BlueSky Fidye Yazılımı: Yeni Ortaya Çıkan Siber Tehdidin Kapsamlı Bir Analizi
Fidye yazılımları, siber güvenlik alanındaki en zorlu sorunlardan biri haline gelmiştir. BlueSky Fidye Yazılımı bu kötü niyetli saldırıların en son evrimini temsil ediyor. Temmuz 2022'de ortaya çıkan BlueSky, hızlı şifreleme yetenekleri ve sofistike kaçınma teknikleriyle kısa sürede ün kazandı.
Bu makale, BlueSky Fidye Yazılımının teknik mekanizmalarını, saldırı metodolojilerini ve siber güvenlik üzerindeki daha geniş etkilerini inceleyerek bu yazılımın inceliklerini araştırmaktadır.
BlueSky Fidye Yazılımı Profili
BlueSky Ransomware bir fidye yazılımı olarak sahneye çıktı. kötü amaçlı yazılım sistemlere sızmak için şüpheli web sitelerinden truva atı indirmelerinden yararlanıyor. Diğer fidye yazılımı operasyonlarının aksine BlueSky, kurban veri listeleme blogu tutma uygulamasından kaçınarak daha gizli bir yaklaşımı tercih ediyor. Büyük işletmelerden ve yüksek değerli hedeflerden küçük ve orta ölçekli işletmelere (KOBİ'ler) kadar değişen varlıkları ayrım gözetmeksizin hedef alır ve kurbanlarının boyutu veya türü için herhangi bir tercih göstermez.
BlueSky Fidye Yazılımının Teknik Analizi
Enfeksiyon ve Operasyon
BlueSky Ransomware'in dağıtımı öncelikle güvenliği ihlal edilmiş indirmeler yoluyla veya aşağıdaki gibi gelişmiş üçüncü taraf çerçeveler aracılığıyla yapılır Cobalt Strike ve BRc4. Özellikle, bu sistemde NtSetInformationThread fonksiyonu tarafından belgelenen bir tekniktir. Microsofthata ayıklayıcılardan ve Uç Nokta Tespit ve Yanıt (EDR) araçlarından iş parçacıklarını gizlemek ve analizden etkili bir şekilde kaçınmak için.
BlueSky, bir ağ içinde yayılmak için yerel sürücüleri GetLogicalDriveStringsW API'si aracılığıyla yayılır ve Sunucu İleti Bloğu (SMB) protokolüYanal hareket için yaygın bir vektör. Virüs bulaştıktan sonra, kurbanlar kurtarma süreçlerini yönetebilecekleri bir 'DECRYPTOR' portalına yönlendirilerek fidye yazılımının kullanıcı merkezli tasarımı vurgulanıyor.
Şifreleme Algoritmaları
Şifreleme açısından BlueSky şunları kullanır ChaCha20 algoritması dosya şifreleme için, hızı ve güvenliği ile bilinen bir yöntemdir. Anahtar üretimi için şunları kullanır Curve25519yüksek güvenlik seviyeleri sunan bir eliptik eğri. Bu seçimler, fidye yazılımının Conti ve Babuk gibi kötü şöhretli gruplarla karşılaştırmalara neden olan hızlı ve güvenli şifrelemeye odaklandığının altını çiziyor.
Damlalık Mekanizması
BlueSky'ın ilk teslimatı genellikle PowerShell komut dosyası aracılığıyla yapılır start.ps1sahte bir web sitesinden getirilir. Bu komut dosyası Base64 kodlaması ve DEFLATE sıkıştırması kullanılarak gizlenmiş olup fidye yazılımının çok katmanlı gizleme tekniklerini göstermektedir. Kurbanın makinesine girdikten sonra, yük şu şekilde maskelenir javaw.exeyasal uygulamaları taklit etmek ve tespit edilmekten kaçınmak için bir taktik.
Ayrıcalık Yükseltme
BlueSky, kullanılan Windows sürümüne bağlı olarak CVE-2020-0796 ve CVE-2021-1732 gibi güvenlik açıklarını kullanarak ayrıcalıkları yükseltmeye çalışır. Bu istismarlar, fidye yazılımının uyarlanabilirliğinin ve yaratıcılarının teknik zekasının bir göstergesidir.
Fidye Yazılımı Yükü
Yük, indirildikten sonra Başlangıç klasöründen kaydedilir ve çalıştırılır, böylece sistemin yeniden başlatılması boyunca kalıcı olması sağlanır. Dosya şifrelemenin ardından, BlueSky hem metin hem de HTML formatlarında bir fidye notu bırakarak kurbanlara fidye ödemesine nasıl devam edecekleri konusunda talimatlar verir.
Anti-Analiz Teknikleri
BlueSky, güvenlik analistleri için kırılması zor bir ceviz olacak şekilde tasarlanmıştır ve dize şifreleme, API gizleme ve hata ayıklama karşıtı önlemler kullanır. Bu anti-analiz teknikleri, fidye yazılımının iç işleyişini inceleme ve anlama çabalarını zorlaştırıyor.
Benzersiz Kimlik Oluşturma
BlueSky'nin her kurbanına, sistem bilgilerine dayalı olarak oluşturulan benzersiz bir kullanıcı kimliği atanır. Bu kimlik kurbanı izlemek ve şifre çözme sürecini yönetmek için kullanılır. Fidye yazılımı ayrıca şifrelemeyle ilgili verileri depolamak için bir kayıt defteri anahtarı oluşturarak virüslü sisteme daha da yerleşir.
Dosya Şifreleme İşlemi
BlueSky şifreleme sürecinde seçicidir, belirli dosya uzantılarını ve dizin adlarını korur. Dosyaları şifrelemek için çok iş parçacıklı bir kuyruk sistemi kullanarak verimliliğini ve kuruluşların veri bütünlüğüne yönelik oluşturduğu tehdidi gözler önüne serer.
RedLine Infostealer ile Ortaklık
İlginç bir şekilde, BlueSky'ın bazı örnekleri RedLine bilgi hırsızı ile aynı etki alanında bulunmuştur. Bununla birlikte, doğrudan kod örtüşmesi gözlenmemiştir, bu da iki tehdit arasında olası ancak kesin olmayan bir ilişki olduğunu düşündürmektedir.
Uzlaşma Göstergeleri (IOC'ler) ve Tespitler
Güvenlik ekipleri, fidye yazılımı yüklerinin SHA256 karmaları, gizlenmiş PowerShell indiricileri ve ayrıcalık yükseltme için kullanılan istismarlar gibi IOC'leri izleyerek BlueSky saldırılarına karşı tetikte kalabilir. Fidye yazılımının komuta ve kontrol sunucuları ve fidye notu ile ilgili URL'ler de tespit için kritik öneme sahiptir.
Saldırı Metodolojisi
İlk İhlal
BlueSky Ransomware'in saldırı döngüsü genellikle bir kaba kuvvet saldırısı ile başlar halka açık MSSQL sunucuları. Bu yöntem aşağıdaki raporda ayrıntılı olarak açıklanmıştır DFIR Raporusaldırganlar erişim sağlamadan önce "sa" (Sistem Yöneticisi) hesabında 10.000'den fazla başarısız girişimde bulunmuştur. İçeri girdikten sonra, kabuk komutlarını çalıştırmak için "xp_cmdshell "den yararlanarak sistemdeki yerlerini daha da sağlamlaştırdılar.
İstismar Sonrası Eylemler
İlk ihlalin ardından saldırganlar bir Cobalt Strike bağlantısı kurar ve SMB taramaları gerçekleştirmek ve ek ağ kaynaklarını keşfetmek için PowerShell komut dosyalarını çalıştırır. Bu aşama aynı zamanda bir Tor2Mine sunucusuna bağlanmayı ve antivirüs yazılımını devre dışı bırakmak, madenci yüklerini bırakmak ve ele geçirilen ortamda kalıcılığı sağlamak için komut dosyaları çalıştırmayı da içerir. Yanal hareket, BlueSky saldırısının önemli bir bileşenidir ve fidye yazılımı etkisini en üst düzeye çıkarmak için etki alanı denetleyicilerine ve dosya paylaşımlarına doğru hareket eder.
Azaltma ve Önleme Stratejileri
Tespit ve Müdahale
Bu SentinelOne Singularity XDR Platformu BlueSky fidye yazılımı davranışlarını ve yapıtlarını tespit etmek ve önlemek için donatılmıştır. Bu platforma sahip olmayan kuruluşlar için Palo Alto Networks, aşağıdakileri içeren bir hizmet paketi aracılığıyla BlueSky'ye karşı koruma sağlar Cortex XDR, Yeni Nesil Güvenlik Duvarı, Gelişmiş URL Filtreleme, DNS Güvenliğive WildFire.
En İyi Uygulamalar
Kuruluşlar, BlueSky fidye yazılımı saldırısı riskini, aşağıdakiler de dahil olmak üzere çeşitli en iyi uygulamaları uygulayarak azaltabilirler:
- Güvenlik açıklarını belirlemek için düzenli güvenlik denetimleri.
- Çalışanların siber güvenlik tehditlerini tanıması ve bunlara yanıt vermesi için eğitilmesi.
- Güçlü, benzersiz parolalar kullanmak ve bunları düzenli olarak güncellemek.
- Tüm kullanıcı hesapları için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirme.
- Sistemlerin en son yamalar ve güncellemelerle güncel tutulması.
- Bir saldırı durumunda veri kaybını en aza indirmek için sağlam bir yedekleme ve felaket kurtarma planı uygulamak.
Kripto Para ve Fidye Yazılımı
BlueSky gibi fidye yazılımı operasyonları genellikle şu şekilde ödeme talep eder kripto para birimleri Algılanan anonimlik ve işlemlerin izlenmesindeki zorluk nedeniyle. Kripto para birimlerine yönelik bu tercih, merkezi otoriteye ihtiyaç duymadan sınır ötesi işlemleri kolaylaştırdığı ve siber suçluların fidye almak için tercih ettiği bir yöntem haline getirdiği için siber güvenlik uzmanları ve mali düzenleyiciler için önemli zorluklar teşkil etmektedir.
Vaka Çalışmaları ve Gerçek Dünya Olayları
BlueSky fidye yazılımını içeren kayda değer bir olay, fidye yazılımının ağ genelinde hızla yayılmasına yol açan bir MSSQL Sunucusuna yapılan kaba kuvvet saldırısıydı. Saldırı, ilk erişimden sonraki bir saat içinde gerçekleştirilmiş ve saldırı yaklaşık 30 dakika sürmüş ve hiçbir veri sızıntısı gözlenmemiştir. Bu vaka çalışması, BlueSky fidye yazılımı saldırılarının hızını ve verimliliğini ve hızlı olay müdahalesinin önemini vurgulamaktadır.
BlueSky Fidye Yazılımıyla Mücadele
BlueSky Fidye Yazılımı tehdidiyle mücadele etmek isteyen kuruluşlar için gelişmiş tehdit avlama teknikleri çok önemlidir. Cyborg Security'nin HUNTER Platformu BlueSky gibi tehditlere karşı koymak için tasarlanmış avlanma paketleri sunar. Bu paketler, fidye yazılımı saldırılarını tespit etmede ve azaltmada etkili olabilecek davranışsal tehdit avı içeriğini içerir.
Sonuç
BlueSky Fidye Yazılımı, dünya çapındaki kuruluşlar için önemli ve gelişen bir tehdit oluşturmaktadır. Sofistike şifreleme yöntemleri, kaçınma teknikleri ve hızlı yayılımı onu siber güvenlik ekipleri için zorlu bir mücadele haline getirmektedir. Fidye yazılımının mekanizmalarını anlayarak, IOC'lere karşı tetikte kalarak ve sağlam azaltma stratejileri uygulayarak kuruluşlar kendilerini bu ve diğer fidye yazılımı tehditlerine karşı daha iyi koruyabilirler.
Siber tehditler gelişmeye devam ettikçe, proaktif savunma önlemleri ve gelişmiş tehdit avcılığı fidye yazılımlarına karşı mücadelede kritik bileşenler olmaya devam edecektir.
TR 
EN