LeakNet Ransomware Grubu ClickFix Taktiğini Benimsedi: Hacked Siteler Üzerinden Saldırı
LeakNet ransomware grubu ClickFix sosyal mühendislik taktiği ve Deno loader ile saldırıyor. IAB bağımlılığını azaltan yeni yöntem detayları.
LeakNet Ransomware Grubu ClickFix Taktiğini Benimsedi: Hacked Siteler Üzerinden Saldırı
ClickFix Sosyal Mühendislik Yöntemi
LeakNet ransomware operasyonu, ilk erişim yöntemi olarak tehlikeli bir sosyal mühendislik taktiği olan ClickFix yöntemini kullanmaya başladı. Kompromize edilmiş web siteleri üzerinden dağıtılan bu yöntem, kullanıcıları var olmayan hataları düzeltmek için kötü amaçlı komutları manuel olarak çalıştırmaya kandırıyor.
Deno JavaScript Runtime ile Bellek İçi Yürütme
Saldırılardaki ikinci önemli unsur, Deno JavaScript runtime üzerine inşa edilmiş aşamalı bir komuta kontrol (C2) loader kullanımı. Bu loader, kötü amaçlı payload'ı doğrudan bellekte çalıştırarak diskte iz bırakmıyor ve tespit edilmekten kaçınıyor.
IAB Bağımlılığını Ortadan Kaldırıyor
ClickFix kullanımı, LeakNet'e birkaç önemli avantaj sağlıyor:
- Üçüncü taraf tedarikçilere bağımlılığı azaltıyor
- Mağdur başına edinme maliyetini düşürüyor
- Değerli hesapların piyasaya çıkmasını bekleme darboğazını ortadan kaldırıyor
Saldırı Zinciri ve Sonrası Aktiviteler
Saldırılar şu şekilde ilerliyor:
- Legitim ama kompromize edilmiş sitelerde sahte CAPTCHA doğrulama ekranları
- Kullanıcılar Windows Çalıştır penceresine "msiexec.exe" komutunu yapıştırıyor
- Deno-based loader Base64-encoded JavaScript'i bellekte yürütüyor
- DLL side-loading ile kötü amaçlı DLL çalıştırılıyor
- PsExec ile lateral movement gerçekleştiriliyor
- Veri sızdırma ve şifreleme
S3 Buckets ile İz Silme
LeakNet, staging ve veri sızdırma işlemleri için S3 bucket'larını kullanıyor. Bu sayede normal bulut trafiği görünümü sağlayarak tespit footprint'ini azaltıyor.
2026 Ransomware Manzarası
Google'ın açıkladığı verilere göre, Qilin, Akira, Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce ve Sinobi en fazla mağduru olan ransomware markaları arasında. Vakaların üçte birinde ilk erişim vektörü, yaygın VPN ve firewall'lardaki zafiyetlerin istismarıydı.
ReliaQuest raporuna göre, ransomware saldırılarının %77'sinde veri hırsızlığı şüphesi tespit edildi. Bu oran 2024'te %57 seviyesindeydi.
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.