Yıllardır tehdit olmayı sürdüren fidye yazılım saldırganları, gelişerek dönüşmeye devam ediyor. Gelişmiş siber güvenlik teknolojileri ve fidye yazılımlarına yönelik iyileştirilmiş müdahale süreçleri, geleneksel fidye yazılım saldırılarının başarıya ulaşmasını bir ölçüde engelledi. Gelişmiş güvenlik önlemleri, bu siber suçluları stratejilerini geliştirmeye itti ve bugün modern fidye yazılım saldırıları dediğimiz saldırıların önü açılmış oldu.
Modern fidye yazılım saldırıları nasıl işler?
Modern fidye yazılım saldırganları değerli verileri tespit ettikten sonra hedef alır. Değerli verileri, şifreli kodlara dönüştürmek yerine çoğunlukla kurbanlarının ağ kuruluşlarından yetkisiz şekilde edinir. Bu sayede, şantaj için bir yol daha açılır. Saldırgan, fidyeyi ödememesi halinde mağduru özel verilerini ifşa etmekle tehdit edebilir. Bu durum, fikri mülkiyet verilerini, tescilli bilgileri, özel çalışan verilerini ve müşteri verilerini barındıran şirketler için ciddi bir endişe konusudur. Her veri sızıntısı; düzenleyici kuruluşların uyguladığı cezaları, davaları ve itibar kaybını da beraberinde getirir.
Modern fidye yazılımlarının bir başka önemli özelliği de saldırganların daha titiz olması ve saldırıya daha etkin katılmasıdır. İnsan denetiminde yürütülen birden çok aşamayla ağları kontrol altına alır, bağlantı tıklamalı otomatik etkinliklerden hızlıca sıyrılırlar. Ayrıca, fidye yazılımının görev yükünü yürütmeden önce mağdurun şebekesinin farklı kısımlarını ele geçirmek için önemli bir süre (haftalar veya aylar) harcarlar. Bu sayede söz konusu saldırıların geleneksel fidye yazılım vakalarından ziyade ulus devlet destekli gelişmiş sürekli tehdit (GST) saldırılarına benzemesi sağlanır.
Bu rapor, modern fidye yazılımlarıyla geleneksel saldırılar arasındaki farkları ele alacak ve yeni fidye yazılımlarının iş modelini anlamak amacıyla Nefilim fidye yazılımını örnek olay olarak inceleyecektir.
Yasa dışı iş modellerinde yaşanan değişimler
Fidye yazılımı iş modelini oluşturan araçlar, taktikler ve prosedürler (TTP’ler), saldırganların kabiliyetini artıracak yeni teknolojilerden yararlanmayı önceleyen, önemli bir değişim gösterdi.
Şekil 1. Fidye yazılımı iş modellerindeki değişiklikler ve gelir elde etme yöntemleri
Şekil 1’de farklı fidye yazılımı iş modellerindeki dönüşümler ve büyük değişimler ile bunların ilgili gelir elde etme yöntemleri gösterilmiştir. 1. Model, eski dönemdeki gelir elde etme yöntemleri hakkındadır. Bu modelde saldırganların seçenekleri bölgesel ödeme yöntemleriyle sınırlıydı. 2. ve 3. Modellere kıyasla bu model çağ dışı kalmış olup seyrek kullanılır. Yeraltı dünyasının bazı aktörleri, hala 2. Model’i tercih etmektedir. Bu model, çok sayıda kurbandan orta derecede gelir elde etmeyi sağlar. 3. Model, kurbanların varlıklarının hedefi daraltacak şekilde gelire dönüştürülmesiyle ilgili olup siber suç iş modelinde fazladan birkaç adımın uygulanmasını içerir.
Önemli değişim gördüğümüz alanlar:
Ödeme ve İş Birliği
On yıl önce fidye yazılım saldırganları özel tarifeli bir SMS numarası üzerinden fidye ödemesi talep etti. Kripto paranın ortaya çıkmasıyla birlikte 2014’te tüm ezberler bozuldu. Firmalar bitcoin’le ödeme almaya veya yapmaya başladı. Bu eğilim, günümüze kadar devam etti. Bir başka değişim de yeraltı dünyasının aktörleri arasındaki işbirliği ve iletişim yönteminde yaşandı. Aktörler; forumlar, mesajlaşma uygulamaları ve hatta sosyal medya siteleri gibi farklı platformlar kullanıyor. Bu platformların yeni güvenlik ve anonimleştirme özellikleri, saldırganların internet üzerinden gizlice işbirliği yapabilme kabiliyetini artırdı.
Saldırganların fidye yazılım saldırılarını gerçekleştirmek için kendilerine ortak bulmalarını kolaylaştıran hizmet olarak fidye yazılımı (RaaS), siber suçluların iş birliğinin örneklerinden biridir. Bu durumda, tek bir fidye yazılım grubunun tüm işi yüklenmesi yerine görevler ve kâr birkaç iş birlikçi arasında bölüşülür. Örneğin, güvenliği ihlal edilmiş varlıklara erişimi sağlamış saldırganlar (yani kurbanın ağına sızma yollarına sahip olanlar) fidye yazılımını geliştiren saldırganlarla iş birliği yapar. Ortaklaşma programlarının dönüşümüyle birlikte güvenliği ihlal edilmiş varlıkların daha etkin biçimde gelire dönüştürülmesi sağlanmış oldu ve birlikte hareket eden taraflar bundan kârlı çıktı.
Fidye Yazılımından Gelir Elde Etme
Fidye yazılım saldırganlarının otomatik araçlar kullandığı dönemde, ya sabit ya da saldırganın mağdurla yaptığı görüşmelere göre belirlediği bir fidye tutarı olurdu. Daha yeni saldırılardaysa, saldırganın kurban hakkında önemli ölçüde bilgiye sahip olması, fidye tutarlarının kurbana özel olarak belirlenebilmesine daha fazla imkân tanıyor.
Tüm saldırı zinciri, genellikle farklı saldırı stratejilerinden sorumlu iki veya daha fazla gruptan oluşur. Saldırılarda genellikle fidye yazılımının sahibi olan saldırgan ile güvenliği ihlal edilmiş altyapıyı kontrol eden ve kötü amaçlı yazılımı bir ağa dağıtan ikinci bir saldırgan yer alır. Bu pazarda büyüklüğü yeni haneli rakamlarla ifade edilen kuruluşlardan fidye istemek normal olduğu için saldırganların sıfır gün yerel ayrıcalık yükseltme (LPE) ve uzaktan kod yürütme (RCE) açıkları gibi daha pahalı araçlardan yararlanabilmesi de mümkün oluyor.
Artık birlikte hareket eden birden fazla siber suçlu grubu bulunuyor. Bunlar, erişim bilgilerini paylaşıyorlar ve gelir elde etme döngüleri paralel seyrediyor. Birkaç farklı gruptan gelen izlerle karşı karşıya olduğunu fark edemeyebilecek savunucular için bu epeyce kafa karıştırabiliyor. İzler birçok paralel, hatta alakasız olayla bağlantılı olabiliyor. Bu sofistike fidye yazılım saldırılarının yaygınlığı, daha kısa tepki süresi ve çok daha fazla potansiyel etki anlamına geliyor. Tehdit avı, olay azaltma ve saldırılarla ilgili soruşturmalar için bir kuruluşun uç noktaları, ağ, bulut veya diğer cihazlar gibi tüm kritik bileşenler üzerinde tam ve merkezi bir görünürlük sunan XDR çözümlerine sahip olmak hayati önem taşır.
Zafiyet ve Güvenlik Açığı Pazarı
Kuruluşların gelişmiş güvenlik kabiliyetleri, saldırganların hedefli saldırılara ve APT benzeri fidye yazılımlarından gelir elde etme planlarına geçmesini gerekli kıldı. Ancak, siber suçluların cephaneliklerine katabileceği yeni teknolojiler de mevcut. Ayrıca, ağ çevresinde çok kullanılan cihaz ve platformlardaki zafiyetler, şirketler için büyük risk teşkil ediyor. Birçok tehdit unsuru, bu zayıflıkları ağa giriş noktaları olarak kullanıyor.
Suç yoluyla gelir elde etmede daha hedef odaklı bir plana geçişin ardında aşağıdakileri de içeren birkaç ana unsur yatıyor:
Kurbanın bilgilerinin otomatik olarak işlenmesi ve toplanması için artırılmış işlemsel kabiliyet
Kurbanların hatasız bir şekilde sınıflandırılmasına yardımcı olan halka açık ve gizli veri tabanlarının ve otomasyon araçlarının bulunması
Kripto para ile anonim bir şekilde ve yüksek miktarda sınır ötesi para transferleri başlatabilme kabiliyeti
Güvenli ve anonim işbirliğine olanak tanıyan iletişim platformlarının yaygın kullanımı
Bu yöndeki değişim, bir saldırı gerçekleştirilmeden önce kurbanın çok ayrıntılı bir profilinin çıkarıldığına ve bunu takiben erişim bilgilerini paylaşan ve optimize edilmiş gelir elde etme stratejilerini kullanan birden fazla grubun işbirliği yaptığına işaret ediyor.
Modern fidye yazılımına yönelik örnek olay incelemesi
Bu bölümde, modern bir fidye yazılım saldırısına örnek olarak Nefilim fidye yazılım ailesi ele alınıyor.
Nefilim saldırganları, kurbanlarının ağlarına ilk erişimi sağlamak için güvenlik açığı olan RDP (Uzak Masaüstü Protokolü) hizmetlerini ve herkesin erişebileceği güvenlik açıklarını kullanmışlardı. Citrix Uygulama Dağıtım Denetleyicisi’ndeki bir açıktan (CVE-2019-19781) ve Google Project Zero’nun ortaya çıkardığı ve daha sonra Microsoft’un Mayıs 2017’de düzelttiği bir Windows Bileşen Nesne Modeli (COM) ayrıcalık yükseltme (EoP) zafiyetinden yararlandılar.
İlk erişimi sağlayan Nefilim saldırganları, bir web tarayıcısında ek araçlar indirerek işe başlamışlardı. İndirilen önemli araçlardan birisi de çevreyle uzaktan bağlantı kurarak komutları yürütmek için kullanılan Cobalt Strike işaretçisidir. (Cobalt Strike, güvenlik testi uzmanlarının ağa saldırmasına, güvenliği ihlal edilmiş sistemi kontrol etmesine ve ilginç verileri dışarı sızdırmasına olanak tanıyan, çok yönlü bir saldırı sonrası sızma aracıdır. Maalesef, bu aracın kabiliyetleri saldırganlar tarafından suistimal edilebilir.) İndirilen diğer dosyalar, uç nokta güvenlik aracılarını durdurmak için kullanılan Process Hacker ve kimlik bilgilerini kaçırmak için kullanılan Mimikatz’tır.
Saldırganlar, ağda savunabilecekleri bir noktaya konuşlandıktan sonra yanal olarak ilerlemeye başlar, yani erişebilecekleri başka alanlar bulmak için güvenliği ihlal edilmiş sistemi kullanırlar. Saldırganlar çoğu zaman fark edilmemek için sisteme entegre veya yöneticilerin sıkça kullandığı araçları silaha çevirirler. Bu taktiğe “çevreden beslenmek” denir.
Yanal Hareket
ARAÇLAR
Saldırganlar anahtarların, biletlerin veya düz metin parolaların dökümünü almak için Mimikatz’ı da kullanabilir.
Yanal Hareket
ARAÇLAR
Saldırganlar, yanal harekete yardımcı olması için sistemlerin içindeki araçları devreye alabilir. PsExec, Bloodhound, ve AdFind gibi araçlar bu işlem için kullanılabilir.
Yanal Hareket
ARAÇLAR
Siber suçlular, Active Directory bilgilerini toplamak ve daha fazla hedef bulmak için altyapıların haritasını çıkarmak üzere AdFind gibi araçları suistimal edebilir.
Kullanıcı Yetkilerini Arttırma
ARAÇLAR
Saldırganlar, kullanıcı yetkilerini arttırmak ve yönetici işlemlerini veya geniş yetkiler gerektiren işlemleri gerçekleştirmek için de bilinen açıklardan yararlanabilir.
Nefilim’in başlangıçta kullandığı taktik ve araçlar
Ev arama ve dışarı sızma
Bir önceki bölümde bahsedildiği üzere, piyasada satılan Cobalt Strike yazılımı kurbanın sisteminde çalıştırılır. İşaretçi, saldırganların kontrolündeki bir komuta ve kontrol (C&C) sunucusuna geri bağlanır. Nefilim ile ilişkili Cobalt Strike C&C sunucularının internetteki farklı kümelerde barındırıldığını gördük. Saldırganlar, Bulgaristan, Birleşik Krallık, ABD ve Hollanda gibi birtakım ülkelerde bulunan hosting şirketlerini tercih ediyor. Nefilim ile ilişkili diğer Cobalt Strike C&C sunucuları ise çeşitli paravan şirketler tarafından oluşturulan küçük, “kurşun geçirmez” web barındırma hizmetlerinde barındırılıyor. Bazı paravan şirketlerin neredeyse sadece şu amaçlara özel olarak kurulduğu görülür: Cobalt Strike işaretçisinin C&C sunucularını barındırmak; geniş çaplı internet taraması (Citrix sunucularının taranması da dahil); ve vakalardan birinde görüldüğü üzere, Nefilim saldırganlarının kurbanlarından çaldıkları verileri yayınladıkları, Tor ağında gizli bir web sitesinin yüzeysel ağdaki arka ucu olarak.
Nefilim saldırganlarının en az üç farklı tür “kurşun geçirmez” hosting hizmetinden yararlandığını gözlemledik: çalınan bilgileri sızdırmak için kullanılan, Tor ağında gizli bir sunucu; küçük paravan şirketlere ait küçük IP aralıkları; ve “fast flux” hosting (ön ucun IP adresini düzenli olarak değiştirdiği hosting türü)
Kötü amaçlı görev yükü
Nefilim, güvenlik açığı oluşturulduktan sonra kullanılan bir fidye yazılımıdır. Yani, saldırganların veya iş birlikçilerinin kurbanın altyapısı üzerinde yeteri kadar kontrol sahibi olduklarına karar vermelerinin ardından, manuel olarak çalıştırdıkları bir yazılımdır. Çalışmaya başladıktan sonraki yürütme akışı oldukça kolaydır.
İlk önce Nefilim, aynı işlem için birden fazla iş parçacığını engellemek amacıyla karşılıklı dışlama (mutex) nesnesi oluşturur. Ardından, sabit bir RC4 anahtarını kullanarak fidye notunun şifresini çözer. Şekil 2’de fidye notunun örneğini görebilirsiniz. Bu notta, kurbanların fidye ödemesiyle ilgili Nefilim saldırganlarıyla iletişime geçmek için kullanabileceği 3 e-posta adresi yer alır.
Ardından, şifrelemek üzere sıraya aldığı her dosya için rastgele bir AES anahtarı oluşturur. Kurbanın fidye tutarını ödemesi durumda dosya şifresinin çözülebilmesi için kötü amaçlı yazılım, AES anahtarını sabit bir RSA ortak anahtarıyla şifreler ve bunu şifrelenmiş dosyaya ekler.
Herhangi bir sorun yaşanmadan çalıştırılması halinde Nefilim yürütülebilir dosyası, şifrelemeye hazırlanır. Başlamadan önce dosya ve dizin adlarının yer aldığı bir dışlama listesini kontrol eder. Bu sayede Nefilim’in, işletim sisteminin ihtiyaç duyduğu dosyaları şifrelemesi engellenir ve tarayıcılar ile e-posta istemcileri gibi sık kullanılan uygulamaların normal işlevlerini sürdürmesi sağlanır. Ardından, dışlama listesinde olmayan dosyaları şifrelemeye başlar. Şifreleme işlevi, Nefilim kodunun en büyük işlevidir.
Varyantlar ve dönüşüm
İlk sürümü fark edildiğinden bu yana Nefilim’in etkinliklerini ve geçirdiği dönüşümü izlemeye devam ettik. Bugüne kadar yaklaşık 65 farklı örnekte 18 farklı varyant gözlemledik.
Topladığımız bilgilere dayanarak, Nefilim örneklerinin tutarlı bir modeli takip ettiğini söyleyebiliriz. Buna göre:
Her kurbana, fidye yazılım saldırganlarının üç e-posta adresinden oluşan iletişim bilgilerini de içeren benzersiz birer örnek gönderilir.
Nefilim’i oluşturanlar, ikili dosyaları imzalamak için kullandıkları sertifikayı değiştirdiklerinde, şifrelenmiş dosyalara eklenmiş uzantıları da değiştirirler.
Aşağıdaki tabloda, gözlemlediğimiz Nefilim fidye yazılım örneklerinde kullanılan taktik ve teknikler listelenmiştir.
Kurban profili
Nefilim’in kurban profili konum ve sektör anlamında nispeten geniştir ancak genellikle 1 milyar USD’lik hasılatı olan şirketler hedeflenir. Hedeflerin çoğu Kuzey ve Güney Amerika’da yer alsa da Avrupa, Asya ve Okyanusya’nın farklı noktalarında da hedefler olduğunu gördük.
Topladığımız verilere göre Nefilim saldırganları tarafından sızdırılan hassas bilgilerin miktarında istikrarlı ve ciddi oranda bir artış yaşandı. Nefilim, kurbanlarının verilerini içeren web sitelerinin bir yıldan uzun bir süre boyunca sorunsuz bir şekilde çalışmasını sağlayabildi. Ayrıca bu grup, ileride fidye isteyecekleri kurbanları korkutarak ödeme yapmaya teşvik etmek için sızdırdıkları hassas verileri haftalar ve hatta aylar boyunca yayınlamasıyla biliniyor.
Şekil 3. Nefilim kurbanlarının sayı, konum ve sektöre göre dağılımı
Nefilim saldırganlarının ve farklı RaaS saldırganlarının çalıntı verileri nasıl sızdırdığının karşılaştırması
Fidye yazılım saldırganlarının hassas verileri sızdırmasının arkasındaki birincil nedenin ilerideki kurbanlarına açık bir gözdağı vermek olduğunu düşünüyoruz: Fidye tutarı ödenmediğinde, fidye yazılım saldırganları daha fazla zarar vermeye çalışacaktır. Örneğin, ünlü REvil saldırganları, mağdur ettikleri bir kuruluş fidyelerini ödemeyi reddedince gözlerini karartarak karanlık ağdaki web sitelerinde bu kuruluştan çaldıkları veriler için bir “açık artırma” başlattı.
16 fidye yazılım saldırganın RaaS sitelerini araştırarak karşılaştırdık ve bu saldırganların kurbanlarından şantaj yoluyla para alma yöntemlerinde ciddi farklılıklar olduğunu gördük. Çoğu saldırgan, çalıntı verileri birkaç ay boyunca herkese açık olarak paylaşacağını iddia eder. Nefilim ve Cl0p gibi bazı saldırganlar, terabaytlarca çalıntı veriyi bir yıldan uzun bir süre boyunca internette tutmayı başarabiliyor ve kurbanlarını zaman içinde giderek artan miktarlarda veriyi sızdırmakla tehdit edebiliyor. Yukarıda bahsettiğimiz üzere bazı web siteleri Tor ağında gizlenen sunucularda, diğerleri ise “kurşun geçirmez” hosting kullanılarak barındırılır. RaaS saldırganlarının çalıntı dosyaları piyasada satılan ve ücretsiz dosya paylaşım platformlarına yüklediğini, hatta dosyaları yüzeysel ağdaki web sitelerinde barındırdıklarını fark ettik.
İlişkilendirmelerimiz
Nefilim fidye yazılımının, Nemty adında daha eski bir aileden evrildiğini düşünüyoruz. Hem Nemty ve Nefilim arasındaki kod benzerliklerinden hem de benzer olduğunu düşündüğümüz iş modellerini kullanmalarından dolayı, Nemty Revenue 3.1. sürümünün ilk Nefilim sürümü olma ihtimali üzerinde duruyoruz.
Nefilim ve Nemty fidye yazılımlarının arkasındaki saldırganların da içinde yer aldığı kötü amaçlı fidye yazılım etkinliklerini yıllardır gözlemliyoruz. Bu fidye yazılım ailelerinin arkasındaki grubu özellikle “Water Roc” yetkisiz giriş seti altında takip etmiştik. Şu anda yeraltı dünyasının aktörleri jsworm ve Jingo’nun, Water Roc etkinliğiyle ilişkisi olduğunu düşünüyoruz. Her iki aktör de geçmişte Nemty’yi aktif olarak satmış ve desteklemiş durumda. Bu iki aktörün internetteki etkinliklerine dayanarak her ikisinin de Rusça konuştuğuna inanılıyor. Nemty’nin kodunda birkaç Rus şarkısından ve sanatçısından alıntılanan sözler de yer alıyordu. Bu iki saldırgandan herhangi birinin Nefilim’in faaliyetlerinde hala aktif rol oynayıp oynamadığını kesin olarak söyleyemesek de en azından başlarda Nefilim’in gelişimine katkı sunduklarını söyleyebiliriz.
Sonuç
Nefilim’in kullandığı araçların, taktiklerin ve süreçlerin dökümü, modern fidye yazılımının izlediği yönteme ilişkin önemli özellikleri ortaya çıkarıyor:
Modern fidye yazılımı iş birlikçilerinin ara bulucular vasıtasıyla büyük şirketlere girmenin yollarını bulabildiğini, çok miktarda değerli veriyi dışarı sızdırabildiğini ve sonrasında olabildiğince çok yönteme başvurarak kurbanlarını gasp etmeye çalıştıklarını görüyoruz. Bunun gibi faaliyetler, evrim geçirmiş ortaklaşma programlarından gücünü alır. Bu programlar, fidye yazılım saldırganlarına müthiş bir cephane sunar: Özelleştirilebilir yazılım, daha iyi kurban hedeflemeyi sağlayan yeni ve kullanıma hazır teknolojiler ve işbirliği için gelişmiş yollar.
Şirketler ve ağ koruyucular, rakiplerinden bir adım ileride olmalı ve APT düzeyi fidye yazılım saldırılarına karşılık hazırlıklı olmalılar. Bu, özellikle de birçok şirketin sistemlerinde sakladığı verilerin miktarı ve değeri düşünüldüğünde çok önemli. Güvenlik soruşturmalarını yürüten uzmanların da zor bir görevi var. Birden çok grubun (ağa ilk yetkisiz erişimi sağlayan saldırganlar ve yanal ilerlemeye ve saldırıdan gelir elde etmeye çalışan grup) eylemlerini gözlemleyerek parçaları birleştirmeleri gerekiyor. Çeşitli gruplar dahil olduğu için siber ölüm zincirinin tüm aşamaları daha karmaşık bir hal alıyor.
Kuruluşları bu tehditlere karşı korumanın zor ve karmaşık yanları olsa da son yaşanan olaylar en gelişmiş kötü amaçlı yazılım ailesinin bile alaşağı edilebileceğini gösteriyor. Üstelik siber güvenlik de sürekli evriliyor ve bu ısrarcı tehditlere karşı koymanın yeni yollarını her zaman buluyor.
Modern fidye yazılımı hakkında daha fazla bilgi edinmek için ayrıntılı raporumuzu inceleyin.