Fidye yazılımı saldırıları sonrası Amazon ve Cisco'dan ortak önlem vurgusu

Amazon'un güvenlik şefi CJ Moses, Interlock adlı fidye yazılımı çetesinin, Cisco Secure Firewall Management Center yazılımındaki kritik bir güvenlik açığını, şirketin resmi güncellemesinden 36 gün önce istismar ettiğini açıkladı. Bu gelişme, özellikle hastaneler ve şehir altyapısı gibi hayati kurumların hedef alınması nedeniyle uluslararası siber güvenlik gündeminde geniş yankı buldu. Amazon ve Cisco yetkilileri, kullanıcıları acil güncelleme yapmaya ve güvenlik danışmanlıklarını takip etmeye davet etti.

Amazon güvenlik şefi: Interlock, Cisco açığını önceden kullandı

Amazon Entegre Güvenlik'in baş bilgi güvenliği sorumlusu CJ Moses, Interlock çetesinin Cisco Secure Firewall Management Center'daki CVE-2026-20131 güvenlik açığını, Cisco'nun yama yayınlamasından tam 36 gün önce istismar etmeye başladığını duyurdu. Moses, bu kritik açığın kimlik doğrulaması gerektirmeden, uzaktan saldırganların savunmasız cihazlarda kök erişimiyle rastgele Java kodu çalıştırmasına olanak tanıdığını belirtti. Cisco, 4 Mart'ta güvenlik güncellemesi yayınlasa da, Interlock çetesinin açığı çok daha önce kullanmaya başladığı ortaya çıktı. Amazon'un MadPot adlı sahte ağı, Interlock'un saldırı trafiğini kaydederek saldırganların izini sürdü. Bu durum, siber suçluların güvenlik yamalarından önce hareket ettiğini ve kurumların güncellemeleri gecikmeden uygulamasının hayati önem taşıdığını bir kez daha gösterdi.

Cisco ve Amazon'dan acil güvenlik güncelleme çağrısı

Cisco sözcüsü, Amazon'un tespitlerinden sonra güvenlik danışmanlığını güncellediklerini ve müşterilerini en kısa sürede güncelleme yapmaya davet ettiklerini açıkladı. Şirket, özellikle Interlock gibi organize fidye yazılımı çetelerinin saldırılarına karşı kullanıcıların güvenlik danışmanlıklarını ve rehberliklerini yakından takip etmelerinin önemini vurguladı. Amazon'un güvenlik ekibi, Interlock'un saldırı araç setini deşifre ederek, çetenin kullandığı PowerShell betikleri, uzaktan erişim trojanları ve tarayıcı geçmişi toplama yöntemlerini ortaya çıkardı. Ayrıca, çetenin Windows ortamlarında sistem bilgisi toplama, dosya arşivleme ve ağ içinde çoklu makinelere yayılma gibi karmaşık teknikler kullandığı belirtildi. Amazon, Linux sunucularında tespit edilen Bash betiğiyle, çetenin sistem güncellemelerini manipüle ettiğini ve logları düzenli olarak sildiğini de raporladı.

Interlock çetesinin saldırı yöntemleri ve hedefleri ortaya çıktı

Interlock çetesi, 2025 yılında ortaya çıktıktan sonra özellikle hastaneler ve tıbbi tesisler gibi kritik altyapıları hedef aldı. Davita böbrek diyaliz firması ve Kettering Health gibi sağlık kurumlarında kemoterapi seanslarını ve ameliyat öncesi randevuları sekteye uğrattı. Ayrıca, çete, hasta bilgilerini, tedavi detaylarını ve kişisel verileri çevrim içi ortamlarda sızdırdı. Yaz aylarında ise Saint Paul şehrinden 43 GB veri çaldığını iddia eden Interlock, Minnesota başkentinin ulusal acil durum ilan etmesine yol açtı. Amazon'un tespitlerine göre, Interlock'un saldırı araç seti, Windows etkinlik günlüklerinden RDP kimlik doğrulama olaylarını toplama, tarayıcı geçmişi ve kimlik bilgileri çekme, Hyper-V sanal makine envanteri çıkarma gibi çok sayıda gelişmiş özelliğe sahip. Ayrıca, kurbanların makinelerine sürekli erişim sağlamak için JavaScript ve Java tabanlı implantlar kullanan çete, bir implant tespit edilse bile yedek mekanizmalarla erişimi sürdürüyor. Amazon, Interlock'un saldırı zincirinde, ConnectWise ScreenConnect gibi meşru uzaktan erişim yazılımlarını ve Volatility ile Certify gibi açık kaynak saldırı araçlarını da kullandığını belirtti.

Amazon ve Cisco: Siber suçlulara karşı iş birliği şart

Amazon ve Cisco, Interlock'un saldırılarını tespit ettikten sonra, siber güvenlik alanında daha sıkı iş birliği yapılması gerektiğini vurguladı. Amazon'un tehdit istihbarat ekibi, Interlock'un araç setini açığa çıkaran yanlış yapılandırılmış bir altyapı sunucusu tespit etti. Bu sunucu sayesinde, çetenin saldırı yöntemleri, kullandığı özel yazılımlar ve arka kapı mekanizmaları detaylı şekilde analiz edildi. Amazon, saldırganların birden fazla yedek uzaktan erişim mekanizması kurarak, savunucuların müdahalesine rağmen sistemlere yeniden sızma ihtimalini artırdığını aktardı. Ayrıca, Interlock'un Linux sunucularını HTTP ters proxy olarak yapılandıran Bash betikleriyle, sistem güncellemelerini ve logları manipüle ettiği, makine yeniden başlasa bile sürekliliği sağladığı tespit edildi. Amazon, bu tür saldırıların önlenmesi için kurumların düzenli güncelleme yapması ve tehdit istihbaratlarını yakından takip etmesi gerektiğini belirtti.