Trend Micro Incorporated, Nefilim fidye yazılımı grubuna ilişkin modern fidye saldırılarının işleyişini gözler önüne seren raporunun sonuçlarını paylaştı.Raporu yorumlayan Trend Micro Siber Suç Araştırma Direktörü Bob McArdle, “Gelişmiş Kalıcı Tehdit (APT) grupları tarafından mükemmelleştirilmiş ve kanıtlanmış yöntemler kullanan modern fidye yazılımı saldırıları, son derece hedefli, uyarlanabilir ve sinsi bir şekilde gerçekleşiyor. Nefilim gibi gruplar, verileri çalarak ve önemli kurumsal sistemleri kilitleyerek, son derece kârlı küresel organizasyonlara şantaj yapmaya çalışıyor. En son raporumuz, hızla büyüyen yeraltı ekonomisinin nasıl çalıştığını anlamak ve Trend Micro Vision One gibi çözümlerin bu saldırıları önlemeye nasıl yardımcı olabileceğini öğrenmek isteyen herkesin okuması gereken bir kaynak” dedi. Mart 2020 ile Ocak 2021 arasında incelenen 16 fidye yazılımı grubundan Conti, Doppelpaymer, Egregor ve REvil, tuzağa düşürdükleri işletme sayısı açısından başı çekerken, Cl0p ise 5 TB ile çevrimiçi olarak depolanan en büyük veri hırsızlığına imza attı.Özellikle 1 milyar dolar ve üzeri gelir elde eden işletmeleri hedef alan Nefilim grubu ise en yüksek ortalama suç geliri elde eden grup oldu.Rapor, Nefilim tarafından gerçekleştirilen saldırıların genellikle aşağıdaki aşamalardan oluştuğunu ortaya koyuyor:
  • RDP veya dışarıya açık diğer HTTP hizmetlerindeki güvenlik açıklarından yararlanılarak elde edilen kimlik bilgileriyle ilk erişim sağlanır.
  • Sızma tamamlandıktan sonra, yanal hareketler ve meşru yönetici araçları kullanılarak veri hırsızlığı ve şifreleme için hedef alınacak değerli sistemler bulunur.
  • Cobalt Strike, HTTP, HTTPS ve DNS gibi güvenlik duvarlarından geçebilen protokoller ile bir “eve çağrı” sistemi kurulur.
  • Kontrol ve Komuta Merkezi (C&C) sunucuları için dayanıklı barındırma hizmetleri kullanılır.
  • Çalınan veriler, daha sonra işletmelere şantaj yapmak için TOR korumalı web sitelerinde yayınlanır. Nefilim geçtiğimiz yıl yaklaşık 2 TB veri yayınladı.
  • Yeterli miktarda veri sızdırıldıktan sonra fidye yazılımı manuel olarak başlatılır.
 Trend Micro daha önce, fidye yazılımı saldırganlarının gizli kalırken nihai hedeflerine ulaşmalarına yardımcı olmak için AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync gibi meşru araçları yaygın olarak kullandıklarına dair uyarılarda bulunmuştu. Bu durum, BT ortamının farklı bölümlerinden olay günlüklerini inceleyen güvenlik analistlerinin büyük resmi görmesini ve saldırıları tespit etmesini zorlaştırıyor.