Son raporlara göre, Bearlyfy (Labubu) adlı tehdit aktörü, Rusya’daki işletmelere yönelik özel olarak tasarlanmış GenieLocker fidye yazılımı ile saldırılar gerçekleştiriyor. Bu kampanya, 2024 yılının ilk çeyreğinden itibaren aktif hale geldi ve özellikle finans, üretim ve kamu sektöründeki kuruluşları hedef alıyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırılar genellikle kimlik avı e-postaları ve zayıf yapılandırılmış RDP erişimleri üzerinden başlıyor. Ardından, GenieLocker’ın yeni varyantları kullanılarak sistemlere sızılıyor. Bu fidye yazılımı, dosya şifreleme işleminin yanı sıra, ağ içi yayılma ve veri sızdırma yetenekleriyle dikkat çekiyor. MITRE ATT&CK matrisinde T1566 (Phishing), T1076 (Remote Desktop Protocol) ve T1486 (Data Encrypted for Impact) teknikleri kullanılıyor.
Bearlyfy, saldırılarını desteklemek için AsyncRAT ve MCP istemcisi gibi araçları kullanıyor. Ayrıca, saldırı sırasında konteyner ortamlarında rastgele SSH portları açarak tespit edilme riskini azaltıyor. Bu teknikler, saldırının karmaşıklığını ve hedef odaklılığını artırıyor.
Hangi Sistemler Risk Altında?
Özellikle Rusya’daki orta ve büyük ölçekli işletmeler, finans kurumları ve kamu altyapıları risk altında. Bu kuruluşlarda kullanılan eski yazılım sürümleri ve güncellenmemiş sistemler, saldırganların giriş noktası oluyor. Ayrıca, yetersiz ağ segmentasyonu ve çok faktörlü kimlik doğrulama (MFA) eksikliği saldırıların başarı oranını artırıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Phishing saldırılarını tespit etmek için gelişmiş e-posta güvenliği çözümleri kullanın.
- RDP erişimlerini sıkılaştırarak gereksiz bağlantıları kapatın ve MFA uygulayın.
- EDR ve SIEM sistemleri ile anormal davranışları ve C2 iletişimlerini izleyin.
- Yazılım ve işletim sistemi yamalarını düzenli olarak uygulayın.
- Ağ segmentasyonu ile kritik sistemleri izole edin ve erişim kontrollerini sıkılaştırın.
- Olay müdahale (incident response) planlarını güncel tutun ve tatbikatlar yapın.
- Log kayıtlarını detaylı tutarak saldırı sonrası analizleri kolaylaştırın.
- Çok katmanlı güvenlik mimarisi benimseyerek saldırı yüzeyini azaltın.
Kurumsal Senaryo: Finans Sektöründe Riskler
Örneğin, bir finans kuruluşunda çalışanlar hedef alınan kimlik avı e-postaları ile kötü amaçlı makrolar içeren dosyalar açmaya yönlendiriliyor. Bu sayede AsyncRAT aracılığıyla sistemlere erişim sağlanıyor. Ardından GenieLocker fidye yazılımı devreye girerek kritik finansal veriler şifreleniyor ve kurum fidye ödemeye zorlanıyor. Bu senaryoda, güçlü e-posta güvenliği, MFA ve hızlı yama yönetimi saldırının önüne geçebilir.
Önerilen Temel Savunma Yaklaşımı
- Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı farkındalığını artırmak.
- RDP ve diğer uzaktan erişim protokollerinde MFA zorunluluğu getirmek.
- EDR çözümleri ile anormal süreç ve dosya aktivitelerini tespit etmek.
- Güncel yama yönetimi ile bilinen CVE’lerin istismarını engellemek.
- Ağ segmentasyonu ve Zero Trust prensipleri ile saldırı yayılımını sınırlamak.
- Detaylı loglama ve SIEM entegrasyonları ile hızlı olay müdahalesi sağlamak.