Sophos, iki ayrı fidye yazılımının hedefledikleri sağlık kuruluşuna aynı anda saldırarak birbiri ardına veri sızdırdığı ve sistemleri şifrelediği bir vakayla karşılaştı. Kurumlar açısından gerçek bir kabusa karşılık gelen bu gibi durumlardan korunmak için yamaları gecikmeden uygulamak ve gerekli siber güvenlik önlemlerini devreye almak hayati önem taşıyor.
Sophos, Karma fidye yazılımı operatörleri tarafından gasp edilen ve şantaja maruz bırakılan sunucuların 24 saat içinde aynı ağ üzerine yerleşen Conti tarafından şifrelendiği iki aşamalı bir fidye yazılımı saldırısına dair bulgularını paylaştı. “Conti and Karma Actors Attack Healthcare Provider at Same Time Through ProxyShell Exploits” başlıklı raporda her iki fidye yazılımı operatörünün yama uygulanmamış Microsoft Exchange sunucuları aracılığıyla ağa nasıl erişim kazandıklarına ve devamında ayrı ayrı nasıl saldırdıklarına detaylı olarak yer verildi.
Eş zamanlı olarak iki ayrı fidye yazılımı saldırısına uğramanın kurumlar için gerçek bir kabusa karşılık geldiğini söyleyen Sophos Kıdemli Tehdit Araştırmacısı Sean Gallagher, saldırının detaylarını şöyle aktardı: “Conti ve Karma fidye yazılımı gruplarının hedef ağda aynı anda aktif olduğunu tahmin ediyoruz. Dört günlük bir zaman dilimi içinde bu ikili birbirlerinin etrafında hareket ediyor, komut dosyalarını indirip çalıştırıyor, Kobalt Strike işaretçilerini kuruyor, kritik verileri topluyor ve sızdırıyor. Ancak devamında her iki fidye grubu arasındaki davranış farklılığı dikkat çekici. Karma ele geçirdiği bilgisayarlara bir gasp bildirimi bırakarak çaldığı verileri ifşa etmeme karşılığında Bitcoin ödemesi talep ederken, hemen arkasından saldıran Conti hedefteki verileri doğrudan şifrelemeyi tercih ediyor. Conti bunu yaparken Karma’nın bıraktığı gasp notlarını da şifreliyor.”
Gallagher, son zamanlarda Conti’nin bağlı olduğu organizasyonlar da dahil olmak üzere fidye yazılımı gruplarının hedef ağlarına sızmak için ProxyShell istismarını kullandığı vakalarla karşılaştıklarını söylüyor. “Ancak bu vakaların çok azında iki fidye yazılımı grubunun aynı anda bir hedefe saldırması söz konusuydu” diyor Gallagher. “Bu durum fidye yazılımı ortamının ne kadar kalabalık ve rekabetçi hale geldiğinin net bir göstergesi.”
Biri Şantaj Yapıyor, Diğeri Şifreliyor
Sophos, söz konusu saldırıların ilk olarak 10 Ağustos 2021’de güvenliği ihlal edilmiş sunucularda dayanak oluşturmak üzere bir ProxyShell istismarı üzerinden başlatıldığına inanıyor. Bundan yaklaşık 4 ay sonra, 30 Kasım 2021’de Karma buluta 52 gigabayttan fazla veri sızdırarak şantaj için ortam hazırladı. 3 Aralık 2021’de ise şunlar yaşandı:
- Karma’nın arkasındaki grup 20 bilgisayara şantaj notu bırakarak fidye talep etti. Hedef bir sağlık kuruluşu olduğu için verileri şifrelemediklerini açıkladı.
- Bu sırada Conti arka planda sessizce çalışarak veri sızdırmaya devam etti.
- Saldırıya uğrayan kurum, Karma ile mücadele edebilmek için Sophos’un olay müdahale ekiplerini çağırdı.
- Sophos güvenlik uzmanları duruma müdahale ederken, Conti 4 Aralık 2021’de şifreleme yazılımını çalıştırdı.
- Sophos, Conti saldırısının başlangıcının 25 Kasım 2021’deki ikinci bir ProxyShell istismarından kaynaklandığını tespit etti.
Karşılaştıkları bu saldırının güvenlik yamalarının vaktinde uygulanması gerektiğine dair ciddi bir uyarı olduğunu söyleyen Gallagher, “Derinlemesine savunma saldırı zincirinin herhangi bir aşamasında saldırganları belirlemek ve engellemek adına hayati önem taşısa da, insan güdümlü proaktif tehdit avcılığıyla beklenmedik uzaktan erişim hizmeti girişleri veya dışarıda meşru araçların kullanımı gibi şüpheli tüm davranışlar da göz önünde tutulmalıdır” diyor.
Sophos Intercept X ve diğer Sophos uç nokta güvenlik ürünleri, fidye yazılımlarının ve diğer saldırıların eylemlerini ve davranışlarını tespit ederek kullanıcıları koruyor. Daha fazla bilgi için “Conti and Karma Actors Attack Healthcare Provider at Same Time Through ProxyShell Exploits” makalesine göz atabilirsiniz.