FBI, kurban ağlarına iki günden kısa bir süre içinde sistemleri şifrelemek için birden fazla suşun konuşlandırıldığı fidye yazılımı saldırılarında yeni bir eğilim konusunda uyardı.
FBI'ın uyarısı, Temmuz 2023'ten itibaren gözlemlenen eğilimler tarafından başlatılan özel bir endüstri bildirimi şeklinde geliyor.
Federal Kolluk Kuvvetleri, fidye yazılımı iştiraklerinin ve operatörlerinin, kurban örgütlerini hedeflerken iki farklı varyant kullanılarak gözlemlendiğini açıklamaktadır. Bu çift fidye yazılımı saldırılarında kullanılan varyantlar arasında Avoslocker, Diamond, Hive, Karakurt, Lockbit, Quantum ve Royal bulunur.
FBI, "Çift fidye yazılımı varyantlarının bu kullanımı, fidye ödemelerinden elde edilen veri şifreleme, eksfiltrasyon ve finansal kayıpların bir kombinasyonuyla sonuçlandı." Dedi.
Diyerek şöyle devam etti: "Zaten tehlikeye atılmış bir sisteme karşı ikinci fidye yazılımı saldırıları mağdur kuruluşlarına önemli ölçüde zarar verebilir."
Geçmişin aksine, fidye yazılımı grupları bu tür saldırıları yürütmek için tipik olarak en az 10 gün gerektirdiğinde, şimdi aynı kurbanı hedefleyen fidye yazılımı olaylarının büyük çoğunluğu, FBI verilerine göre, sadece 48 saatlik bir zaman dilimi içinde gerçekleşti.
Coveware CEO'su ve kurucu ortağı Bill Siegel ayrıca BleepingComputer'a çift şifrelemenin yıllardır bir şey olduğunu, bazı şirketlerin tehdit aktörünün her iki fidye yazılımı saldırıları için de şifreleme yapmadığı için yeniden uzatma ile karşı karşıya olduğunu söyledi.
Siegel, "Her saldırıda kasıtlı olarak iki farklı varyant kullanan bazı tehdit aktör grupları var. Örneğin, aynı tehdit aktörü tarafından tek bir kurbanda aynı anda kullanılan Medusalocker ve Globemposter'ı düzenli olarak görüyoruz." Dedi.
"İlk erişim brokerinin, farklı fidye yazılımı markalarını kullanan iki farklı fidye yazılımı iştirasına ağa erişim sattığı durumlar. Her iki bağlı kuruluş da ağda, makineleri birbirine yakın bir şekilde etkiliyor."
Ayrıca FBI, 2022'nin başlarında başlayarak, birden fazla fidye yazılımı çetelerinin algılamadan kaçınmak için özel veri hırsızlığı araçlarına, sileceklerine ve kötü amaçlı yazılımlarına yeni kod eklemeye başladığını söylüyor.
Diğer olaylarda, veri açma işlevini içeren kötü amaçlı yazılımlar, önceden belirlenmiş bir süreye kadar uzlaşmış sistemlerde uykuda kalacak şekilde yapılandırılmıştır. Bu noktada, hedeflerin ağlarındaki verileri periyodik aralıklarla yok etmek için yürütülecektir.
Sophos X-Ops olay müdahalecilerine göre, geçen yıl başlayan bir saldırıda, Nisan ayında, bir otomotiv tedarikçisi Lockbit, Hive ve Alphv/Blackcat iştirakleri tarafından sadece iki ay içinde üç kez ihlal edildi.
Mağdur organizasyonu, ilk ihlalden sonra kilitli ve kovan fidye yazılımı ile şifrelenmiş sistemleri geri yüklemekle meşgulken, verileri çalmak ve tekrar bir kez kendi encrypter'lerine sahip dosyaları kilitlemek için daha önce uzlaşmış cihazlara bağlı bir ALPHV/Blackcat üyesi.
İşleri daha da kötüleştirmek için, yanıt verenler kurbanın bazı dosyalarının beş kez şifrelendiğini keşfetti.
Sophos ekibi, "Kovan saldırısı Lockbit'ten 2 saat sonra başladığı için, Lockbit fidye yazılımı hala çalışıyordu - bu nedenle her iki grup da uzantı şifrelendiklerini gösteren dosya bulmaya devam etti." Dedi.
FBI, kuruluşlara bölgelerindeki FBI saha ofisleriyle yakın bağlantılar kurmalarını tavsiye ediyor. Bu ilişkiler, FBI'ın güvenlik açıklarının tanımlanmasına ve tehditle ilgili potansiyel faaliyetlerin hafifletilmesine yardımcı olmasına izin verecektir.
Ağ savunucularına ayrıca, saldırganların ortak sistem ve ağ keşif tekniklerini kullanımını sınırlamak ve fidye yazılımı saldırıları riskini azaltmak için FBI'ın Perşembe günü yayınlanan özel endüstri bildiriminde yer alan hafifletme önlemleri uygulamaları tavsiye edilir.
Tüm sistemleri güncel tutmaya ve saldırganların, erişimleri engellenirse ağa erişimi yeniden kazanmalarını sağlayacak başarısızlık emniyetleri olarak verilen potansiyel arka kapıları veya güvenlik açıklarını tanımlamak için altyapılarının kapsamlı taramalarını yürütmeleri istenir.
Savunucular ayrıca VNC, RDP ve harici kaynaklardan erişilebilen diğer uzaktan erişim çözümleri gibi hizmetleri de güvence altına almalıdır. Erişim yalnızca VPN aracılığıyla kısıtlanmalı ve yalnızca güçlü şifrelere ve zorunlu çok faktörlü kimlik doğrulama (MFA) olan hesaplara verilmelidir.
Önerilen bir başka uygulama, kritik sunucuların güvenliği artırmak için VLAN'lar içinde izole edildiği ağ segmentasyonunu içerir. Ayrıca, gerekli yamaların olmaması nedeniyle sömürüye karşı savunmasız cihazların tanımlanması için tüm ağ genelinde kapsamlı taramalar ve denetimler yapmak çok önemlidir.
İranlı bilgisayar korsanları ABD havacılık orgunu managemine, fortinet böcekleri ile ihlal ettiriyor
FBI, yamalı Barracuda esg aletlerinin hala saldırıya uğradığı konusunda uyarıyor
FBI: Lazarus Hacker'ları çalınan kriptoda 41 milyon dolar para kazanmaya hazır
FBI, kriptolarınızı çalmak için NFT geliştiricileri olarak poz veren dolandırıcıları uyarıyor
LostTrust Ransomware ile tanışın - Metaencryptor çetesinin olası bir markası
Kaynak: Bleeping Computer