Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti
Geçtiğimiz yıl birçok ülkenin sağlık sistemlerini ve acil servis hizmetlerini sekteye uğratan Conti fidye grubu dünya çapında 400'den fazla sistemi etkiledi ve halen sağlık sistemi, acil servis hizmetleri ve belediye hizmetlerine sekte vurmaya devam ediyor.
Conti grubu da standart bir fidye zararlısı grubu gibi, verileri şifreler ve fidye talep eder, eğer ödeme belirtilen sürede gerçekleşmez ise, veriler bu grup tarafından açığa çıkarılarak kurumun hukuki ve itibari sıkıntıya düşürülmesi sağlanır. Conti grubu sızdığı sisteme göre fiyat belirlemekte ve son olarak sızdığı bir ülke sağlık sisteminden 25 milyon dolar talep etmiştir.
Çalınan RDP kullanıcı hesaplarını satın alan grupların kuruluşlardaki fidye saldırıları kapışması başlıyor ve aynı bilgilere sahip farklı grupların da kurum içerisinde şifreleme esnasında birçok dosyayı bozduğu da görülüyor.
Aynı zamanda fidye gruplarının yoğun olarak sağlık, enerji, telekom, savunma gibi sektörleri tercih sebebi de, herhangi bir sistem durması halinde direkt kitlelerin etkilemesi ve birçok kuruluşta savunma ve acil durum planının uygulanmasının bile, fidye ödeyip sistemleri aktif hale getirmekten daha uzun sürmesi olduğu belirtiliyor.
ABD savunma sanayi şirketi olan BlueForce’un Conti fidye yazılımından etkilendiği ve BlueForce’a ait kritik verilerin sızdırıldığı tespit edilmiştir. Saldırı, Conti fidye grubuyla iletişime geçmeye çalışan bir kullanıcının mesajlarına ait ekran görüntülerinin forumlarda paylaşılması ile ortaya çıkmıştır.
Söz konusu zararlı yazılım, hedef cihazlara Cobalt Strike shell’i içeren 200kb boyutunda DLL dosyaları ile bulaşmaktadır. Erişim sağlandıktan sonra, C&C (Komut ve Kontrol) sunucusu ile iletişim kurmakta ve sistem keşfi yapmaktadır. Hedef cihazda kritik dosyaları şifreleyen Conti zararlısı, şifrelediği dosyaları C&C sunucusuna aktarmaktadır. Conti fidye yazılımının arkasındaki tehdit aktörleri, ele geçirilen verileri 17 BTC (976,577.82 $) karşılığında geri vereceğini söylemektedir.
Güvenlik araştırmacıları, Conti fidye yazılımının arkasındaki tehdit aktörlerinin gelişmiş yöntemler kullandığını belirtmektedir. Kritik siber saldırılardan etkilenmemek adına, güvenilir olmayan kaynaklardan dosya indirilmemesi ve aşağıda tespit edilen IoC (Indicator of Compromise) bulgularının güvenlik cihazları tarafından engellenmesi önerilmektedir.
- Geri Dön
- 4 dk okuma
-
Securvent