Kaspersky, Cuba olarak bilinen tanınmış fidye yazılımı grubunun faaliyetlerine ilişkin yeni araştırmasını açıkladı. Bu siber suç çetesi, yakın zamanda gelişmiş tespitlerden kaçan zararlı yazılımlar yaymaya devam etti ve dünya genelindeki kuruluşları hedef alarak arkasında çeşitli sektörlerde güvenliği ihlal edilmiş şirketlerden oluşan bir iz bıraktı.

Kaspersky, Aralık 2022'de müşterilerinden birinin sisteminde şüpheli bir olay tespit etti ve ardından üç şüpheli dosyayı ortaya çıkardı. Bu dosyalar, BUGHATCH olarak da bilinen komar65 kütüphanesinin yüklenmesine yol açan bir dizi eylemi tetikliyordu.

BUGHATCH, bellekte konuşlandırılan sofistike bir arka kapıya karşılık geliyor. Bu arka kapı çeşitli işlevler içeren Windows API'sini kullanarak kendisine tahsis edilen bellek alanında gömülü bir kabuk kodu bloğu çalıştırıyor. Daha sonra bir komuta kontrol (C2) sunucusuna bağlanarak sıradaki talimatları bekliyor. Bu yolla Cobalt Strike Beacon ve Metasploit gibi yazılımları indirmek için komutlar alabiliyor. Saldırıda Veeamp'ın kullanılması, Cuba’nın bu işe dahil olduğu ihtimalini artırıyor.

Özellikle PDB dosyası, Rusça "sivrisinek" anlamına gelen "komar" klasörüne atıfta bulunarak grup içinde Rusça konuşan üyelerin olası varlığına işaret ediyor. Kaspersky tarafından yapılan ileri analizler, Cuba grubu tarafından dağıtılan ve zararlı yazılımın işlevselliğini artıran ek modülleri de ortaya çıkardı. Bu modüllerden biri, HTTP POST istekleri aracılığıyla bir sunucuya gönderilen sistem bilgilerini toplamaktan sorumluydu.

Araştırmalarını derinleştiren Kaspersky, VirusTotal'de Cuba grubuna atfedilen yeni kötü amaçlı yazılım örnekleri ortaya çıkardı. Bu örneklerden bazıları diğer güvenlik sağlayıcıları tarafından tespit edilmekten kurtulmayı başarmıştı. Bu örnekler, antivirüs tespitinden kaçmak için şifrelenmiş veriler kullanan BURNTCIGAR kötü amaçlı yazılımının yinelemelerini temsil ediyor.

Kaspersky Siber Güvenlik Uzmanı Gleb Ivanov, şunları söyledi: "Bulgularımız, en son raporlara ve tehdit istihbaratına erişimin öneminin altını çiziyor. Cuba gibi fidye yazılımı çeteleri evrim geçirip taktiklerini geliştirdikçe, potansiyel saldırıları etkili bir şekilde azaltmak için bunların kullandıkları taktiklerin önüne geçmek çok önemli. Siber tehditlerin sürekli değiştiği bir ortamda, yeni ortaya çıkan siber suçlulara karşı en büyük savunmamız bilgi olacaktır."

Derleme Zaman Damgasını Değiştiriyor!

Cuba, ek kütüphanelere ihtiyaç duymadan çalışabilmesi nedeniyle tespit edilmesi zor olan tek dosyalı bir fidye yazılımı türü oluşuyla dikkat çekiyor. Rusça konuşan bu grup, Kuzey Amerika, Avrupa, Okyanusya ve Asya'da perakende, finans, lojistik, hükümet ve üretim gibi sektörleri hedef alan geniş erişim ağıyla tanınıyor. Halka açık ve tescilli araçların bir karışımını kullanıyor, araç setlerini düzenli olarak güncelliyor ve BYOVD (Bring Your Own Vulnerable Driver) gibi taktiklerden yardım alıyor. Operasyonların ayırt edici özelliklerinden biri de araştırmacıları yanıltmak için derleme zaman damgalarını değiştirmesi.

Örneğin 2020'de bulunan bazı örneklerin derleme tarihi 4 Haziran 2020 iken, daha yeni sürümlerdeki zaman damgaları 19 Haziran 1992'den kalma gibi gösteriliyor. Grubun benzersiz yaklaşımları sadece verileri şifrelemeyi değil, aynı zamanda finansal belgeler, banka kayıtları, şirket hesapları ve kaynak kodu gibi hassas bilgileri elde etmek üzere saldırıların uyarlanmasını da içeriyor. Yazılım geliştirme firmaları özellikle risk altında bulunuyor. Grup dinamik yapısını koruyor ve tekniklerini sürekli olarak geliştiriyor.

Kaspersky, kuruluşlarınızı fidye yazılımlarına karşı korumaya yardımcı olacak en iyi uygulamaları şöyle sıralıyor:

Saldırganların güvenlik açıklarından yararlanmasını ve ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.

Savunma stratejinizi yanal hareketleri ve internete veri sızıntısını tespit etmeye odaklayın. Siber suçluların ağınıza bağlantılarını tespit etmek için giden yöndeki trafiğe özellikle dikkat edin. Davetsiz misafirlerin kurcalayamayacağı çevrimdışı yedeklemeler oluşturun. Gerektiğinde veya acil bir durumda bunlara hızlı bir şekilde erişebildiğinizden emin olun.

Tüm uç noktalar için fidye yazılımı korumasını etkinleştirin. Bilgisayarları ve sunucuları fidye yazılımlarına ve diğer kötü amaçlı yazılım türlerine karşı koruyan, açıkları önleyen ve önceden yüklenmiş güvenlik çözümleriyle uyumlu olan ücretsiz  Kaspersky Anti-Ransomware Tool for Business ürününü kullanabilirsiniz.

Anti-APT ve EDR çözümleri kurarak gelişmiş tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesi için gerekli yetenekleri ortamınıza dahil edin. SOC ekibinize en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle ekibinizin becerilerini düzenli olarak artırın. Yukarıdakilerin tümü Kaspersky Expert Security framework üzerinde mevcuttur.

SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, Kaspersky ekibinin 20 yılı aşkın süredir topladığı siber saldırı verilerini ve içgörülerini sağlayan tehdit istihbaratı için tek bir ortak erişim noktasıdır. Kaspersky, işletmelerin bu zor zamanlarda etkili savunmalar sağlamasına yardımcı olmak için, devam eden siber saldırılar ve tehditler hakkında bağımsız, sürekli güncellenen ve küresel kaynaklı bilgilere ücretsiz olarak erişebileceğini duyurdu.