Dünya çapındaki kuruluşlar için fidye yazılımı Saga, 2023'e taşınırken ortaya çıkmaya devam ediyor. 2 Aralık 2022'de, özel ve kamu bulut dağıtımlarını yöneten büyük bir bulut bilişim şirketi olan Rackspace, yönetilen e -posta hizmetlerinden bir fidye yazılımı saldırısı ile vuruldu.
Rackspace'e yönelik fidye yazılımı saldırısı bize iyi siber güvenlik alışkanlıklarının önemini öğretti. Saldırıdan neler öğrenebileceğimizi ve kuruluşların kendilerini nasıl koruyabileceğini görelim.
Rackspace kullanıcıları, Rackspace barındırılan değişim hizmetine bir kesinti geçirdi. Dört gün sonra, bunun tipik bir kesinti olmadığı anlaşıldı.
Rackspace, 6 Aralık 2022'de Sosyal Medyaya gitti ve Twitter'da kesintinin fidye yazılımı saldırısından kaynaklandığını söyledi.
Fidye yazılımı saldırısının başlangıçta Microsoft Exchange'deki Proxynotshell güvenlik açığından yararlandığına inanılıyordu. Rackspace soruşturmaya yardımcı olmak için Crowdstrike ile birlikte çalışıyor.
Sonuç olarak, Crowdstrike saldırının, saldırganların Proxynotshell Rackspace'in bulunduğu hafifletmeleri atlamasına izin veren daha önce bilinmeyen sıfır günlük güvenlik açığını kullandığını buldu.
Rackspace Adli Araştırma, tehdit oyuncusunun Play olarak bilinen nispeten yeni bir fidye yazılımı grubu olduğunu belirledi. Buna ek olarak, oyun grubunun saldırıyı gerçekleştirmek için finansal olarak motive edildiğine ve nispeten az sayıda müşterinin e -posta verilerine erişmiş olabileceğine inanılmaktadır.
Saldırganlar ne kadar ileri gitti? Müşteri verilerini okuyabildiler mi? Rackspace, barındırılan değişim ortamında yaklaşık 30.000 müşteriye sahiptir (müşteri tabanının yaklaşık yüzde 1'i).
Saldırı sırasında barındırılan Exchange e -posta ortamındaki 30.000 müşterinin adli soruşturması, tehdit aktörünün 27 barındırılan değişim müşterisinin kişisel depolama tablosuna ("PST") eriştiğini belirledi.
Crowdstrike soruşturması, tehdit oyuncusunun, barındırılan 27 Borsa müşterisinden herhangi biri için PST'lerde görüntülendiğine, elde ettiğini, kötüye kullanıldığına veya yayıldığına dair hiçbir kanıt bulamadı.
Rackspace ortamının istismarı, Exchange Server'da yeni bir Kritik Uzaktan Kod Yürütme (RCE) güvenlik açığını vurguladı, bu da başlangıçta Kasım 2022'de yamalandı. Ancak, birçok kuruluş yama değil güvenlik açığı hafifletmeleri uygulamıştı.
Play Hacker Group, Proxynotshell için hafifletmeyi atlayan ve Rackspace barındırılan değişim ortamında fidye yazılımı saldırısını başlatan yeni bir istismar geliştirdi. Crowdstrike, CVE-2022-41080 ve CVE-2022-41082 OWASSRF'yi birleştiren yeni istismar zincirini seçti.
Güvenlik açığı, orijinal proxynotshell için hafifletmeyi atlayabildiğinden, ancak yamadaki düzeltmeleri atlamadığından, bir güvenlik açığı için ilk hafifletmeye güvenmek yerine çevreye uygun yamaların uygulanması ihtiyacını vurgular.
Saldırganların proxynotshell gibi güvenlik açıklarını ve bir saldırı gerçekleştirmek için çalınan kimlik bilgilerini birleştirmesi genellikle söz konusudur. Çalınan kimlik bilgileri her zaman gerekli olmasa da, tehlikeye atılan kimlik bilgileri geçerli sistem erişimi ile istismarları çok daha kolay hale getirir.
Günümüzde kuruluşlar, en iyi uygulama güvenlik önerilerini uygulayarak fidye yazılımı saldırısını önleyebilir. Saldırganlar, tehlikeye atılan kimlik bilgilerinden, kapatılmamış sistemlerden, uzaktan erişim sistemleri etrafında gevşek güvenlik ve kötü korunan web sunucularından yararlanabilir.
Bir fidye yazılımı saldırısının domino etkisini önlemek için aşağıdaki stratejilere bakalım:
Yama yapmak, fidye yazılımı saldırısını önlemenin hayati bir yönüdür. Ne yazık ki, Rackspace saldırısında gösterildiği gibi, saldırganlar genellikle kritik sistemlere saldırmak ve fidye yazılımı saldırılarını başlatmak için sıkışmamış güvenlik açıkları kullanıyor. Rackspace fidye yazılımı saldırısı durumunda, bilgisayar korsanları hafifletmeleri atlayabilir, ancak tamamen yamalı sistemleri atlayamazdı.
Fidye yazılımı gruplarından bir başka yaygın saldırı vektörü güvensiz uzaktan erişim sistemleridir. Meşru çalışanlar için uzaktan erişim için mevcut herhangi bir sistem de saldırganlar için bir hedeftir. Örneğin, kuruluşlar genellikle çok faktörlü kimlik doğrulaması olmadan zayıf kimlik bilgilerinin dahil olduğu güvensiz uzak masaüstü sunucuları veya VPN bağlantıları kullanılarak saldırıya uğradı. Bu nedenle, uzaktan erişim sistemlerinin güvenliğini güçlendirmek, bunların tamamen yamalı olmasını sağlamak ve kullanıcıların çok faktörlü kimlik doğrulama ile birlikte kimlik doğrulama için güçlü şifreler kullanmaları gerekir.
Şirketler şifre güvenliğini artırmayı düşünmelidir, çünkü şifreler çoğu kuruluşun güvenliğindeki en zayıf bağlantıdır. Buna ek olarak, kullanıcılar genellikle hesaplar arasındaki şifreleri yeniden kullanır ve kolayca tahmin edilen veya daha önce ihlal edilen şifreleri seçer ve bu da onları uzlaşma için kolay bir hedef haline getirir.
Birçok işletme, kaynakları güvence altına almak için şirket içi kimlik ve erişim yönetimi çözümü olarak Microsoft Active Directory etki alanı hizmetlerini kullanır. Ancak, Active Directory etkili modern şifre politikaları sağlayan yerel araçlar içermez. Buna ek olarak, Active Directory yerel şifre politikaları ihlal edilen şifrelere karşı korunmaz.
SpecOps Parola Politikası gibi araçlar, kuruluşların modern saldırılardan şifreleri güvence altına alma zorluklarını karşılamasını sağlar. Kuruluşlar, SpecOps parola politikası güvenlik seçeneklerini kullanarak şifre güvenliğini genişletmek için mevcut grup politikalarını kullanabilir.
Fidye yazılımı, dünya çapında kuruluşlar için artan bir endişe kaynağıdır, çünkü fidye yazılımı saldırısının serpilmesi ve sonuçları genellikle şiddetlidir. Önemli siber güvenlik saldırıları, Rackspace teknolojisinde görüldüğü gibi davalara, düzenleyici para cezalarına, müşteri güvenine ve hasarlı marka itibarına yol açabilir.
Sonuç olarak, fidye yazılımı saldırılarına karşı korunmak ve serpinti, kuruluşların yama, uzaktan erişimi güvence altına almak ve şifre güvenliğini arttırmak da dahil olmak üzere güvenliklerini güçlendirmek için çok yönlü bir yaklaşıma sahip olmalarını gerektirir.
SpecOps Parola Politikası, kuruluşların Active Directory hesapları için şifre güvenliğini artırmasına olanak tanıyan ve ihlal edilen ve zayıf şifrelere karşı korunmaya yardımcı olan bir çözümdür.
Specops Software tarafından sponsorlu ve yazılmıştır
Şifre gücünü daha şeffaf hale getirmenin faydaları
BT tükenmişliği kuruluşunuzu riske atıyor olabilir
Rackspace: Fidye yazılımı saldırısında erişilen müşteri e -posta verileri
Rackspace, fidye yazılımının son siber saldırının arkasında olduğunu doğrular
14 Siber Güvenlik Son kullanıcılarınıza aşılamak için en iyi uygulamalar
Kaynak: Bleeping Computer