Şili’nin ulusal bilgisayar güvenliği ve olay müdahale ekibi (CSIRT), bir fidye yazılımı saldırısının ülkedeki bir devlet kurumunun operasyonlarını ve çevrimiçi hizmetlerini etkilediğini duyurdu.
Saldırı, 25 Ağustos Perşembe günü, ajans tarafından işletilen Microsoft ve VMware ESXi sunucularını hedef alarak başladı.
Bilgisayar korsanları, çalışan tüm sanal makineleri durdurdu ve dosyalarını “.crypt” dosya adı uzantısını ekleyerek şifreledi.
“Fidye yazılımı, günlük dosyalarını (.log), yürütülebilir dosyaları (.exe), dinamik kitaplık dosyalarını (.dll), takas dosyalarını (.vswp), sanal diskleri (.vmdk), anlık görüntüyü hedefleyen NTRUEncrypt ortak anahtar şifreleme algoritmasını kullanır. (.vmsn) dosyaları ve sanal makine belleği (.vmem) dosyaları, diğerleri arasında” – Şili CSIRT
CSIRT’e göre, bu saldırıda kullanılan kötü amaçlı yazılım ayrıca web tarayıcılarından kimlik bilgilerini çalma, şifreleme için çıkarılabilir cihazları listeleme ve yürütme zaman aşımlarını kullanarak antivirüs algılamasından kaçınma işlevlerine de sahipti.
Tipik bir çifte gasp tarzında, davetsiz misafirler Şili’nin CSIRT’sine, dosyaların sızmasını önleyecek ve şifrelenmiş verilerin kilidini açacak bir fidye ödemesini müzakere etmek için bir iletişim kanalı teklif etti.
Saldırgan, üç günlük bir son tarih belirledi ve çalınan verileri karanlık ağdaki diğer siber suçlulara satmakla tehdit etti.
Atıf belirsiz
Şili’nin CSIRT duyurusu, fidye yazılımı grubunun saldırıdan sorumlu olduğunu belirtmez ve kötü amaçlı yazılımın tanımlanmasına yol açacak yeterli ayrıntı sağlamaz.
Şifrelenmiş dosyalara eklenen uzantı, birden fazla tehdit aktörü tarafından kullanıldığı için herhangi bir ipucu sunmaz.
Şili’nin CSIRT’sinin kötü amaçlı yazılımın davranışı hakkında sağladığı küçük bilgiler, ‘RedAlert’ fidye yazılımı (aka “N13V”), Temmuz 2022’de başlatılan bir operasyon, teknik ayrıntılar aksini gösteriyor.
RedAlert fidye yazılımı, saldırılarda “.crypt” uzantısını kullandı, hem Windows sunucularını hem de Linux VMWare ESXi makinelerini hedefliyor, şifrelemeden önce çalışan tüm VM’leri zorla durdurabiliyor ve NTRUEncrypt ortak anahtar şifreleme algoritmasını kullanıyor.
Ancak, Şili’nin CSIRT duyurusundaki uzlaşma göstergeleri (IoC’ler) ya Conti ile ilişkilidir ya da otomatik analiz sistemlerine beslendiğinde kesin olmayan bir sonuç verir.
Conti daha önce tüm uluslara yönelik saldırılarla bağlantılıydı; Temmuz 2022’de Kosta Rikasistemlerin çalınmasına ve şifrelenmesine ilk erişimin sağlanmasından itibaren beş gün sürdü.
Şilili tehdit analisti Alman Fernandez BleepingComputer’a, türün tamamen yeni göründüğünü ve konuştuğu araştırmacıların kötü amaçlı yazılımı bilinen ailelerle ilişkilendiremeyeceğini söyledi.
Fernandez ayrıca fidye notunun enfeksiyon sırasında oluşturulmadığını ve BleepingComputer’ın onaylayabileceği bir ayrıntı olduğunu söyledi. Araştırmacı, notun dosya kilitleyen kötü amaçlı yazılımı dağıtmadan önce teslim edildiğini söyledi.
“Saldırıyla ilgili özel bir şey, tehdit aktörlerinin fidye notunu önceki bir aşamada fidye yazılımının dağıtımına son yük olarak, muhtemelen kaçırma sorunları için veya nihai örneği paylaşırken iletişim bilgilerinin sızdırılmasını önlemek için dağıtmış olmalarıdır. ” – Alman Fernandez
BleepingComputer, saldırı için kullanılan kötü amaçlı yazılımın birden çok örneğini analiz edebildi ve ‘adlı bir fidye notu aldı.benioku_for_unlock.txt‘, aşağıda görülen:
BleepingComputer’ın bu fidye yazılımı türünü analiz ederken gördüğü tüm fidye notları, Tor ağındaki benzersiz bir web sitesine bağlantı ve oturum açmak için bir parola içerir.
Gördüğümüz kadarıyla bu fidye yazılımı için bir veri sızıntısı sitesi henüz mevcut değil. Tor sitesi, kurbanların bilgisayar korsanlarıyla iletişim kurabileceği bir mesaj kutusu göstermek içindir.
Yukarıdaki iletişim kanalına erişim, fidye notunda bulunan bir şifre gerektirir.
Kötü amaçlı yazılım, kendisini Windows oturum açma işleminde başlayacak şekilde yapılandırır ve başlangıçta SecurityUpdate adını kullanır.
BleepingComputer’ın bu fidye yazılımı hakkında şu ana kadar öğrenebildiği kadarıyla, bu, Ağustos ayının başında başlatılan yeni bir operasyon.
Şili’nin siber güvenlik kuruluşu, ülkedeki tüm devlet kurumlarının yanı sıra büyük özel kuruluşların aşağıdaki önlemleri uygulamasını tavsiye ediyor:
- Düzgün yapılandırılmış bir güvenlik duvarı ve virüsten koruma aracı kullanın
- VMware ve Microsoft varlıklarını güncelleyin
- En önemli verilerin yedeklerini saklayın
- İstenmeyen posta önleme filtrelerinin yapılandırmasını doğrulayın ve çalışanları kötü niyetli e-postaları tanımaları için eğitin
- Ağ segmentasyonunu uygulayın ve en az ayrıcalık ilkesini uygulayın
- Anında yama veya azaltma gerektiren yeni güvenlik açıklarından haberdar olun
Şili CSIRT bir dizi sağladı uzlaşma göstergeleri savunucuların kuruluşlarını korumak için kullanabilecekleri saldırıda kullanılan dosyalar için.