Fidye yazılımı dünya çapında büyüyen bir sorun. Yeni teknoloji ve gelişen tekniklerle fidye yazılımı türlerinin durdurulması giderek zorlaşıyor. Bu soruna en yeni eklenen ise Rhysida fidye yazılımı.
Rhysida fidye yazılımı, sağlık kuruluşlarına yönelik bir dizi saldırının ardından adından söz ettirmeyi başardı. Mayıs 2023’te ortaya çıkan bu fidye yazılımı daha da fazla ilgi çekmeye başladı.
Fidye yazılımı grubunun şimdiye kadarki kurbanları arasında Şili Ordusu da yer alıyor. 29 Mayıs’ta ordu, sistemlerinin ihlal nedeniyle bozulduğunu açıkladı. Rhysida daha sonra yaklaşık 360.000 Şili Ordusu belgesi yayınladı. Gruba göre bu, ele geçirdikleri bilgilerin yalnızca %30’unu oluşturuyordu.
Prospect Medical Holdings de Ağustos başında Rhysida fidye yazılımının kurbanı oldu. Saldırı, Amerika Birleşik Devletleri’ndeki 16 hastaneyi ve 166 diğer tıbbi tesisi etkiledi. Bu siber saldırı, geçen yıldan bu yana ABD hastane sistemine yapılan en büyük saldırı olarak kabul edildi.
Rhysida Fidye Yazılımı Nedir?
4 Ağustos 2023’te Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (Health Sector Cybersecurity Coordinaton Center-HC3), Ransom.PS1.RHYSIDA.SM olarak tespit edilen, Rhysida fidye yazılımı hakkında güvenlik uyarısı yayınladı. Uyarıya göre Rhysida Grubu, Mayıs ayında karanlık ağda kurban destek sohbet portalıyla ortaya çıktı.
Fidye Yazılımı grubu, kendilerini kurbanlara ağları ve sistemlerindeki güvenlik zayıflıklarını bulmalarında yardımcı olmayı teklif eden bir “siber güvenlik ekibi” olarak tanıttı. Mayıs 2023’ün sonunda ortaya çıkan grup, hızla yayıldı.
Haziran 2023’ten bu yana fidye yazılımı grubunun veri sızıntısı web sitesinde 8 kurban listeleniyor. Güvenlik uyarısı, Rhysida’yı “MINGW/GCC kullanılarak derlenen 64 bit Taşınabilir Yürütülebilir (PE) Windows kriptografik fidye yazılımı uygulaması” olarak tanımladı. Analiz edilen her örnekte uygulamanın program adı Rhysida-0.1 olarak ayarlandı. Bu da aracın geliştirme sürecinin erken aşamalarında olduğunun bir göstergesi. Aracın dikkate değer bir özelliği de kayıt defteri değiştirme komutlarını gösteren düz metin dizileridir.
Rhysida fidye yazılımı tarafından kullanılan bazı teknikler, taktikler ve araçlar (TTP’ler), Vice Society’ninkilerle karşılaştırıldı. Güvenlik uzmanları, iki fidye yazılımı grubu arasında, Vice Society’nin Rhysida’yı tercih ettiği fidye yazılımı yüklerinden biri olarak benimsemiş olabileceğini öne süren çarpıcı benzerliklere dikkat çekti.
Benzerlikler arasında uzak masaüstü protokolü (RDP) bağlantılarının kullanımı, uzak PowerShell oturumları (WinRM) ve yanal hareket için PsExec gibi araçların kullanımı yer alıyor. Eğitim ve sağlık sektörlerine olan ilgi de bu teoriyi güçlendiriyor
Rhysida Kimi Hedefliyor?
HH3 güvenlik uyarısı, Rhysida fidye yazılımının kurbanlarının Batı Avrupa, Kuzey ve Güney Amerika ve Avustralya’daki birçok ülkeye dağıldığının sinyalini verdi. Şu ana kadar kurbanların çoğunluğu ABD, İngiltere, İtalya, İspanya ve Avusturya’da bulunuyor.
Grubun öncelikli olarak eğitim, kamu, üretim, teknoloji ve yönetilen hizmet sağlayıcı (MSP) sektörlerine saldırdığı söyleniyor. Son dönemde ise, Sağlık ve Kamu Sağlığı (STEH) sektörlerine de yönelik saldırılar yaşandı.
Çoğu fidye yazılımı grubu hastanelerden ve sağlık kuruluşlarından uzak dururken, Rhysida fidye yazılımı grubu, böyle bir etik çatışmadan etkilenmiyor.
Rhysida Nasıl Çalışır?
Rhysida fidye yazılımı çeşitli yollarla dağıtılıyor. Grubun ağları aşmak ve yüklerini dağıtmak için kimlik avı saldırılarına ve Cobalt Strike’a güvendiği biliniyor. Cobalt Strike, hackerların geliştirdiği istismar yetenekleri nedeniyle sıklıkla kullanılan bir penetrasyon testi aracıdır. Rhysida fidye yazılımı kurbanın makinesine kimlik avı tuzakları yoluyla girdikten sonra, sistem içinde yanal hareket için Cobalt Strike kullanıyor.
Güvenlik uzmanları tarafından yapılan telemetri, tehdit aktörlerinin PowerShell komut dosyalarını ve Rhysida fidye yazılımı yükünü dağıtmak için PsExec’i çalıştırdığını da gösterdi. Bleeping Computer, Rhysida operatörleri tarafından kullanılan PowerShell komut dosyalarının antivirüs işlemlerini sonlandırdığını, gölge kopyaları sildiğini, Uzak Masaüstü Protokolü yapılandırmalarını değiştirdiğini ve aktif dizin (AD) şifresini değiştirdiğini bildirdi.
Bu görevleri genellikle bir fidye yazılımı şifreleyici gerçekleştirirken, Rhysida fidye yazılımı aynı amaçlara ulaşmak için harici komut dosyaları kullanır. Tüm bunlar, fidye yazılımının aktif gelişimini gösteriyor.
Başka bir rapor ayrıca, en yeni Rhysida dolabının dosya şifreleme için ChaCha20 algoritmasına sahip 4096 bitlik bir RSA anahtarı kullandığını ve artık birkaç dizini hariç tuttuğunu doğruluyor. Rhysida fidye yazılımı çalıştığında, güvenlik uzmanları komut satırından dosyaları tarayan, “file_to_crypt” işlevini çalıştıran ve başarılı olursa dosya uzantısını “.rhysida” olarak değiştiren bir çıktı fark etti.
Uygulanan saldırı yöntemleri herhangi bir kuruluşa özgü değildir; bu da herhangi bir sektörün potansiyel hedef olabileceği anlamına gelir.
Başarılı şifrelemenin ardından fidye yazılımı, kurbanlara portalları aracılığıyla grupla iletişime geçmeleri ve Bitcoin ile ödeme yapmaları talimatını veren bir PDF fidye notu bırakır. PDF notlarının kullanılması aynı zamanda grubun ağ cihazları veya sunucularında kullanılan komut satırı işletim sistemlerini hedeflemediğini de gösteriyor.
Rhysida grubu, fidye ödenmediği takdirde çalınan verileri ifşa etmekle tehdit ediyor. Bu da, çifte gasp fidye yazılımı grubu olarak sınıflandırılabilecekleri anlamına geliyor.
Rhysida Fidye Yazılımından Nasıl Korunma Sağlanır?
Şirketlerin ve bireylerin, karmaşık ve hızla gelişen fidye yazılımlarının olduğu bir dönemde güvenliği sağlamak için daha iyi siber güvenlik önlemlerine, uygulamalarına ve eğitimlerine yatırım yapması gerekiyor.
HH3 güvenlik uyarısının Rhysida fidye yazılımına yönelik sunduğu adımlardan bazıları şunlardır:
- Sanal Yamalama(Virtual Patching) – Rhysida fidye yazılımının istismar ettiği bilinen tüm yazılım güvenlik açıklarına karşı ek bir koruma katmanı sağlar.
- Siber Hijyen Eğitimi – Çalışanlarınız en büyük varlığınızdır ve her zaman güvenli bir ağ sağlamak için hazırlıklı olmalı ve iyi siber hijyen uygulamalıdırlar.
- Uç Nokta Güvenliği – Gelişmiş uç nokta güvenliği, ağınıza girmeye çalışan siber tehditleri önleyecek, bunlarla mücadele edecek ve ortadan kaldıracaktır. Sangfor’un Endpoint Secure platformu, kötü amaçlı yazılım bulaşmalarına ve APT ihlallerine karşı bütünsel bir yanıt sağlar. Ayrıca kolay yönetim sağlayarak uçtan uca koruma sunar ve ihtiyaçlarınıza göre uyarlanabilir.
- Yedeklemeler – Bir şirket, güvenilir veri yedekleme çözümlerine yatırım yaparak veri güvenliğini sağlayabilir. Sangfor’un felaket kurtarma çözümleri en iyi yedekleme ve optimize edilmiş altyapı platformlarını sunar.
- Ağ ve Erişim Segmentasyonu – Saldırı altındayken fidye yazılımının yayılmasını önleyen, ağ genelinde erişimin ve iş yüklerinin sınırlandırılmasıdır.
- Güvenlik Duvarları – İyi bir güvenlik duvarının kullanılması, potansiyel tehditleri hasara neden olmadan önce tespit edip azaltarak ağınızın güvenliğini sağlayacaktır. Sangfor’un Yeni Nesil Güvenlik Duvarı, ağ ve uygulama trafiğini tehditlere karşı denetlemek, ağ ortamını izinsiz girişlere karşı korumak ve ağın dışından güvenlik istihbaratı sağlamak üzere tasarlanmıştır.
Siber dayanıklılığı korumak için kullanabileceğiniz birkaç ipucu daha:
- Yazılımınızı düzenli olarak güncelleyin.
- Şüpheli e-posta bağlantılarından, açılır reklamlardan ve yarım yamalak web sitelerinden kaçının.
- İndirilen dosyaların doğru formatta ve doğru uzantılara sahip olmasını sağlayın.
- Suçlulara herhangi bir fidye ödemeyin.
- Mevcut en iyi siber güvenlik önlemlerini sürdürün.
Sangfor Technologies, yoğun ve gelişmiş fidye yazılımı önleme ve son teknoloji BT altyapısı sunan, birinci sınıf bir siber güvenlik ve bulut bilişim şirketidir.
Sangfor, şirketiniz için sizi fidye yazılımı saldırılarından koruyacak kapsamlı ve bütünsel siber güvenlik çözümleri sunar.