leaknet fidye çetesi clickfix ve deno runtime ile saldırıyor
arkadaşlar, leaknet diye bir fidye yazılımı çetesi var, bunlar işi biraz daha ileri götürmüş. clickfix denen sosyal mühendislik tekniğiyle kurumsal ağlara giriyorlar, sonra da deno runtime (javascript/typescript için açık kaynaklı bir ortam) tabanlı bir malware loader kullanıyorlar. yani klasik fidye çetesi hareketi değil bu, biraz daha teknik ve sinsi bir iş dönüyor.
olay ne tam olarak
leaknet çetesi şöyle çalışıyor: önce clickfix tekniğiyle kullanıcıları kandırıyorlar. clickfix dedikleri şey, sahte hata mesajları gösterip “düzeltmek için tıkla” diye kullanıcıyı tuzağa düşürmek. kullanıcı tıklayınca, sistem panoya kopyalanmış kötü niyetli powershell komutlarını çalıştırıyor. klasik “kullanıcı en zayıf halka” durumu yani.
spoiler: asıl ilginç kısım, bu çete deno runtime kullanıyor malware loader için. deno, javascript ve typescript için modern bir runtime. node.js’in daha güvenli alternatifi diye bilinir ama işte kötü adamlar bunu da kötüye kullanmış. neden deno kullanıyorlar? çünkü:
- antivirüsler deno’ya alışık değil, tespiti zor
- tek binary dosya olarak dağıtılabiliyor
- güvenlik araçları tarafından meşru araç olarak görülüyor
- powershell’den daha az şüphe çekiyor
teknik detaylar
saldırı zinciri şöyle işliyor:
- clickfix tuzağı: kullanıcıya sahte hata mesajı gösteriliyor (genelde fake captcha veya “video oynatılamıyor” gibi)
- clipboard hijacking: kullanıcı “düzelt” butonuna tıklayınca, kopyalanmış kötü niyetli powershell komutu çalışıyor
- deno loader: powershell komutu, deno runtime tabanlı bir loader indiriyor
- payload delivery: loader, asıl fidye yazılımını ve veri sızdırma araçlarını indirip çalıştırıyor
- encryption + exfiltration: veriler önce dışarı sızdırılıyor, sonra şifreleniyor
dikkat: bu çete “double extortion” (çifte şantaj) yapıyor. yani hem verilerinizi şifreliyor hem de “fidye ödemezsen sızdırırım” diyor.
kimler etkileniyor
| Hedef | Risk Seviyesi |
|---|---|
| Kurumsal şirketler | 🔴 Yüksek |
| Küçük-orta işletmeler | 🟠 Orta-Yüksek |
| Bireysel kullanıcılar | 🟡 Düşük |
| Teknoloji şirketleri | 🔴 Yüksek |
özellikle finans, sağlık ve teknoloji sektöründeki firmalar hedef alınıyormuş.
ne yapmalısınız
1. kullanıcı eğitimi (en önemlisi)
agalar, clickfix saldırılarına karşı kullanıcılarınızı eğitin:
- “tıklayarak düzelt” gibi mesajlara güvenmeyin
- beklenmedik captcha’lar şüphelidir
- clipboard’a kopyalanan komutları çalıştırmayın
- şüpheli linklerden uzak durun
2. endpoint güvenliği
# powershell execution policy'yi kısıtlayın
Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope LocalMachine
# powershell script block logging'i aktif edin (event viewer'da görmek için)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1 /f
# clipboard monitoring ekleyin (edr çözümünüzde varsa)
3. deno runtime’ı izleyin
eğer ortamınızda deno kullanmıyorsanız:
# linux sistemlerde deno'yu tespit edin
find / -name "deno" 2>/dev/null
# windows'ta
where deno
# şüpheli deno process'lerini loglamak için edr kuralı ekleyin
application whitelisting kullanıyorsanız, deno’yu engelleyin (meşru kullanım yoksa).
4. network seviyesinde önlemler
- outbound bağlantıları izleyin (özellikle powershell ve deno’dan gelenler)
- c2 (command & control) sunucu iletişimlerini tespit edin
- dns filtering kullanın
- yeni domain’lere bağlantıları kısıtlayın
5. yedekleme stratejisi
çok önemli: fidye yazılımına karşı en iyi savunma düzenli yedek almaktır.
# offline yedekler alın (3-2-1 kuralı)
# 3 kopya, 2 farklı ortam, 1 offsite
# yedeklerin immutable (değiştirilemez) olduğundan emin olun
# veeam, commvault gibi çözümler immutable backup destekliyor
tespit için ioc’ler (indicators of compromise)
şunları izleyin:
- powershell komutlarında
iex,invoke-expression,downloadstringkullanımı - clipboard’dan komut çalıştırma (
get-clipboard | iex) - deno.exe veya deno binary’sinin beklenmedik konumlarda çalışması
%temp%,%appdata%dizinlerinde yeni deno dosyaları- outbound bağlantılarda typescript/javascript dosya indirmeleri
siem’inizde bu pattern’leri arayın:
EventCode=4688 AND (ProcessName="*deno.exe" OR CommandLine="*deno run*")
EventCode=4688 AND CommandLine="*Get-Clipboard*" AND CommandLine="*iex*"
geçici çözümler
hemen yamalanamayan sistemler için:
- powershell kısıtlaması: constrained language mode aktif edin
- applocker/wdac: sadece onaylı uygulamaların çalışmasına izin verin
- network segmentation: kritik sistemleri izole edin
- privileged access management: admin haklarını kısıtlayın
- email filtering: clickfix içeren phishing maillerini filtreleyin
sonuç
leaknet çetesi, clickfix gibi yeni sosyal mühendislik teknikleriyle deno runtime gibi modern araçları birleştirerek oldukça sinsi bir saldırı zinciri kurmuş. klasik antivirüs ve güvenlik araçları bunları tespit etmekte zorlanabilir.
edit: bu tür saldırılar giderek yaygınlaşıyor. clickfix tekniği son 6 ayda birçok fidye çetesi tarafından kullanılmaya başlandı. kullanıcı eğitimi ve çok katmanlı güvenlik (defense in depth) şart.
yapmanız gerekenler özetle:
- kullanıcılarınızı eğitin (en önemli)
- powershell execution policy’yi sıkılaştırın
- deno gibi beklenmedik runtime’ları izleyin
- düzenli yedek alın ve test edin
- network trafiğini izleyin
dikkat: yedek almadan, test etmeden güvenlik değişikliği yapmayın. önce lab ortamında deneyin.
kaynaklar
- BleepingComputer - LeakNet Ransomware Haberi
- Deno Runtime Resmi Sitesi
- MITRE ATT&CK - User Execution: Malicious Link (T1204.001)
not: bu yazıda spesifik cve numarası verilmemiş çünkü bu bir taktik/teknik haberi, belirli bir zafiyet haberi değil. leaknet’in kullandığı clickfix ve deno loader tekniği, bilinen zafiyetlerden ziyade sosyal mühendislik ve meşru araçların kötüye kullanımına dayanıyor.
Bu içerik yapay zeka tarafından oluşturulmuştur.