İnsanlar tarafından gerçekleştirilen fidye yazılımı saldırılarını engellemek ve saldırganların yatay hareket yoluyla hedeflerine ilerlemesini önlemek için, ele geçirilen kullanıcı hesaplarının hızlı bir şekilde kontrol altına alınması çok önemlidir.
Bu adımın atılması, saldırganların kötü niyetli faaliyetlerini yayma yeteneklerini sınırlamak ve etkilenen sistemleri ve verileri korumak açısından önemlidir.
Yanal hareketin başarısı, kullanıcı hesaplarının tehlikeye atılmasına ve izinlerin yükseltilmesine dayanır ve genellikle insanlar tarafından gerçekleştirilen fidye yazılımı saldırılarında üst düzey kimlik bilgilerine erişim gerektirir.
Microsoft’taki siber güvenlik araştırmacıları yakın zamanda güvenli olmayan bilgisayarlara saldıran büyük ölçekli bir Akira fidye yazılımı operasyonu tespit etti.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Akira Fidye Yazılımı Güvenli Olmayan Bilgisayarlara Saldırıyor
Saldırganlar, kullanıcı hesaplarını tehlikeye atmak için kimlik bilgisi dökümü ve tuş günlüğü tutma gibi çeşitli yöntemler kullanır.
Kimlik bilgisi güvenliğinin ihmal edilmesi, etki alanı yönetici düzeyindeki hesapların hızlı bir şekilde ele geçirilmesine yol açarak saldırganların ağın kontrolünü ele geçirmesine olanak tanıyabilir.
Bazı durumlarda, etki alanı yönetici düzeyindeki hesapların tehlikeye atılması ilk erişim noktasından yalnızca bir adım alır.
Bir endüstri mühendisliği kuruluşu, Haziran 2023’te Microsoft’taki güvenlik analistlerinin Storm-1567 ile bağlantılı olduğu, insanlar tarafından çalıştırılan bir Akira fidye yazılımı saldırısıyla karşı karşıya kaldı.
Akira fidye yazılımı, Microsoft tarafından açık bir şekilde fidye yazılımı olarak pazarlanmayan, ChaCha şifrelemesi, PowerShell ve WMI kullanımına sahip kapalı bir fidye yazılımı türüdür.
Saldırgan, Uç Nokta için Microsoft Defender’dan kaçmak amacıyla yerleşik olmayan cihazlardan yararlandı. Microsoft, uç nokta çözümünün saldırıyı daha erken engelleyebileceğini doğruladı ancak yerleşik cihazları fidye yazılımlarından korudu.
Tehdit aktörü, ağa erişim sağladıktan sonra aşağıdakiler de dahil olmak üzere çeşitli şüpheli faaliyetler gerçekleştirdi:-
- Tarama
- Güvenlik ürünlerine müdahale
- Windows Server cihazlarında RDP yanal hareketi
- Birden fazla uyarıyı tetikleme
Uç Nokta için Microsoft Defender’ın korumaları bu girişimleri engelledi. Saldırganlar daha sonra cihazları uzaktan şifrelemeyi denedi ancak suçlu sayılan bir kullanıcı hesabı ele geçirildi ve Defender’ın yerleşik cihazları korundu.
Ağustos 2023’te Uç Nokta için Microsoft Defender, güvenliği ihlal edilmiş bir kullanıcı hesabını kontrol altına alarak büyük bir saldırıyı erkenden engelledi.
Saldırı, sabah saat 4:00’te, sistem dışı bir cihazdaki varsayılan yönetici hesabının şifresinin sıfırlanmasıyla başladı ve bu hızlı bir şekilde tespit edilip kontrol altına alındı.
Ağ taramaları ve RDP oturumları gibi diğer işlemler engellendi. SOC daha sonra saldırganları tamamen tahliye etmek için ek iyileştirme adımları attı.
Kararlı saldırganlara karşı korunmak için çok katmanlı bir güvenlik yaklaşımı şarttır. Çeşitli saldırı aşamalarını bozacak şekilde tasarlanmış merkezi olmayan kontrollere sahip kullanıcı hesaplarını içeren, kuruluş çapında savunmaya öncelik vermeli ve olası riskleri üstlenmelidir.
Kontrol Seti
Aşağıda tüm kontrol gruplarından bahsettik: –
- Oturum açma kısıtlaması
- KOBİ aktivitesinin ele geçirilmesi
- RPC etkinliğini filtreleme
- Etkin oturumların bağlantısını kesme veya sonlandırma
Kullanıcıyı sınırlama, Microsoft 365 Defender’ın önemli bir özelliğidir ve saldırıları yüksek güvenle kesintiye uğratır.
Cihazların Uç Nokta için Microsoft Defender’a eklenmesi, erişimini genişleterek korumayı artırır ve korumasız cihazlar aracılığıyla saldırı riskini azaltır.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.