Kuruluşunuz ALPHV Saldırılarına Karşı Güvende mi?

ALPHV BlackCat'in Kökeni

Rust programlama dili kullanılarak geliştirilen ALPHV, Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) ve VMWare ESXi dahil olmak üzere çeşitli işletim sistemlerinde çalışabilir.

Siber suç forumlarında ALPHV adı altında pazarlanmaktadır, ancak güvenlik araştırmacıları genellikle sızıntı sitesinde görüntülenen siyah kedi simgesine bir selam olarak BlackCat olarak adlandırmaktadır.

ALPHV, 18 Kasım 2021'de fidye yazılımı saldırılarında gözlemlenen ilk dağıtımından bu yana, hem AES hem de ChaCha20 algoritmalarını destekleyerek şifreleme yeteneklerinde çok yönlülük göstermiştir.

Maksimum kesinti sağlamak için ALPHV, birim gölge kopyalarını ortadan kaldırabilir, işlemleri ve hizmetleri sonlandırabilir ve ESXi sunucularındaki sanal makineleri kapatabilir.

Ayrıca, diğer ana bilgisayarlarda uzaktan çalıştırmak için PsExec'i kullanarak yerel ağlar arasında kendi kendine yayılma özelliğine sahiptir.

ALPHV Blackcat Aralık 2023'te FBI tarafından çökertilmiştir.

Hedefler

ALPHV'nin Hedefleri

ALPHV tarafından hedeflenen ülkeler

ALPHV Blackcat en çok ABD'yi, ardından Almanya'yı ve Fransa, İspanya ve Hollanda gibi diğer Avrupa ülkelerini hedeflemiştir.

^Kaynak:^{Palo Alto}

ALPHV tarafından hedeflenen sektörler

BlackCat fidye yazılımıyla ilgili 210'dan fazla duyuruyu inceleyen araştırmacılar, "Profesyonel, Bilimsel ve Teknik Hizmetler" ve "Üretim" sektörlerinin ana hedefleri olduğunu ve profesyonel hizmetler sektöründe en çok etkilenenlerin hukuk firmaları ve hukuk hizmetleri olduğunu tespit etti.

^Kaynak^SOCradar

ALPHV tarafından hedeflenen sektörler

BlackCat fidye yazılımıyla ilgili 210'dan fazla duyuruyu inceleyen araştırmacılar, "Profesyonel, Bilimsel ve Teknik Hizmetler" ve "Üretim" sektörlerinin ana hedefleri olduğunu ve profesyonel hizmetler sektöründe en çok etkilenenlerin hukuk firmaları ve hukuk hizmetleri olduğunu tespit etti.

^Kaynak^SOCradar

ALPHV Blackcat'nin Mağdurları

Bugüne kadar 724'ten fazla kurban ALPHV'nin kötü niyetli faaliyetlerinin kurbanı oldu.

^Kaynak:^{ransomware.live}

Saldırı Yöntemi

ALPHV Blackcat'nin Saldırı Yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

ALPHV öncelikle halka açık uygulamalardaki güvenlik açıklarını hedef alır ve muhtemelen ağ sistemlerine sızmak için bu kusurlardan yararlanır. Bazı durumlarda, ağda bir yer edinmek için önceki ihlaller veya kimlik bilgisi hırsızlığı yoluyla elde edilmiş olabilecek meşru etki alanı hesaplarını da kullanır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Ağa girdikten sonra ALPHV, aynı geçerli etki alanı hesaplarından yararlanarak ayrıcalıklarını artırır ve kendisine genellikle yöneticiler için ayrılmış olan daha yüksek erişim düzeyleri verir. Bu yükselme, sistem üzerindeki kontrolünü derinleştirmek için kritik önem taşır. Yürütme açısından ALPHV, fidye yazılımının konuşlandırılmasını ve yayılmasını kolaylaştıran kötü amaçlı komutları ve komut dosyalarını çalıştırmak için Windows Komut Kabuğunu kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Tespit edilmekten kaçınmak ve savunma yanıtlarını engellemek için ALPHV, faaliyetlerini tespit edebilecek veya engelleyebilecek güvenlik araçlarını aktif olarak devre dışı bırakır veya değiştirir. Bu, antivirüs programlarını sonlandırmayı ve güvenlik hizmetlerini devre dışı bırakmayı içerir ve faaliyetleri için daha izin verici bir ortam yaratır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

ALPHV'nin ele geçirilen sistemler üzerindeki etkisi ağırdır; güçlü şifreleme algoritmaları kullanarak kritik verileri şifreler ve dosyaları kullanıcılar için erişilemez hale getirir. Ayrıca, gölge kopyaları silerek ve kurtarma araçlarını devre dışı bırakarak sistem kurtarma çabalarını zayıflatır, bu da neden olduğu kesintiyi daha da kötüleştirir ve kurbanları verilerine erişimi geri yüklemek için fidye taleplerini karşılamaya zorlar.

İlk Erişim

ALPHV öncelikle halka açık uygulamalardaki güvenlik açıklarını hedef alır ve muhtemelen ağ sistemlerine sızmak için bu kusurlardan yararlanır. Bazı durumlarda, ağda bir yer edinmek için önceki ihlaller veya kimlik bilgisi hırsızlığı yoluyla elde edilmiş olabilecek meşru etki alanı hesaplarını da kullanır.

Ayrıcalık Yükseltme

Ağa girdikten sonra ALPHV, aynı geçerli etki alanı hesaplarından yararlanarak ayrıcalıklarını artırır ve kendisine genellikle yöneticiler için ayrılmış olan daha yüksek erişim düzeyleri verir. Bu yükselme, sistem üzerindeki kontrolünü derinleştirmek için kritik önem taşır. Yürütme açısından ALPHV, fidye yazılımının konuşlandırılmasını ve yayılmasını kolaylaştıran kötü amaçlı komutları ve komut dosyalarını çalıştırmak için Windows Komut Kabuğunu kullanır.

Savunma Kaçırma

Tespit edilmekten kaçınmak ve savunma yanıtlarını engellemek için ALPHV, faaliyetlerini tespit edebilecek veya engelleyebilecek güvenlik araçlarını aktif olarak devre dışı bırakır veya değiştirir. Bu, antivirüs programlarını sonlandırmayı ve güvenlik hizmetlerini devre dışı bırakmayı içerir ve faaliyetleri için daha izin verici bir ortam yaratır.

Kimlik Bilgileri Erişimi

Keşif

Yanal Hareket

Koleksiyon

Yürütme

Sızma

Etki

ALPHV'nin ele geçirilen sistemler üzerindeki etkisi ağırdır; güçlü şifreleme algoritmaları kullanarak kritik verileri şifreler ve dosyaları kullanıcılar için erişilemez hale getirir. Ayrıca, gölge kopyaları silerek ve kurtarma araçlarını devre dışı bırakarak sistem kurtarma çabalarını zayıflatır, bu da neden olduğu kesintiyi daha da kötüleştirir ve kurbanları verilerine erişimi geri yüklemek için fidye taleplerini karşılamaya zorlar.

MITRE ATT&CK Haritalama

ALPHV tarafından kullanılan TTP'ler

ALPHV, fidye yazılımı saldırılarında metodik ve çok yönlü bir yaklaşım sergileyerek saldırı döngüsünün çeşitli aşamalarında etkinlik sağlıyor.

TA0001: Initial Access

T1190

Exploit Public-Facing Application

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1558

Steal or Forge Kerberos Tickets

T1555

Credentials from Password Stores

T1552

Unsecured Credentials

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

No items found.

TA0040: Impact

T1490

Inhibit System Recovery

T1657

Financial Theft

T1486

Data Encrypted for Impact

Platform Tespitleri

ALPHV ile Nasıl Tespit Edilir Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Daha fazla algılama görüntüleyin

Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

ALPHV BlackCat nedir?

Noberus olarak da bilinen ALPHV BlackCat, Rust dilinde yazılmış ve Hizmet Olarak Fidye Yazılımı (RaaS) işlemlerinde kullanılan gelişmiş bir fidye yazılımı çeşididir. Windows, Linux ve VMWare ESXi dahil olmak üzere birden fazla işletim sistemini hedef alabilmektedir.

ALPHV BlackCat bir ağa ilk erişimi nasıl elde eder?

ALPHV BlackCat genellikle halka açık uygulamalardaki açıklardan yararlanarak veya ele geçirilmiş olabilecek geçerli etki alanı hesaplarını kullanarak ilk erişimi elde eder.

ALPHV BlackCat'in birincil hedefleri nelerdir?

ALPHV BlackCat, özellikle profesyonel sektördeki hukuk firmaları ve yasal hizmetlere odaklanarak Profesyonel, Bilimsel ve Teknik Hizmetler ve İmalat gibi sektörleri hedeflemektedir.

ALPHV BlackCat hangi şifreleme algoritmalarını kullanır?

ALPHV BlackCat, kurban verilerini kilitlemek için AES veya ChaCha20 şifreleme algoritmalarını kullanacak şekilde yapılandırılabilir.

ALPHV BlackCat tespit edilmekten nasıl kaçıyor?

Fidye yazılımı, tespit edilmekten kaçınmak için güvenlik araçlarını devre dışı bırakmak ve savunma önlemlerini engellemek için sistem süreçlerini değiştirmek de dahil olmak üzere çeşitli teknikler kullanır.

Kuruluşlar ALPHV BlackCat saldırılarına karşı korunmak için ne yapabilir?

Kuruluşlar, tehditleri daha etkili bir şekilde tespit etmek ve bunlara yanıt vermek için düzenli yama uygulama, gelişmiş uç nokta koruması kullanma, çalışanlara güvenlik farkındalığı eğitimi verme ve Vectra AI gibi yapay zeka odaklı bir tehdit tespit platformu kullanma gibi sağlam güvenlik önlemleri almalıdır.

ALPHV BlackCat etkilenen sistemleri nasıl etkiler?

ALPHV BlackCat'in etkisi, önemli dosyaları şifrelemeyi, birim gölge kopyalarını silmeyi ve kesintiyi en üst düzeye çıkarmak ve kurbanları fidye ödemeye zorlamak için kritik hizmetleri ve sanal makineleri durdurmayı içerir.

ALPHV BlackCat'in kendi kendine yayılma özelliği var mı?

Evet, ALPHV BlackCat PsExec gibi araçları kullanarak bir ağ içinde kendi kendine yayılabilir ve yerel ağdaki diğer ana bilgisayarlarda uzaktan çalıştırılabilir.

BT ekipleri bir ALPHV BlackCat enfeksiyonuna nasıl yanıt vermelidir?

Etkilenen sistemlerin derhal izole edilmesi, tehlikeye atılan kimlik bilgilerinin belirlenmesi ve iptali, fidye yazılımının varlığının ortadan kaldırılması ve yedeklerden geri yükleme, gelecekteki ihlalleri önlemek için kapsamlı bir araştırmanın yanı sıra kritik adımlardır.

Yapay zeka odaklı tehdit tespiti ALPHV BlackCat ile mücadelede nasıl bir rol oynuyor?

Vectra AI gibi yapay zeka odaklı tehdit algılama platformları, kötü niyetli davranışları gösteren kalıpları ve anormallikleri analiz ederek ALPHV BlackCat faaliyetlerinin ve diğer karmaşık tehditlerin ince işaretlerini belirlemede çok önemli bir rol oynar ve daha hızlı ve daha etkili yanıtlar sağlar.

Kuruluşunuz ALPHV Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin