tür saldırılara karşı hazırlıklı olması gerekiyor.

Kaynak: bleepingcomputer.com

Paylaş: