top of page

Rhysida Ransomware Tehlikelerine Karşı Uyarı: Veri ve Cihazlarınızı Nasıl Korursunuz



Fidye yazılımları dünya çapında büyüyen bir sorundur. Yeni teknoloji ve gelişen tekniklerle fidye yazılımı türlerinin durdurulması giderek zorlaşmakta. Bu sorunların arasında yeni eklenen fidye yazılımı ise Rhysida'dır.


Mayıs 2023'te ortaya çıkan Rhysida fidye yazılımı, sağlık kuruluşlarına karşı yaptığı bir dizi saldırı ardından adından söz ettirdi. Rhysida grubunun şimdiye kadarki kurbanlarından biri ise Şili ordusu oldu. Grup ordu askerleri hakkında yaklaşık 360.000 doküman yayınlandı. Gruba göre bu veriler ganimetlerinin %30'unu oluşturmaktadır. Ağustos ayının başında ise Prospect Medical Holdings'te grubun hedeflerinden biri oldu. Yapılan saldırı ABD'deki 16 hastane ve 166 tıbbi tesisi etkiledi. Bu saldırı ABD hastane sistemlerine yapılan en büyük kapsamlı saldırı olarak kabul edildi. Grubun öncelikli olarak eğitim, üretim, teknoloji, ve yönetilen hizmet sağlayıcı sektörlerine sağladığı söyleniyor. Ancak yapılan saldırıların büyük kısmı sağlık ve kamu sağlığı sektörlerine yönelik oldu.

Sağlık Sektörü Güvenlik Koordinasyon Merkezi (HC3), 4 Ağustos 2023'te Rhysida fidye yazılımı hakkında bir güvenlik uyarısında bulundu. HC3'ün uyarısına göre Rhysida grubu, Mayıs ayında karanlık ağda bir kurban destek sohbet portalıyla ortaya çıktı. Grup kendisini kurbanlarına ağ ve sistemlerindeki zayıflık ve zafiyetlerin tespit edilmesi için siber güvenlik ekibi olarak tanıttı.


Haziran 2023'ten bu yana grubun 8 adet kurbanı olduğu bildirilmekte. Yapılan güvenlik uyarısında Rhysida'yı "MINGW/GCC kullanarak derlenen 64bit taşınabilir ve yürütülebilir (PE) Windows kriptografik fidye yazılım"ı olarak tanımlandı.


 

Rhysida Ransomware Nasıl Çalışır ?



Rhysida birden fazla ve farklı yollar ile dağılabilmekte. Bu fidye yazılımı kurbanın makinesine kimlik avı tuzakları yolu ile girdikten sonra sistem içerisinde yanal hareket için Cobalt Strike kullanmakta. Cobalt Strike, penetrasyon testleri ve red team simülasyonları için kullanılan bir araçtır. Güvenlik uzmanlarının sızma testi ve mavi takım alıştırmaları esnasında karşı tarafın savunma sistemlerini dolaşmak için kullandığı gelişmiş bir imitasyon framework'dür.


Güvenlik uzmanları tarafından yapılan araştırmada PowerShell ve Ryshida fidye yazılımının yükünü dağıtmak için PsExec'i çalıştırdığı tespit edildi. Rhysida Ransomware'ın antivirüs işlemlerini sonlandırdığını, gölge kopyaları sildiğini, RDP (Uzak Masaüstü Protokolü) yapılandırmalarını değiştirdiğini ve AD (Active Directory) şifresini değiştirdiği tespit edildi.



Rhysida fidye yazılımının komut yürütme ve şifreleme komut dosyaları:

Dosya Adı

Hash(SHA256)

İşlev

conhost.exe

6633fa85bb234a75927b23417313e51a4c155e12f71da3959e168851a600b010

Fidye yazılımı dosyası

psexec.exe

078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b

Uzak veya yerel cihazda işlemi gerçekleştirmek için kullanılan uygulama

S_0.bat

1c4978cd5d750a2985da9b58db137fc74d28422f1e087fd77642faa7efe7b597

Toplu komut dosyası

1.ps1

4e34b9442f825a16d7f6557193426ae7a18899ed46d3b896f6e4357367276183

Şifrelenecek ve şifrelenemeyecek dosyaların blok listesini planlar

S_1.bat

97766464d0f2f91b82b557ac656ab82e15cae7896b1d8c98632ca53c15cf06c4

Şifreleme dosyasının kopyasını üreten toplu komut dosyası

S_2.bat

918784e25bd24192ce4e999538be96898558660659e3c624a5f27857784cd7e1

Dosya uzantılarına .rhysida ekleyen ve şifreleyen komut dosyası

Fidye Yazılımın Şifreleme Yönteminin Yol Haritasi


Rhysida ağ haritalaması yaptıktan sonra ChaCha20 algoritmasına sahip 4096 bitlik RSA şifreleme anahtarı kullanarak hedef verileri şifrelemektedir. Kullanılan algoritma 256 bitlik anahtar 32 bitlik bir sayaç ve 96 bitlik bir nonce ile birlikte düz metinde 32 bitlik sözcüklerden oluşan dörde dörtlük bir matris içermektedir.


Rhysida şifreleyicisi hedef dosya ve verileri şifreler ardından dosyalara .rhysida uzantısı ekleyerek erişilemez duruma getirir. Kurbanların kendisi ile ileitşime geçmesi ve yönergeleri bildirmesi için "CriticalBreachDetected" isimli bir fidye notu bıraktığı tespit edildi. İşlem sonunda gizli pencerede çalışan ikili komut dosyaları kenidisini powershell komutları ile ağ ve cihazdan temizler.



Fidye yazılımı grubu verileri şifreledikten sonra verilerin şifrelerinin çözülmesi için bir fidye talebinde bulunmaktadır. Fidye belirtilen tarihe kadar ödenmediği duruma ise verilerin sızdırılacağına dair tehditte bulunmaktadır. Rhysida bu yöntemi kullanmasından dolayı çifte gasp yaptığı bilinmektedir. Grup, kurbanlar ile iletişim kurmak için tor tabanlı bir portal kullanarak iletişim sağlanması için "CriticalBreachDetected" adlı fidye notunun içine unique (benzersiz) bir kod vermektedir ve kurbanlar portala eritikten sonra iletişime geçerek fidye ödemelerini bitcoin gibi kripto ödeme yöntemlerini kullanarak istemektedir.


Fidye Yazılımlarına Karşı Nasıl Önlem Alınmalı ?

  1. İşletim Sistemleri ve Yazılımlarını Güncel Tutmak: Yazılım ve işletim sistemlerini güncel tutmak her türlü zafiyet, fidye yazılımlarına maruz kalma gibi istismar edilebilecek güncelik açıklarından korunmayı sağlar

  2. Güçlü ve Tahmin Edilmesi Zor Şifre Kullanımı: Bütün cihazların ve hesapların şifreleri benzersiz ve tahmin edilmesi zor şekilde belirlenmeli. Kullanılan şifreleri farklı cihaz ve hesaplarda tekrar kullanmaktan kaçınılmalıdır. Aynı zamanda kullanılan bütün şifreler belirli periyotlarla değiştirilmelidir.

  3. Sosyal Mühendislik Saldırılarına Karşı Tedbirli Olmak: Fidye yazılımları genellike e-posta yolu ile iletilen kötü amaçlı bağlantı veya ekler içeren mailler ile yayılmaktadır. Gelen mailleri açarken ve mail içeriğindeki dosya ve bağlantıları kullanırken dikkat edilmelidir.

  4. Verilerin Yedeğinin Tutulması: Kritik ve erişilmesi durumunda sorun teşkil edebilecek veriler güvenli aygıtlar veya bulut depolama hizmetleri ile yedeklenmelidir. Ayrıca fidye yazılımı saldırısı durumunda yedek verilerin tehdit altında olmaması için yedeklerin ayrı ve yalıtılmış bir ağda tutulmasıda önem teşkil etmektedir.



Kaynakça:


32 görüntüleme0 yorum

Son Yazılar

Hepsini Gör

Comments


bottom of page