Son dönemde ortaya çıkan Interlock isimli ransomware grubu, özellikle kritik altyapılarda kullanılan FreeBSD sunucularını hedef alarak dikkat çekiyor. Eylül 2024’te faaliyete başlayan grup, FreeBSD için özel olarak tasarlanmış bir şifreleyici kullanıyor. Bu da onu diğer ransomware gruplarından ayıran önemli bir faktör olarak öne çıkarıyor. Interlock, siber saldırılarda çifte şantaj yöntemine başvurarak hem verileri şifreliyor hem de çalınan verileri sızdırma tehdidiyle kurbanlardan yüklü miktarda fidye talep ediyor.
FreeBSD şifreleyicisi ve saldırı yöntemi
FreeBSD’nin kullanıldığı kritik altyapı sistemleri, saldırganlar için cazip hedefler arasında yer alıyor. Wayne County, Michigan’da Ekim 2024’te gerçekleşen bir siber saldırı dahil olmak üzere, Interlock’un altı farklı organizasyonu hedef aldığı bildirildi. Trend Micro araştırmacıları, saldırının etkinliğini doğrularken, kullanılan FreeBSD şifreleyicinin özellikle kritik sistemlerdeki kesintilere yol açarak kurbanları fidye ödemeye zorladığını belirtti.
Interlock’un saldırı stratejisi, özellikle FreeBSD sunucularına yönelik şifreleyicisiyle benzersiz bir yapıya sahip. Bu şifreleyici, FreeBSD 10.4 için özel olarak derlenmiş 64-bit bir ELF yürütülebilir dosyası olarak karşımıza çıkıyor. Ancak, yapılan testler sırasında hem Linux hem de FreeBSD sanal makinelerinde çalıştırılması zor olduğu anlaşıldı. Buna rağmen, saldırının işlevselliği ve stratejik etkisi, araştırmacılar tarafından doğrulandı.
Interlock’un saldırı yöntemleri arasında kurumsal ağlara sızma, verileri çalma, cihazlara yayılma ve dosyaları şifreleme yer alıyor. Şifrelenen dosyalara “.interlock” uzantısı eklenirken, her klasöre “!README!.txt” isimli fidye notları bırakılıyor. Bu notlarda, kurbanlarla iletişim kurmak için Tor tabanlı bir sohbet sistemi ve veri sızdırma sitelerinin bağlantıları yer alıyor.
Netwrix Güvenlik Stratejisti Ilia Sotnikov, saldırılara karşı en etkili savunmanın çok katmanlı güvenlik önlemleri olduğunu vurguluyor. Ağ güvenlik duvarları, web uygulama güvenlik önlemleri, kimlik avı saldırılarına karşı savunmalar ve izleme araçları gibi yöntemlerin uygulanması, saldırganların ilerlemesini zorlaştırıyor. Ayrıca, “zero trust” prensibinin benimsenmesi, kullanıcılara yalnızca görevlerini yerine getirebilecekleri minimum erişim izinlerinin verilmesini sağlayarak saldırı riskini önemli ölçüde azaltıyor.
FreeBSD’nin kritik altyapılarda yaygın olarak kullanılması, bu tür saldırıların etkisini artırıyor. Web hosting, e-posta sunucuları ve depolama sistemleri gibi hayati işlevlere sahip olan FreeBSD sunucularını korumak için, güvenlik ekiplerinin proaktif bir yaklaşımla olası saldırıları erken aşamada tespit etmesi gerekiyor. Interlock’un yükselen tehdit profili, güvenlik standartlarının sıkılaştırılması gerektiğini bir kez daha gözler önüne seriyor.
