Dağınık Örümcek Fidye Yazılımı Saldırısı

Gelişmiş ve saldırgan bir siber suç grubu olan Scattered Spider, VMware ESXi hipervizörlerine yönelik saldırılarını artırdı. Kuzey Amerika'da perakende, havayolu ve ulaşım gibi önemli sektörleri hedef alan grubun operasyonları hesaplı, bilinçli ve yıkıcı derecede etkili. Başarıları yazılım saldırılarında değil, sosyal mühendislik ve güvenilir sistemleri manipüle etme konusundaki ustalıklarında yatıyor.

İstismarsız Taktikler: Özünde Sosyal Mühendislik

Scattered Spider, yazılımlardaki güvenlik açıklarından yararlanmak yerine, denenmiş ve test edilmiş bir taktiğe, yani telefon tabanlı sosyal mühendisliğe güveniyor. Grup, yüksek ayrıcalıklı yöneticiler de dahil olmak üzere, meşru personeli taklit etmek için sık sık BT yardım masalarıyla iletişime geçiyor. Bu aramalar, saldırılarını rastgele olmaktan çıkaran daha geniş kapsamlı bir kampanya odaklı stratejinin parçası. Operasyonlarını, bir kuruluştaki en hassas sistemleri ve verileri hedef alacak şekilde titizlikle planlıyorlar.

Dağınık Örümcek saldırıları, hedeflerinin altyapısını veya oturum açma portallarını yakından taklit eden aldatıcı alan adları kaydetmeleriyle bilinir. Yaygın adlandırma kalıpları şunlardır:

• kurbanadı-sso.com
• kurbanadı-okta.com
• kurbanadı-servicedesk.com
• sso-kurbanadı.com
• servicenow-victimname.com

Yardım Masasından Hipervizöre: Çok Aşamalı Saldırı Zinciri

Scattered Spider'ın saldırı metodolojisi, erişimi artırmak ve tespiti en aza indirmek için tasarlanmış beş stratejik aşamadan oluşur:

İlk Erişim ve Ayrıcalık Yükseltmesi
Saldırganlar, çalışanları taklit etmek, kimlik bilgilerini toplamak ve şirket içi belgeleri toplamak için sosyal mühendislikle işe başlar. Genellikle HashiCorp Vault gibi parola yöneticilerinden veri alır ve yönetici parolalarını sıfırlamak için BT destek süreçlerini kullanırlar.

vSphere'e Yanal Hareket
VMware ortamlarına eşlenen Active Directory kimlik bilgilerini kullanarak vCenter Server Appliance'a (vCSA) erişirler. Güvenlik duvarı kurallarını atlayıp kalıcı erişim sağlayan şifreli bir ters kabuk oluşturmak için teleport adlı bir araç kullanılır.

Hipervizör Manipülasyonu ve Veri Çıkarımı
ESXi ana bilgisayarlarında SSH etkinleştirilir, kök parolaları sıfırlanır ve bir 'disk takası' saldırısı gerçekleştirilir. Bu, bir Etki Alanı Denetleyicisi sanal makinesinin kapatılmasını, sanal diskinin çıkarılmasını, saldırgan tarafından kontrol edilen bir sanal makineye bağlanmasını ve işlemi tersine çevirmeden önce NTDS.dit veritabanının çıkarılmasını içerir.

Kurtarma Mekanizmalarını Devre Dışı Bırakma
Kurtarma seçeneklerini ortadan kaldırmak ve saldırının etkisini artırmak için yedekleme işleri, anlık görüntüler ve depolar silinir.

Fidye Yazılımı Dağıtımı
Özel fidye yazılımı ikili dosyaları, SCP veya SFTP aracılığıyla tehlikeye atılmış ESXi ana bilgisayarlarına gönderilir ve sanal ortamdaki kritik sistemler şifrelenir.

Dağınık Örümceğin Hızı ve Gizliliği

0ktapus, Muddled Libra, Octo Tempest ve UNC3944 gibi takma adlarla da bilinen Scattered Spider'ı geleneksel fidye yazılımı aktörlerinden ayıran şey, operasyonlarının hızı ve gizliliğidir. Uzmanlar, ilk erişimden fidye yazılımı dağıtımına kadar tüm saldırının sadece birkaç saat içinde gerçekleşebileceğini belirtiyor. Bazı durumlarda, 48 saatten kısa bir sürede 100 GB'tan fazla veri sızdırıldı. Grubun ayrıca DragonForce fidye yazılımı programıyla da bağlantısı olduğu ve bu durumun yeteneklerini daha da artırdığı belirtiliyor.

Savunma Stratejilerinin Değiştirilmesi: EDR’den Altyapı Merkezli Güvenliğe

Bu saldırıların doğası gereği, standart uç nokta tespit ve müdahale (EDR) araçları yeterli olmayabilir. Dağınık Örümcek saldırılarına karşı savunma, bütünsel ve altyapı odaklı bir yaklaşım gerektirir. Aşağıdaki katmanlı savunma stratejisi şiddetle tavsiye edilir:

Katman 1: vSphere ve Hypervisor Güçlendirme

• vSphere'de kilitleme modunu etkinleştirin
• execInstalledOnly'yi uygula
• VM şifrelemesini kullan
• Kullanılmayan veya güncelliğini yitirmiş sanal makineleri emekliye ayırın.
• Yardım masasını kimlik sahtekarlığı taktiklerine karşı güvence altına alın ve eğitin.

Katman 2: Kimlik ve Erişim Koruması

• Kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) uygulayın.
• Kritik kimlik altyapısını ayırın.
• Saldırganların istismar edebileceği dairesel kimlik doğrulama bağımlılıklarından kaçının.

Katman 3: İzleme ve Yedekleme İzolasyonu

• Ana altyapıdan günlük izlemeyi merkezileştirin.
• Yedeklemeleri Active Directory erişiminden ayırın.
• Yedeklemelerin, tehlikeye atılmış yönetici hesapları tarafından dahi erişilemez olduğundan emin olun.

Sonuç: Fidye Yazılımı Riskinin Yeni Bir Dönemi

vSphere ekosistemini, özellikle de ESXi ana bilgisayarlarını ve vCenter Server'ı hedef alan fidye yazılımları, hızlı ve büyük ölçekli kesintilere yol açma potansiyeli nedeniyle ciddi bir tehdit oluşturmaktadır. Scattered Spider'ın operasyonlarının hesaplı yapısı, kuruluşların savunma duruşlarını yeniden değerlendirmeleri gerektiğini vurgulamaktadır. Bu riskleri göz ardı etmek veya önerilen önlemlerin uygulanmasını geciktirmek, ciddi kesinti süresi, veri kaybı ve maddi hasar gibi felaket sonuçlara yol açabilir.