.webp?w=696&resize=696,0&ssl=1 "BlackSuit Fidye Yazılımı VMware ESXi")
Siber güvenlik uzmanları tarafından Ignoble Scorpius olarak takip edilen BlackSuit fidye yazılımı grubu, önde gelen bir üreticinin operasyonlarını mahvetti.
Palo Alto Networks’ün yakın tarihli Unit 42 raporunda ayrıntıları verilen saldırı, VPN kimlik bilgilerinin ele geçirilmesi kadar basit bir şeyle başladı ve milyonlara mal olabilecek yaygın şifreleme ve veri hırsızlığına dönüştü.
Bu olay, fidye yazılımı aktörlerinin artan karmaşıklığının ve günümüzün tehdit ortamında katmanlı savunmalara olan acil ihtiyacın altını çiziyor.
İhlal, klasik bir sesli kimlik avı dolandırıcılığı veya vishing ile başladı. Bir saldırgan, şirketin BT yardım masası gibi davranarak farkında olmayan bir çalışanı sahte bir kimlik avı sitesine gerçek VPN giriş bilgilerini girmeye ikna etti.
Davetsiz misafir içeri girdikten sonra hiç vakit kaybetmedi. Bir etki alanı denetleyicisine DCSync saldırısı başlatarak, bir anahtar hizmet hesabınınki gibi elit kimlik bilgilerini ele geçirdiler.
Buradan itibaren yanal hareket hızlı oldu: Bilgisayar korsanları, Uzak Masaüstü Protokolü (RDP) ve Sunucu Mesaj Bloğu’nu (SMB) kullanarak, ağın haritasını çıkarmak için Gelişmiş IP Tarayıcı ve güvenlik açıklarından yararlanmak için SMBExec gibi araçları kullandılar.
Saldırganların, yeniden başlatmaları atlatmak için zamanlanmış bir görev olarak gizlenen, etki alanı denetleyicisine özel bir uzaktan erişim truva atının (RAT) yanı sıra AnyDesk gibi meşru bir uzaktan erişim yazılımı yüklemesiyle kalıcılık geldi.
İkinci etki alanı denetleyicisine sert bir darbe indirerek NTDS.dit veritabanını şifre karmalarıyla doldurdular. 400 GB’tan fazla hassas veri, yeniden markalanan bir rclone aracıyla ortadan kayboldu.
60’tan fazla VMware ESXi Ana Bilgisayarı İhlal edildi
Ayak izlerini silmek için, nakavt darbesinden önce CCleaner’ı çalıştırdılar: Ansible playbook’ları aracılığıyla otomatikleştirilen BlackSuit fidye yazılımı, yaklaşık 60 VMware ESXi ana bilgisayarındaki yüzlerce sanal makineyi kilitledi.
Araştırmaları, hedeflenen düzeltmelere yol açan kritik boşlukları ortaya çıkardı: eski Cisco ASA güvenlik duvarlarını yeni nesil modeller ile değiştirmek, ağ bölümlendirmesini zorunlu kılmak ve yönetici erişimini izole edilmiş VLAN’lara sınırlamak.
Kimlik cephesinde, tüm uzaktan oturum açma işlemleri için çok faktörlü kimlik doğrulamayı (MFA), NTLM’yi devre dışı bırakmayı, kimlik bilgisi rotasyonlarını ve RDP gibi etkileşimli oturumlar için hizmet hesaplarının yasaklanmasını sağladılar.
Müşteri, Unit 42’nin uzmanlığı sayesinde 20 milyon dolarlık fidye talebini başarıyla önledi ve aynı zamanda kurumsal çapta izleme ve sürekli yönetilen tespit hizmetleri de elde etti.
Bu hikaye acı bir gerçeği gösteriyor: Çalınan bir kimlik bilgisi zincirleme sorunlara neden olabilir. Ignoble Scorpius gibi gruplar, maksimum kesinti yaratmak için basit araçlar ve fidye yazılımları kullanarak bu tür hatalardan yararlanıyor.
Kuruluşların fidye yazılımlarıyla etkili bir şekilde mücadele etmek için çok faktörlü kimlik doğrulamaya, proaktif değerlendirmelere ve otomatik yanıtlara öncelik vermesi gerekir. Bu tehdit geliştikçe, bir sonraki vişne çağrısının benzer bir sonuca yol açmasından önce savunmaları güçlendirmek hayati önem taşıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
