Analiz: Fidye Yazılımı AvosLocker PC Güvenliğini Çeşitli Hamleler ile Aşıyor

Fidye yazılım piyasasına yeni dahil olan AvosLocker, saldırılarını artırırken güvenlik yazılımlarını aşmak için farklı yöntemler kullanıyor. Bu kapsamda siber güvenlik uzmanları, 2021 yazında beliren ve insan kontrollü uygulanan AvosLocker’ın yayılmak için “erişim ortakları” kullandığını belirtti. Erişim ortakları, güvenliği daha önceden ihlal edilmiş makinelere kötü amaçlı yazılımların sızmasını sağlayarak bir nevi REvil fidye yazılımının boşluğunu doldurmaya çalışıyor.

AvosLocker’ın özelliklerinden biri AnyDesk IT yönetim aracını kullanarak Windows Güvenli Modunu çalıştırması. Güvenli Mod opsiyonu REvil, Snatch ve BlackMatter gibi kötü amaçlı yazılımlar tarafından hedeflerin güvenlik altyapısını ve IT yönetim araçlarını işlevsiz bırakmak için kullanılıyordu. Birçok bitim noktası güvenlik ürünü Güvenli Modda çalışmıyor. Özel tanısal ayar modunu temsil eden Güvenli Modda üçüncü parti sunucular ve yazılımlar devre dışı kalıyor, dahası makineler güvenlikten arınıyor.

Meşru bir uzaktan yönetim aracını* temsil eden AnyDesk, aynı fonksiyonu gösterdiği için siber korsanlar tarafından TeamViewer’a bir alternatif olarak belirdi. Siber korsanlar, ağa bağlı haldeyken AnyDesk’i Güvenli Modda çalıştırarak, enfekte edilen makinelerin kontrolünü ele geçiriyor.

Siber örgütlerin yöntemlerini pekiştiriyor

AvosLocker diğer siber örgütlerin yöntemlerini pekiştirirken, güvenlik uzmanları kötü amaçlı yazılımı “basit ama akıllı” olarak niteliyor. Avos, Güvenli Mod yöntemini kopyalarken, Güvenli Modda bulunduğu sırada makinelerin kumanda ve kontrolü için AnyDesk’i yüklüyor.

AvosLocker kullanan siber korsanlar, saldırıların son aşamasında Güvenli Mod kullanarak yeniden başlatıyor, aynı zamanda Güvenli Modu ayarlayarak bilgisayar açıldığında AnyDesk yüklenmesini sağlıyor.

Güvenlik uzmanları, Güvenli Modda AnyDesk çalıştıran makineleri meşru kullanıcılarının kullanamayabileceğini not düşüyor. Makineye erişim sağlamak için fiziksel temas gerekebilirken, bu durum geniş bir Windows PC ve sunucu ağını çok olumsuz şekilde etkileyebilir.

AvosLocker’ın kullandığı yöntemlerden birinde, bir Linux bileşeni herhangi sanal makineleri devre dışı bırakarak VMware ESXi hypervisor (diğer işletim sistemlerinin çalıştırılması işlevine sahip olan işletim sistemi türü) sunucularını hedefliyor, ardından VM dosyalarını şifreliyor. Bu arada güvenlik uzmanları siber korsanların sunucuya erişmesini mümkün kılan hesap bilgilerini nasıl elde ettiğini araştırmaya devam ediyor. Bu konu gündemde daha uzun süre yer edinecek gibi.

Siber korsanlar aynı zamanda IT yönetim aracı PDQ Deploy kullanarak Love.bat, update.bat ve lock.bat gibi çok sayıda Windows yama kodunu hedef makinelere yönlendiriyor. Yaklaşık beş saniye içinde bu komutlar, Güvenli Mod içinde çalışan güvenlik unsurlarını devre dışı bırakıyor. Aynı zamanda otomatik hesap giriş bilgileri ile yeni bir hesap oluşturuyorlar ve hedefin alan adı kontrolcüsüne bağlanıyorlar. Şaşırtıcı ama böylece fidye yazılım uzaktan kontrol edilip çalıştırılabiliyor.

AvosLocker gibi manuel olarak makinelere taşınan fidye yazılımlar sadece siber saldırının taşıdığı riskten dolayı değil, aynı zamanda siber saldırganların hedeflenen ağ içinde oluşturduğu arka kapı (İngilizcesi Backdoor, bilgisayar sistemlerinin normal güvenliğini ya da şifrelemesini es geçen, genellikle gizli bir yöntemdir. Bu sayede bilgisayar sistemi yetkisiz erişim ve işlemlere açık hale gelir.) mekanizmaları nedeniyle son derece karmaşık bir sorun teşkil ediyor. Güvenlik uzmanları, “bu durumlarda hiçbir alarm ne kadar sıradan görünseler bile asla göz ardı edilmemeli” uyarısında bulunuyor.

   *Uzaktan Yönetim Aracı (RAT) nedir?

Siber saldırganları akıl almaz bir tehdide dönüştüren ve Remote Adminstration Tool’un ilk harfleri ile oluşturulan RAT, hedeflenen aygıtın online olduğunda sınırsız erişime açık hale gelmesine yol açan yazılımlara verilen genel ad. Fare ve klavyenin dahi kontrol altına alınabildiği saldırılar, temelde uzaktan bilgisayara bağlantı sağlayan araçların kötü amaçlarla kullanımı ile günyüzüne çıkıyor.