FBI ve CISA, Kritik Altyapılara Yönelik Artan AvosLocker Fidye Yazılımı Saldırıları Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

FBI ve CISA, Kritik Altyapılara Yönelik Artan AvosLocker Fidye Yazılımı Saldırıları Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Fidye yazılımı türü ilk olarak 2021’in ortasında ortaya çıktı ve o zamandan beri, tespitten kaçınma önlemi olarak antivirüs korumasını devre dışı bırakmak için gelişmiş tekniklerden yararlandı Saldırılarda ayrıca yatay hareket, ayrıcalık yükseltme ve güvenlik yazılımını etkisiz hale getirmek için özel PowerShell ve Windows Batch komut dosyaları da kullanılıyor Windows, Linux ve VMware ESXi ortamlarını etkiler Ancak bu saldırılardan kaynaklanan risk hâlâ yüksek

Şirket tarafından toplanan telemetri verileri, insan tarafından çalıştırılan fidye yazılımı saldırılarının Eylül 2022’den bu yana yüzde 200’den fazla arttığını gösteriyor

En son rehberliğe göre CISAuzak masaüstü protokolü (RDP), dosya aktarım protokolü (FTP), TELNET, Sunucu Mesaj Bloğu (SMB) ve Sanal Ağ Bilgi İşlem (VNC), olduğu bilinen yanlış yapılandırmalardan ve zayıflıklardan bazılarıdır

AvosLocker saldırılarının önemli bir özelliği, açık kaynaklı araçlara ve arazide yaşama (LotL) taktiklerine güvenilmesi ve atıf yapılmasına yol açabilecek hiçbir iz bırakmamasıdır


AvosLocker fidye yazılımı çetesi, ABD’deki kritik altyapı sektörlerine yönelik saldırılarla ilişkilendirildi ve bunlardan bazıları Mayıs 2023 gibi yakın bir tarihte tespit edildi

Komuta ve kontrol (C2), Cobalt Strike ve Sliver aracılığıyla gerçekleştirilir, Lazagne ve Mimikatz ise kimlik bilgileri hırsızlığı için kullanılır

Bu, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından yayınlanan ve hizmet olarak fidye yazılımı (RaaS) operasyonunun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) detaylandıran yeni bir ortak siber güvenlik tavsiye belgesine göre ) “Bu, saldırganların ayak izlerini daha da azaltmak için evrimleştiğinin bir işaretidir Magniber, LockBit, Hive ve BlackCat, tüm fidye yazılımı karşılaşmalarının neredeyse yüzde 65’ini oluşturdu

Ajanslar, “AvosLocker bağlı kuruluşları, meşru yazılım ve açık kaynaklı uzaktan sistem yönetim araçlarını kullanarak kuruluşların ağlarını tehlikeye atıyor” dedi Başka bir yeni bileşen, bir ağ izleme aracı gibi görünen ancak aslında tehdit aktörlerinin kurbanın ağının dışından ana bilgisayara bağlanmasına olanak tanıyan bir ters proxy işlevi gören NetMonitor

Dahası, vakaların yüzde 10’undan fazlasında fidye yazılımı beş saat içinde dağıtıldı

Gelişme Mozilla olarak geliyor uyardı fidye yazılımı saldırılarından yararlanan kötü amaçlı reklam kampanyaları Bu, kullanıcıları Thunderbird’ün truva atı haline getirilmiş sürümlerini yüklemeleri için kandırır ve sonuçta dosya şifreleyen kötü amaçlı yazılımların ve IcedID gibi ticari amaçlı kötü amaçlı yazılım ailelerinin dağıtımına yol açar

CISA ve FBI, kritik altyapı kuruluşlarına, AvosLocker fidye yazılımı ve diğer fidye yazılımı olaylarının olasılığını ve etkisini azaltmak için gerekli hafifletici önlemleri uygulamalarını öneriyor

Buna uygulama kontrollerinin benimsenmesi, RDP ve diğer uzak masaüstü hizmetlerinin kullanımının sınırlandırılması, PowerShell kullanımının kısıtlanması, kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın zorunlu kılınması, ağların bölümlere ayrılması, tüm sistemlerin güncel tutulması ve periyodik çevrimdışı yedeklemelerin sürdürülmesi dahildir

Yaraya tuz basmak için RaaS modeli ve sızdırılan fidye yazılımı kodunun hazır bulunması, acemi suçlular için bile giriş engelini azaltarak, bunu yasadışı kar elde etmek için kazançlı bir yol haline getirdi exe adlı yürütülebilir dosyadır

Bunun da ötesinde, yakın zamanda insan tarafından gerçekleştirilen başarılı fidye yazılımı saldırılarının yaklaşık yüzde 16’sı hem şifrelemeyi hem de sızmayı içerirken, yüzde 13’ü yalnızca sızmayı kullandı Ayrıca veri sızdırma için FileZilla ve Rclone gibi meşru yardımcı programların yanı sıra Chisel ve Ligolo gibi tünel açma araçları da kullanılır “AvosLocker bağlı kuruluşları daha sonra çalıntı verileri sızdırma ve/veya yayınlama tehdidiyle sızmaya dayalı veri gaspı taktiklerini kullanıyor söz konusu ”

Redmond ayrıca, insan tarafından çalıştırılan fidye yazılımı saldırıları sırasında uzaktan şifreleme kullanımında “keskin bir artış” gözlemlediğini ve bunun geçtiğimiz yıl ortalama yüzde 60’a tekabül ettiğini söyledi ” dedi

Ajanslar, “AvosLocker bağlı kuruluşları ağ erişimini sağlamak için özel web kabukları yüklediler ve kullandılar” dedi ”



siber-2

yaygın olarak silah haline getirilmiş fidye yazılımı kampanyalarında

“Sonuç olarak, tehdit aktörleri, önemli ölçüde daha karmaşık olan büyük, çok siteli, kurumsal çapta şifreleme olaylarından ziyade, daha basit ve uygulaması daha hızlı operasyonlara odaklanıyor “Bu, bütünsel bir güvenlik yaklaşımının önemini güçlendiriyor ”

Herkese açık uygulamaların, çalınan kimlik bilgilerinin, kullanıma hazır kötü amaçlı yazılımların ve harici uzaktan hizmetlerin kötüye kullanılması, fidye yazılımı saldırıları için en büyük üç ilk erişim vektörü olarak ortaya çıktı

Teknoloji devi, “Fidye yazılımı operatörleri aynı zamanda daha az yaygın olan yazılımlardaki güvenlik açıklarından giderek daha fazla yararlanıyor, bu da saldırılarını tahmin etmeyi ve onlara karşı savunma yapmayı zorlaştırıyor” dedi “Yüksek profilli yayından kaldırma ve yaptırımlara rağmen, siber suçlular uyum sağlama konusunda ustadırlar ve bu nedenle tehdit hız kazanmaya devam ediyor söz konusu

Smith, “Tanıdık isimleri hâlâ en aktif tehdit aktörleri olarak görsek de, birçok yeni ve çok aktif tehdit grubunun ortaya çıkışı kurban ve veri sızıntılarında önemli bir artışa neden oluyor” diye ekledi

Microsoft, “Kurbanın cihazına kötü amaçlı dosyalar dağıtmak yerine, şifreleme uzaktan yapılıyor ve sistem işlemi şifrelemeyi gerçekleştiriyor, bu da süreç tabanlı iyileştirmeyi etkisiz kılıyor

Secureworks’e göre, tehdit aktörleri ilk erişimden sonraki bir gün içinde fidye yazılımını hızla dağıtmaya yönelse de, 2023’teki fidye yazılımı saldırıları büyük bir artışa tanık oldu ”

Microsoft, yıllık Dijital Savunma Raporunda, insanlar tarafından çalıştırılan fidye yazılımlarıyla karşılaşan kuruluşların yüzde 70’inin 500’den az çalışana sahip olduğunu ve tüm risklerin yüzde 80 ila 90’ının yönetilmeyen cihazlardan kaynaklandığını söyledi Secureworks’e göre bu rakam, 2022’de 4,5 gün olan önceki ortalama bekleme süresinden düştü

Secureworks Karşı Tehdit Birimi tehdit istihbaratından sorumlu başkan yardımcısı Don Smith, “Ortalama bekleme süresindeki azalmanın nedeni muhtemelen siber suçluların daha düşük bir tespit şansı istemesinden kaynaklanıyor” dedi