Snatch; Guy Ritchie’nin o harika filmi! Evet bu adı duyduğumda ben de ilk olarak bu filmi anımsadım. Fakat aslında burada göreceğimiz Snatch, ilk varyantı 2018 yılında görünen bir fidye yazılımından başka bir şey değil…
hackread.com da yer alan bir habere göre Snatch fidye yazılımının kurbanları, Savunma Sanayii Üssü, Gıda ve Tarım ve Bilgi Teknolojisi sektörleri de dahil olmak üzere çeşitli kritik altyapı sektörlerini kapsıyor.
Sitede, artan fidye yazılımı saldırı tehdidiyle mücadele etmek için devam eden bir çaba kapsamında, Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansının (CISA), Snatch fidye yazılımının gelişen taktiklerine ışık tutan ortak bir Siber Güvenlik Danışmanlığı (CSA) yayınladığı belirtiliyor ve şöyle devam ediliyor;
“#StopRansomware girişiminin bir parçası olarak yayınlanan bu danışma belgesi, ağ savunucularını bu zorlu siber tehdide karşı korunmak için önemli bilgilerle donatmayı amaçlıyor.
İlk olarak 2018’de ortaya çıkan Snatch fidye yazılımı çeşidinin dayanıklı bir rakip olduğu kanıtlandı. Hizmet olarak fidye yazılımı (RaaS) modeli altında çalışan Snatch, siber suçlardaki en son trendlerden yararlanmak için taktiklerini sürekli olarak uyarladı. Son FBI araştırmaları, Snatch’in özellikle aktif olduğunu ve en son faaliyetin 1 Haziran 2023 itibarıyla rapor edildiğini ortaya çıkardı.
Snatch fidye yazılımının ayırt edici özelliklerinden biri, virüslü cihazları, antivirüs veya uç nokta koruma yazılımı tarafından tespit edilmeden çalışmasına olanak tanıyan bir teknik olan Güvenli Mod’da yeniden başlatarak tespitten kaçma yeteneğidir.
Bu özellik, veri sızdırma ve çifte gasp eğilimiyle birleştiğinde Snatch’i güçlü bir tehdit haline getiriyor. Snatch tehdit aktörleri, kurbanlardan veri sızdırdıktan sonra genellikle çifte şantaj yöntemine başvuruyor ve fidye ödenmediği takdirde çalınan verileri gasp bloglarında yayınlama tehdidinde bulunuyor.”
Sitede Snatch’in geniş bir hedef yelpazesi olduğu anlatılarak şu bilgiler veriliyor oldukça dikkat çekici bilgiler paylaşılıyor:: Yöntemleri titiz bir yaklaşımı içeriyor; fidye yazılımını dağıtmadan önce kurbanın sisteminde üç aya kadar zaman harcıyorlar. Bu süre zarfında güvenlik açıklarından yararlanırlar, ağlar arasında yatay olarak hareket ederler ve sızdırılacak değerli verileri ararlar..
Snatch’in incelenmesi
Sonicwall Capture Labs Araştırma ekibi 22 Eylül 2023 tarihinde en son Snatch fidye yazılımını analiz ettiğine dair Güvenlik Merkezinde bir yazı yayınladı.
Snatch, kötü amaçlı yazılım yazarlarının fidye yazılımı programını daha sonra saldırıları başlatacak olan bağlı kuruluşlara kiraladığı bir iş modeli olan bir “hizmet olarak fidye yazılımı” (RaaS) olarak çalışır.
Enfeksiyon Döngüsü:
Kötü amaçlı yazılım dosyası, aşağıdaki gibi rastgele bir ad kullanan yürütülebilir bir dosya olarak gelir:
rljybc.exe
Bu fidye yazılımı Go dilinde yazılmıştır ve dizelerinde Go paketlerine yapılan birçok referansta açıkça görülmektedir.
Çalıştırıldığında aynı toplu iş dosyasının birden çok kopyasını %temp% dizinine oluşturur:
Aynı zamanda, bir kitaplık dosyası gibi görünen .dll uzantılı rastgele adlandırılmış bir dosya da yazar.
Ancak dikkatli bir inceleme sonrasında, bunun aslında eriştiği ve oluşturduğu dosyaları gösteren yürütme işleminin bir günlük dosyası olduğu görüldü.
Oluşturulan toplu iş dosyası, gölge kopyaları silmek ve Antivirüs, yedekleme yazılımı, veritabanı, e-posta ve diğerleri ile ilgili belirli hizmetleri devre dışı bırakmak için komutları çalıştırmak için kullanılır.
Şifrelediği tüm dosyalara “.lqepjhgjczo” uzantısını ekler ve fidye yazılımı notunu sistemdeki her dizine ekler.
Fidye notunda yalnızca kötü amaçlı yazılım yazarlarına nasıl ulaşılacağına ilişkin e-posta adresleri listeleniyor ve fidye miktarından bahsedilmiyor. Muhtemelen bu miktar kurbana ve saldırının bir işletmeye veya kuruluşa ne kadar yıkıcı bir maliyet getireceğine bağlı olarak değişebilir.
SonicWall Capture Labs, aşağıdaki imza aracılığıyla bu tehdide karşı koruma sağlar:
GAV: Snatch.RSM_13 (Trojan)
Bu tehdit aynı zamanda SonicWALL Capture ATP w/RTDMI ve Capture Client uç nokta çözümleri tarafından da tespit edilir.
Tavsiye ve Önlemler
FBI ve CISA, tavsiye niteliğindeki raporlarında, Snatch’in faaliyetlerine dayanarak, kuruluşlara fidye yazılımı olaylarının olasılığını ve etkisini azaltmak için çeşitli önemli hafifletici önlemlerin ve tavsiyelerin altını çizdi:
- Uzaktan Erişimi Denetleme ve Kontrol Etme: Kuruluşlara uzaktan erişim araçlarını denetlemeleri ve kontrol etmeleri, kullanımlarını izlemeleri ve yetkili uzaktan erişimin yalnızca VPN’ler gibi onaylanmış kanallar aracılığıyla kullanılmasını zorunlu kılmaları önerilir.
- Uygulama Kontrollerinin Uygulanması: Yetkisiz kurulumları önlemek amacıyla uzaktan erişim programlarına izin verilmesi de dahil olmak üzere, yazılımın yürütülmesini yönetmek ve kontrol etmek için uygulama kontrolleri uygulamaya konulmalıdır.
- Kimlik Bilgisi Güvenliğini Güçlendirin: Güçlü parola politikaları uygulayarak, çok faktörlü kimlik doğrulamayı uygulayarak ve düz metin kimlik bilgilerinin komut dosyalarında depolanmasını önleyerek kimlik bilgilerini koruyun.
- Düzenli Güncelleme ve Yama: Bilinen istismar edilen güvenlik açıklarına yama uygulanmasına öncelik vererek tüm sistemleri, yazılımı ve donanım yazılımını güncel tutun.
- Ağ Segmentasyonu: Fidye yazılımının yayılmasını sınırlamak ve düşmanın yanal hareketini kısıtlamak için ağ segmentasyonunu kullanın.
- Veri Yedekleme ve Şifreleme: Verilerin çevrimdışı yedeklerini koruyun, veri yedeklemelerinin şifrelenmiş, değiştirilemez olduğundan ve tüm kuruluşun veri altyapısını kapsadığından emin olun.
- Güvenlik Testi ve Doğrulama: Güvenlik kontrollerini bilinen tehdit davranışlarına karşı sürekli olarak test edin ve doğrulayın, bunları MITRE ATT&CK teknikleriyle uyumlu hale getirin.
Kaynaklar: