REvil fidye yazılımı çetesinin Yönetilen Hizmet Sağlayıcılara (MSP’ler) ve dünya çapındaki müşterilerine karşı büyük bir atak düzenlediği açığa çıktı. Bu, binlerce şirketin potansiyel fidye yazılımı kurbanı bulunmasına yol açtı. Kaspersky araştırmacıları Avrupa, Kuzey ve Güney Amerika’da 5 binden çok enfeksiyon teşebbüsü gözlemledi.
birinci vakit içinderda 2019’da ortaya çıkan REvil (diğer ismiyle Sodinokibi), hizmet olarak fidye yazılımı (RaaS) operatörleri içinde en üretken olanı. Vurdukları amaçlar ve rekor fidye yazılımı hasılatları niçiniyle son birkaç ayda fazlaca sayıda manşete bahis oldular. Son akında REVil, MSP’ler için BT İdare Yazılımı sağlayan bir şirkete bulaştı ve dünya çapında hayli sayıda şirketi tesiri altına aldı. Saldırganlar, PowerShell scripti aracılığıyla makûs niyetli bir yük dağıttı ve bu da muhtemelen MSP sağlayıcısının yazılımı aracılığıyla çalıştırıldı.
Bu komut belgesi Microsoft Defender for Endpoint muhafaza özelliklerini devre dışı bıraktıktan daha sonra legal bir Microsoft binary belgesi, Microsoft Defender tahlilinin eski bir sürümü ve REvil fidye yazılımı içeren berbat gayeli kitaplık içeren makus hedefli bir yürütülebilir belgenin kodunu çözdü. Saldırganlar yükleyicideki bu bileşen kombinasyonunu kullanarak DLL yandan yükleme tekniğinden yararlandı ve birden epeyce kuruluşa birebir anda saldırdı.
Tehdit İstihbarat Servisini kullanan Kaspersky, 22 ülkede 5 binden çok taarruz teşebbüsü gözlemledi. Bunlar içinde en hayli etkilenenler İtalya (45,2 kayıtlı taarruz girişimi), ABD (25,91), Kolombiya (14,83), Almanya (3,21) ve Meksika oldu (2.21).
Kaspersky Tehdit Keşif Lideri Vladimir Kuskov, şunları söylemiş oldu: “Fidye yazılımı çeteleri ve bağlı olduğu kuruluşlar, Colonial Pipeline, JBS ve bu biçimdedan beri farklı ülkelerdeki öteki biroldukça kuruluşa yapılan yüksek profilli akınların akabinde oyunu büyütmeye devam ediyor. Bu sefer REvil operatörleri dünya çapında binlerce yönetilen işletmeye MSP’ler aracılığıyla büyük bir taarruz gerçekleştirdi. Bu hadise, tedarikçiler ve ortakları dahil olmak üzere tüm evrelerde uygun siber güvenlik ölçümlerinin ve tahlillerinin uygulanmasının ne kadar değerli olduğunu bir defa daha gösteriyor.”
Kaspersky bu tehdide karşı muhafaza sağlıyor ve aşağıdaki isimlerle tespit ediyor:
Kuruluşları çağdaş fidye yazılımı ataklarından korumak için Kaspersky şunları öneriyor:
birinci vakit içinderda 2019’da ortaya çıkan REvil (diğer ismiyle Sodinokibi), hizmet olarak fidye yazılımı (RaaS) operatörleri içinde en üretken olanı. Vurdukları amaçlar ve rekor fidye yazılımı hasılatları niçiniyle son birkaç ayda fazlaca sayıda manşete bahis oldular. Son akında REVil, MSP’ler için BT İdare Yazılımı sağlayan bir şirkete bulaştı ve dünya çapında hayli sayıda şirketi tesiri altına aldı. Saldırganlar, PowerShell scripti aracılığıyla makûs niyetli bir yük dağıttı ve bu da muhtemelen MSP sağlayıcısının yazılımı aracılığıyla çalıştırıldı.
Bu komut belgesi Microsoft Defender for Endpoint muhafaza özelliklerini devre dışı bıraktıktan daha sonra legal bir Microsoft binary belgesi, Microsoft Defender tahlilinin eski bir sürümü ve REvil fidye yazılımı içeren berbat gayeli kitaplık içeren makus hedefli bir yürütülebilir belgenin kodunu çözdü. Saldırganlar yükleyicideki bu bileşen kombinasyonunu kullanarak DLL yandan yükleme tekniğinden yararlandı ve birden epeyce kuruluşa birebir anda saldırdı.
Tehdit İstihbarat Servisini kullanan Kaspersky, 22 ülkede 5 binden çok taarruz teşebbüsü gözlemledi. Bunlar içinde en hayli etkilenenler İtalya (45,2 kayıtlı taarruz girişimi), ABD (25,91), Kolombiya (14,83), Almanya (3,21) ve Meksika oldu (2.21).
Kaspersky Tehdit Keşif Lideri Vladimir Kuskov, şunları söylemiş oldu: “Fidye yazılımı çeteleri ve bağlı olduğu kuruluşlar, Colonial Pipeline, JBS ve bu biçimdedan beri farklı ülkelerdeki öteki biroldukça kuruluşa yapılan yüksek profilli akınların akabinde oyunu büyütmeye devam ediyor. Bu sefer REvil operatörleri dünya çapında binlerce yönetilen işletmeye MSP’ler aracılığıyla büyük bir taarruz gerçekleştirdi. Bu hadise, tedarikçiler ve ortakları dahil olmak üzere tüm evrelerde uygun siber güvenlik ölçümlerinin ve tahlillerinin uygulanmasının ne kadar değerli olduğunu bir defa daha gösteriyor.”
Kaspersky bu tehdide karşı muhafaza sağlıyor ve aşağıdaki isimlerle tespit ediyor:
- UDS
angerousObject.Multi.Generic - Trojan-Ransom.Win32.Gen.gen
- Trojan-Ransom.Win32.Sodin.gen
- Trojan-Ransom.Win32.Convagent.gen
- PDM:Trojan.Win32.Generic (with Behavior Detection)
Kuruluşları çağdaş fidye yazılımı ataklarından korumak için Kaspersky şunları öneriyor:
- Makus emelli aksiyonları geri alabilen, berbata kullanım tedbire, davranış algılama ve düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business üzere emniyetli bir uç nokta güvenlik tahlili kullanın. KESB ayrıyeten siber hatalılar tarafınca kaldırılmasını engelleyebilecek savunma düzeneklerine da sahiptir.
- Uzak masaüstü hizmetlerini (RDP gibi) gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her vakit kuvvetli parolalar kullanın.
- Uzaktan çalışanlara erişim sağlayan ve ağınızda ağ geçidi nazaranvi nazarann ticari VPN tahlilleri için mevcut yamaları çabucak yükleyin.
- Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit şimdiki tutun.
- Savunma stratejinizde yanal hareketleri ve internete bilgi sızmasını tespit etmeye odaklayın. Siber hatalıların irtibatlarını tespit etmek için giden trafiğe bilhassa dikkat edin. Bilgileri nizamlı olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere süratli bir biçimde erişebildiğinizden emin olun. Tehdit aktörleri tarafınca kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı ayrıntılarını kullanın.
- Saldırganlar en son maksatlarına ulaşmadan evvel, atağın erken basamaklarında tespit edilip durdurulmasına yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahlilleri kullanın.
- Kurumsal etrafınızı koruyun ve çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform’da sağlananlar üzere özel eğitim kursları bu hususta yardımcı olabilir. Fidye yazılımı akınlarından nasıl korunacağınıza dair fiyatsız bir ders burada mevcuttur.