Saldırıları Sırasında Hackerların Meşru Güvenlik Araçlarını Kullandığı Keşfedildi

Ransomware çeteleri, saldırılarının erken aşamalarında güvenlik sistemlerini devre dışı bırakmak için tasarlanmış “EDR katilleri” araçları aracılığıyla algılama kaçınmasını geliştirdi.

The Register raporlarına göre, Cisco Talos araştırmacıları, 2024’teki incelenen vakaların neredeyse yarısında fidye yazılımı gruplarının güvenlik korumalarını başarıyla devre dışı bıraktığını gözlemledi. Bu yöntem sayesinde, hackerlar veri hırsızlığını gerçekleştirirken ve fidye yazılımını daha etkili bir şekilde dağıtırken daha uzun süre gizli kalabiliyorlar.

Talos’taki stratejik lider Kendall McKay’a göre, saldırganlar her operasyonda birden fazla EDR katili kullanıyor, bunu The Register rapor etti. Siber suçlular, güvenlik savunmalarını devre dışı bırakmak için EDRSilencer, EDRSandblast, EDRKillShifter ve Terminator araçlarını kullanıyorlar.

The Register, EDRKillShifter gibi bazı fidye yazılım programlarının, güvenlik uygulamalarını kapatmak için Windows sürücü güvenlik açıklarını kullandığını bildiriyor.

The Register, bu zararlı yazılımın ilk olarak Ağustos 2024’te RansomHub çetesinde ortaya çıktığını ve bu tarihten sonra Medusa, BianLian ve Play dahil olmak üzere diğer fidye yazılım grupları tarafından kullanıldığını açıklıyor.

“Amaç genellikle aynıdır: EDR korumalarını öldürmek, suçluların tehlikeye giren ağlarda daha uzun süre tespit edilememe imkanı sağlamak ve sonra onları yakalanıp dışarı atılmadan önce hassas verileri çalmalarına ve fidye yazılımı yaymalarına yardımcı olmak,” diye belirtti McKay, The Register tarafından bildirildiği üzere.

Bu saldırı, etkilenen sistemlerin iyileştirilmesini daha karmaşık hale getirir. Sonuç olarak, organizasyonlar bazen ağlarını tamamen silmek ve yeniden oluşturmak zorunda kalır.

Register, tüm EDR öldürücülerin kötü amaçlı yazılım olmadığını belirtiyor. Talos tarafından yürütülen bir araştırma, fidye yazılım çetelerinin saldırıları sıklıkla meşru araçları kullanarak gerçekleştirdiğini gösterdi.

Bunlardan bir örnek olarak HRSword, Çin merkezli Huorong Network Technology tarafından geliştirilen ticari bir ürün. Sistem aktivitesini izlemek için tasarlanan bu araç, hackerlar tarafından güvenlik yazılımlarını devre dışı bırakmak için kullanılıyor. “Bu, meşru bir ticari araç ancak şimdi tehdit unsurları kendi amaçları için onu ele geçiriyor,” diye belirtti McKay, Register tarafından raporlandığı üzere.

Saldırganlar, düzgün bir şekilde kurulmayan güvenlik araçlarını kullanıyor. The Register’a göre, birçok organizasyon, güvenlik ürünlerini sistemlerinde güvenlik riskleri oluşturan bir şekilde özelleştirme olmadan işletiyor. Bazı organizasyonlar, tehditlerin algılanmasını ancak engellenmemesini ifade eden “yalnızca denetim” modunda uç nokta algılama ve yanıt araçlarını ayarlıyor.

The Register tarafından bildirildiği gibi McKay, “Bu belki de bizim için en endişe vericiydi, çünkü çok düşük maliyetli bir çözüm ve organizasyonlar tarafından kolayca önlenmesi mümkün olan bir şey” diye belirtti.