Yakın tarihli fidye yazılımı saldırıları dalgası, İngiltere genelinde büyük perakendecileri bozdu. CTM360’ın yeni bir raporuna göre, saldırganların kapıyı parçalaması gerekmiyordu, yanlış yerleştirilmiş güven ve zayıf kimlik önlemleri ile davet edildiler.
Bu gelişmiş kötü amaçlı yazılım veya sıfır günlük güvenlik açıkları ile ilgili değildi. Saldırganlar yaygın taktikler kullandılar: BT personelini taklit etmek, çalışanları kimlik bilgilerini teslim etmek ve çok faktörlü kimlik doğrulama kodlarını ele geçirmek. Oradan ağlar boyunca hareket ettiler.
Ne yanlış gitti?
Rapor tanıdık ama tehlikeli bir modelin özetlenmesi: Saldırganlar sosyal mühendislik yoluyla erişim kazandı, Intel’i toplarken gizli kaldı ve nihayet fidye yazılımlarını sakat operasyonlara dağıttı.
Bir durumda, saldırganlar bir perakendecinin tek oturum açma sistemine kendi kimlik sağlayıcısını eklediler ve şifreler değiştirildikten sonra bile uzun vadeli erişim sağlar. İç iletişim kanallarını izlediler, şirketin güvenlik uyarılarını nasıl ele aldığını öğrendiler ve bu bilgiyi tespiti geciktirmek için kullandılar.
Zaman geldiğinde sert vurdular. Fidye yazılımı kilitli sistemler. Çevrimiçi satışlar durdu. Temassız ödemeler başarısız oldu. Ve perde arkasında, daha fazla kaldıraç için hassas veriler zaten çalınmıştı.
Daha büyük resim
Fidye yazılımı gruplarının sıfır günlere ihtiyacı yoktur. İnsanlara, yanlış yapılandırmalara ve ortak araçlara güveniyorlar. Giriş noktası kötü amaçlı yazılım olmayabilir, bir telefon görüşmesi veya sahte bir giriş ekranı olabilir.
Cisos için, buradaki gerçek ders sadece kontrollerle ilgili değil. Bu varsayımlarla ilgilidir. Bu saldırılar, savunmaların başarısız olduğu için değil, temel güven istismar edildiği için başarılı oldu: çalışanlara kimlik avı girişimlerini tanımak için güven, yetkisiz erişimi engellemek için kimlik sistemlerine güven ve saldırganların kolayca yeniden tasarlanan uzaktan erişim araçlarına güven.
Bu kampanya daha geniş bir eğilimi yansıtıyor. Tehdit aktörleri altyapı değil kimliği hedefliyor. Kullanıcıların nasıl doğrulandığını, sistemlerin nasıl bağlandığını ve bulut ve şirket içi ortamlarda erişimin nasıl verildiğini kullanırlar.
Cisos ne odaklanmalı
Rapor şunları önerir:
- Organizasyonu bir saldırganın bakış açısından görmek
- Kimlik ve tedarik zinciri sistemlerinde dijital maruziyetin azaltılması
- Uzaktan Erişim Uygulamalarını İnceleme
- Uygulanması kolay odaklanmış sertleştirme politikalarının uygulanması
- İç güven sınırlarının nasıl yönetildiğini denetleme
CTM360’ları Fidye Yazılımı Raporuna Karşı Koruyulur Fidye yazılımı gruplarının teknik kusurlar yerine nasıl kimlik sistemlerinden nasıl yararlandığını keşfedin.
CTM360 nasıl yardımcı olabilir?
CTM360, kuruluşların daha zor hedefler haline gelmesine yardımcı olmak için kapsamlı, tam yönetilen siber güvenlik yaklaşımı sunuyor. Platformu, Dış Saldırı Yüzey Yönetimi (EASM), Dijital Risk Koruma (DRP) ve Üçüncü Taraf Risk Yönetimi (TPRM) gibi temel hizmetleri bir araya getirerek işletmelerin güvenlik açıklarını proaktif olarak tanımlamasını ve azaltmasını sağlıyor.
EASM, organizasyonların, saldırganların yararlanabilmesi için maruz kalan IP’ler ve uygulamalar gibi gizli giriş noktalarını ortaya çıkarmasına yardımcı olur. DRP, erken uyarı (IOW) ve saldırı (IOA) göstergelerini tespit ederek, siber suçluların planlama aşamalarını etkili bir şekilde bozarak bir adım daha ileri gider. Satıcılara bağımlı kuruluşlar için TPRM, güvensiz konfigürasyonları veya savunmasız üçüncü tarafları belirleyerek tedarik zinciri risklerine görünürlük sağlar.
Bu hizmetleri tamamlayan CTM360 ayrıca, belirli tehdit profillerine ve taktiklerine göre uyarlanmış siber tehdit istihbarat (CTI) ve ayrıca etki alanı tabanlı mesaj kimlik doğrulaması, raporlama ve uygunluk (DMARC) uygulama yoluyla sağlam e-posta güvenliği sunar.