Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

INC Ransom

INC Ransom 2023'ten beri sofistike fidye yazılımlarıyla kritik altyapıları hedef alıyor. Gelişmiş izinsiz giriş tekniklerini ve gasp taktiklerini bir araya getirerek dünya çapındaki kuruluşlar için ciddi bir tehdit oluşturuyor. Grup, sağlık, üretim, devlet ve teknoloji gibi sektörlerdeki kuruluşlar için önemli riskler oluşturuyor.

INC Ransom'un TTP'lerini tespit edin
Kuruluşunuz INC Ransom adresinden güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Kökeni INC Ransom

INC Ransom Ağustos 2023'te ortaya çıkan sofistike bir fidye yazılımı grubudur. Grup,phishing kampanyaları ve bilinen güvenlik açıklarından yararlanma kombinasyonuyla savunmasız kuruluşları hedef alan metodik ve çok aşamalı bir saldırı stratejisi kullanmaktadır. Grup özellikle Citrix NetScaler'daki kritik bir açık olan CVE-2023-3519'dan faydalanarak ilk erişimi elde etmekle ilişkilendirilmiştir. Operasyonları, zararı en üst düzeye çıkarmak ve fidye ödemelerini zorlamak için son derece koordineli çabalar içermekte ve genellikle çalınan verilerin şifrelenmeden önce dışarı çıkarıldığı "çifte gasp" taktiklerinden yararlanmaktadır. INC Ransom , iyi organize edilmiş ve yetenekli bir operasyona işaret eden saldırılar sırasında teknik zorlukları uyarlama, sorun giderme ve üstesinden gelme yeteneği ile karakterize edilir.

INC Ransom 'un arkasındaki belirli kişi ya da gruplar kamuoyunca bilinmese de, siber güvenlik araştırmacıları operasyonun arkasında Rus suçluların olduğuna inanıyor.

Kaynaklar: SOCradar

Kökeni INC Ransom
Hedefler

INC Ransom'nin Hedefleri

INC fidyesinin hedef aldığı ülkeler

Grup küresel çapta faaliyet göstermekte olup Kuzey Amerika, Avrupa ve Asya'nın bazı bölgelerinde kayda değer faaliyetlerde bulunmaktadır. Amerika Birleşik Devletleri, Birleşik Krallık, Almanya ve Avustralya gibi ülkeler INC Ransom'a atfedilen olaylar bildirmiştir. Kampanyaları önemli bir bölgesel sınırlama göstermemektedir, bu da hedeflerinin jeopolitik motivasyonlardan ziyade fırsat ve potansiyel finansal kazançtan etkilendiğini göstermektedir.

Kaynak: Ransomware.live

INC fidyesinin hedef aldığı sektörler

INC Ransom kritik altyapıya sahip ve operasyonel aksaklıklara karşı düşük dirençli sektörlere odaklanan geniş hedefleme stratejisiyle biliniyor. Eğitim kurumları, devlet kuruluşları, üreticiler, perakendeciler, enerji ve kamu hizmeti şirketleri ve finans kurumları hedef alınmıştır. En belirgin olarak INC Ransom , Birleşik Krallık'taki bir çocuk hastanesine ve İskoçya'daki bir sağlık kuruluna yönelik zarar verici saldırılarla sağlık sektöründeki hassas verilerin peşine düşmüştür.

Kaynaklar: Fidye yazılımı.live, Infosecurity Dergisi, The Times

INC fidyesinin hedef aldığı sektörler

INC Ransom kritik altyapıya sahip ve operasyonel aksaklıklara karşı düşük dirençli sektörlere odaklanan geniş hedefleme stratejisiyle biliniyor. Eğitim kurumları, devlet kuruluşları, üreticiler, perakendeciler, enerji ve kamu hizmeti şirketleri ve finans kurumları hedef alınmıştır. En belirgin olarak INC Ransom , Birleşik Krallık'taki bir çocuk hastanesine ve İskoçya'daki bir sağlık kuruluna yönelik zarar verici saldırılarla sağlık sektöründeki hassas verilerin peşine düşmüştür.

Kaynaklar: Fidye yazılımı.live, Infosecurity Dergisi, The Times

INC fidye kurbanları

Tahminen 214 kuruluş INC Ransom saldırılarının kurbanı olmuştur. INC Ransom hastane ağlarına, belediye yönetimlerine ve orta ölçekli işletmelere yönelik yüksek profilli saldırılarla ilişkilendirilmiştir. Belirli kurban isimleri genellikle açıklanmasa da, kamuya açık raporlar, zayıf siber güvenlik savunmalarına sahip veya istismara açık eski sistemleri çalıştıran kuruluşlara odaklanıldığını ortaya koymaktadır.

Kaynak: Ransomware.live

Saldırı Yöntemi

INC Ransom saldırı yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

phishing e-postalarını kullanır veya Citrix NetScaler'daki CVE-2023-3519 gibi halka açık uygulamalardaki güvenlik açıklarından yararlanır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Ele geçirilen sistem içinde ayrıcalıkları artırmak için RDP gibi araçlardan yararlanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Tespit edilmekten kaçınmak için PSExec'i "winupd" olarak gizlemek gibi gizlenmiş dosyaları kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Kimlik bilgilerini bellekten dökmek için Lsassy.py gibi araçları kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Yüksek değerli hedefleri belirlemek üzere ağ keşfi için NETSCAN.EXE ve Advanced IP Scanner gibi araçlar kullanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Ağ içinde hareket etmek için AnyDesk.exe gibi uzak masaüstü yazılımlarını kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Sızma ve şifreleme için 7-Zip ve MEGASync kullanarak verileri düzenler.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Fidye yazılımı dağıtımını başlatmak için wmic.exe ve gizlenmiş PSExec örneklerini kullanarak şifreleme komut dosyalarını çalıştırır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

MEGASync veya diğer bulut tabanlı platformları kullanarak çifte gasp taktikleri için çalınan verileri aktarır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Kritik dosyaları şifreler ve/veya yok eder, erişimi yeniden sağlamak ve veri sızıntılarını önlemek için fidye ödemesi talep eder.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

phishing e-postalarını kullanır veya Citrix NetScaler'daki CVE-2023-3519 gibi halka açık uygulamalardaki güvenlik açıklarından yararlanır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Ele geçirilen sistem içinde ayrıcalıkları artırmak için RDP gibi araçlardan yararlanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Tespit edilmekten kaçınmak için PSExec'i "winupd" olarak gizlemek gibi gizlenmiş dosyaları kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Kimlik bilgilerini bellekten dökmek için Lsassy.py gibi araçları kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Yüksek değerli hedefleri belirlemek üzere ağ keşfi için NETSCAN.EXE ve Advanced IP Scanner gibi araçlar kullanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Ağ içinde hareket etmek için AnyDesk.exe gibi uzak masaüstü yazılımlarını kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Sızma ve şifreleme için 7-Zip ve MEGASync kullanarak verileri düzenler.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Fidye yazılımı dağıtımını başlatmak için wmic.exe ve gizlenmiş PSExec örneklerini kullanarak şifreleme komut dosyalarını çalıştırır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

MEGASync veya diğer bulut tabanlı platformları kullanarak çifte gasp taktikleri için çalınan verileri aktarır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Kritik dosyaları şifreler ve/veya yok eder, erişimi yeniden sağlamak ve veri sızıntılarını önlemek için fidye ödemesi talep eder.

MITRE ATT&CK Haritalama

Tarafından kullanılan TTP'ler INC Ransom

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Platform Tespitleri

INC fidye gibi tehditler nasıl tespit edilir? Vectra AI

M365 Ransomware

Ransomware File Activity

Suspicious Remote Execution

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Kuruluşunuz INC Ransom adresinden güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin