btbilgi

Siber güvenlik firması Trend Micro, modern fidye saldırılarının işleyişini ele alan bir rapora imza atmış. Rapor fidye yazılımı gruplarının nasıl geliştiklerine, nasıl yakalanmadan çalıştıklarına, gelişmiş tehdit tespit ve müdahale platformlarının bu saldırıları durdurmaya nasıl yardımcı olduğuna değiniyor. Raporda 16 farklı fidye saldırısı grubunun aktiviteleri incelenirken, içlerinde özellikle 1 milyar dolar ve üzeri gelir elde eden işletmeleri hedef alan Nefilim grubu en yüksek ortalama yasadışı kazancı elde eden grup olarak dikkat çekiyor.

Mart 2020 ile Ocak 2021 arasında incelenen 16 fidye yazılımı grubundan Conti, Doppelpaymer, Egregor ve REvil, tuzağa düşürdükleri işletme sayısı açısından başı çekmekte. Cl0p ise 5 TB ile online olarak depolanan en büyük veri hırsızlığı ile rapora girmiş. Advanced Persistent Threat (APT), yani gelişmiş kalıcı tehdit terimi ile kategorize edilen bu tür suç grupları mükemmelleştirilmiş ve kanıtlanmış yöntemler kullanmaktalar. Yaptıkları fidye yazılımı saldırıları son derece hedefli, uyarlanabilir ve güvenlik sistemlerine yakalanmadan gerçekleşiyor.

Raporda özellikle Nefilim siber suç grubunun yaptığı saldırılar örnek verilerek, standart bir saldırının şu aşamalardan oluştuğu belirtiliyor:

  • RDP veya dışarıya açık diğer HTTP hizmetlerindeki güvenlik açıklarından yararlanılarak elde edilen kimlik bilgileriyle ilk erişim sağlanır.
  • Sızma tamamlandıktan sonra, yanal hareketler ve meşru yönetici araçları kullanılarak veri hırsızlığı ve şifreleme için hedef alınacak değerli sistemler bulunur.
  • Cobalt Strike, HTTP, HTTPS ve DNS gibi güvenlik duvarlarından geçebilen protokoller ile bir “eve çağrı” sistemi kurulur.
  • Kontrol ve Komuta Merkezi (C&C) sunucuları için dayanıklı barındırma hizmetleri kullanılır.
  • Çalınan veriler, daha sonra işletmelere şantaj yapmak için TOR korumalı web sitelerinde yayınlanır. Nefilim geçtiğimiz yıl yaklaşık 2 TB veri yayınladı.
  • Yeterli miktarda veri sızdırıldıktan sonra fidye yazılımı elle başlatılır.

Güvenlik araştırmaları daha önce fidye yazılımı suç gruplarının gizli kalırken nihai hedeflerine ulaşmalarına yardımcı olmak için AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync gibi meşru araçları yaygın olarak kullandıklarını ortaya çıkartmıştı. Sızdıkları ağlarda gizlice hareket edebilen suçlular, BT ortamının farklı bölümlerinden olay günlüklerini inceleyen güvenlik analistlerinin büyük resmi görmesini ve saldırıları tespit etmesini zorlaştırıyorlar.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.