Bilgisayar korsanları VPN’leri öncelikle kurumsal ağlara yetkisiz erişim elde etmelerine olanak tanıyan güvenlik açıklarından yararlanmak için hedefler.
Bilgisayar korsanları bu sistemlere sızarak kurumsal varlıkları belirlemeyi ve daha fazla istismar için bir dayanak oluşturmayı amaçlıyor.
Arctic Wolf araştırmacıları kısa süre önce bilgisayar korsanlarının aktif olarak SonicWall VPN’lerine saldırdığını ve “Fog” fidye yazılımını kullanarak kurumsal ağları ihlal ettiğini keşfetti.
Sis Fidye Yazılımı SSL VPN Güvenlik Açıklarından Yararlanma
Araştırmacılar, “Ağustos” ile “Ekim 2024” arasında “SonicWall SSL VPN” güvenlik açıklarını kullanan siber saldırılarda büyük bir artış olduğunu keşfettiler.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Bu güvenlik açıklarının istismar edilmesi, iki büyük tehdit grubunun fidye yazılımı dağıtımına yol açtı: –
Belgelenen “30” izinsiz giriş arasında, saldırıların %75’inden “Akira fidye yazılımı” sorumluyken, kalan %25’i “Fog fidye yazılımı” gerçekleştirdi.
Tüm bu saldırılar, SonicWall’un ürün yazılımında kritik bir güvenlik açığının keşfedilmesiyle örtüştü ve kusur ‘CVE-2024-40766’ olarak takip edildi.
Ancak doğrudan sömürüye ilişkin kanıtlar kesin değildir. Tehdit aktörleri, ilk erişimin ardından “1,5 saat” gibi kısa bir sürede başlatılan, bazı durumlarda ise 10 saate kadar uzayan şifreleme süreçleriyle olağanüstü verimlilik gösterdi.
Hedefli kampanyalardan farklı olarak, tüm bu saldırılar fırsatçı görünüyordu ve çeşitli “sektörler” ve “boyutlardaki” kuruluşları etkiliyordu.
Tehdit aktörleri öncelikle “düzenli güvenlik güncellemeleri” ve “harici güvenlik izlemenin” kritik önemini vurgulayan “güncel olmayan donanım yazılımı” sürümlerinden yararlandı.
Saldırı düzeni, fidye yazılımı olaylarının birden fazla güvenlik duvarı markasına dağıtıldığı önceki aylara göre kayda değer bir değişime işaret ediyordu. Arctic Wolf raporuna göre bu senaryo, bu tehdit gruplarının “SonicWall güvenlik açıklarına” stratejik olarak odaklanmasını öneriyor.
Bu karmaşık siber saldırılarda, tehdit aktörleri öncelikle varsayılan “4433 numaralı bağlantı noktasında” çalışan, güvenliği ihlal edilmiş “VPN hesapları” aracılığıyla yetkisiz giriş elde etti.
Saldırılar “VPS” barındırma sağlayıcılarından (AS64236 – UnReal Servers, LLC ve AS32613 – Leaseweb Canada Inc.) kaynaklandı.”
Burada tehdit aktörleri, merkezi “Microsoft Active Directory” entegrasyonu yerine yerel cihaz kimlik doğrulamasından yararlandıklarını ve özellikle ele geçirilen hesapların hiçbirinde MFA’nın etkinleştirilmediğini tespit etti.
İzinsiz girişler, genel dosyaların altı aylık verilerle sınırlı olduğu stratejik “veri filtreleme” modellerinin yanı sıra sanal makine depolama ve yedeklemelere odaklanan hızlı şifrelemeyle işaretlendi.
Bu arada, insan kaynakları ve borç hesapları departmanlarından gelen hassas bilgiler “30 aya kadar verinin çalındığını” gördü.
Tehdit aktörlerinin etkinlikleri, “238” (WAN bölgesi uzaktan kullanıcı oturum açmasına izin verilir) ve “1080” (SSL VPN bölgesi uzaktan kullanıcı oturum açmasına izin verilir) mesaj olay kimlikleri ve ardından başarılı oturum açma işlemlerini gösteren “1079” olay kimliği aracılığıyla günlüğe kaydedildi.
Tehdit aktörleri erişim sağladıktan sonra bu güvenlik duvarı günlüklerini siler. Saldırı dizisinin tamamı birkaç saat içinde gerçekleşti ve kuruluşlara “minimum yanıt süresi” kaldı.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Düzenli ürün yazılımı güncellemeleri
- VPN giriş izleme
- Güvenli tesis dışı yedeklemeler
- Sağlam uç nokta etkinliği gözetimi
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!