Crypto24 fidye yazılımı büyük şirketlere saldırdı, EDR devre dışı bırakma aracıyla güvenlik sistemlerini aşmayı başardı
ABD, Avrupa ve Asya’da büyük kuruluşları hedef alan Crypto24 fidye yazılım grubu, özel geliştirilmiş bir araçla güvenlik yazılımlarını etkisiz hale getirerek veri hırsızlığı ve dosya şifreleme saldırıları gerçekleştiriyor. Trend Micro araştırmacılarına göre saldırganlar eski fidye yazılım gruplarının üyelerinden oluşuyor olabilir.
Crypto24 adıyla bilinen fidye yazılım grubu, son aylarda büyük ölçekli şirketlere yönelik saldırılar düzenleyerek dikkat çekmeye başladı. Trend Micro araştırmacılarının yayımladığı rapora göre saldırılar ABD, Avrupa ve Asya’da finans, üretim, teknoloji ve eğlence sektörlerinde faaliyet gösteren yüksek değerli hedeflere yönelik olarak gerçekleştirildi.
Grubun en erken faaliyetleri 2024 yılının Eylül ayında rapor edilmiş olsa da, saldırılar son dönemde daha gelişmiş yöntemlerle yürütülmeye başlandı. Araştırmacılar, kullanılan teknikler ve araçlar nedeniyle grubun eski fidye yazılım oluşumlarının üyelerinden oluşabileceğini değerlendiriyor.
Saldırı Yöntemleri
Saldırılar, Windows sistemlerinde yönetici hesaplarının etkinleştirilmesi veya yeni yerel hesapların oluşturulmasıyla başlıyor. Daha sonra saldırganlar, sistemde keşif faaliyetleri gerçekleştirerek donanım bilgilerini ve kullanıcı hesaplarını topluyor. Bu süreçte zararlı hizmetler ve görevler tanımlanıyor.
Trend Micro’nun raporuna göre, kullanılan yöntemlerden biri WinMainSvc adlı keylogger hizmeti, diğeri ise MSRuntime adı verilen fidye yazılım yükleyicisi.
EDR Sistemlerini Devre Dışı Bırakan Araç
Crypto24’ün dikkat çeken yöntemlerinden biri, RealBlindingEDR adlı açık kaynak kodlu aracın özelleştirilmiş bir versiyonunun kullanılması. Bu araç, Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, McAfee, Cisco ve Fortinet gibi birçok güvenlik yazılımını hedef alarak çekirdek düzeyinde devre dışı bırakabiliyor.
Trend Micro ürünlerine yönelik olarak ise saldırganların XBCUninstaller.exe aracını kötüye kullandığı belirtildi. Normal şartlarda sistem sorunlarını gidermek için kullanılan bu araç, saldırı sırasında güvenlik ajanlarını kaldırmak amacıyla çalıştırıldı.
Veri Hırsızlığı ve Şifreleme Süreci
Saldırılar sırasında “Microsoft Help Manager” adıyla gizlenen keylogger aktif pencere başlıklarını ve tuş vuruşlarını kaydediyor. Ayrıca saldırganlar SMB paylaşımları üzerinden ağda yayılım sağlıyor ve çalınan verileri özel bir araçla Google Drive’a aktarıyor.
Son aşamada ise sistemlerdeki gölge kopyalar silinerek fidye yazılımı devreye sokuluyor. Trend Micro, şifreleme yöntemleri veya fidye notları hakkında ayrıntılı bilgi paylaşmazken, savunma ekiplerine yönelik göstergeler listesi yayımladı.
Kaynak: CUMHA - CUMHUR HABER AJANSI
