Temizlik Ürünleri Dev Clorox, BT hizmetleri ortağı Cognizant’a, yıkıcı bir Ağustos 2023 fidye yazılımı saldırısının üretimi sakatlayan ve şirkete 380 milyon dolara mal olan firmanın ihmalinden kaynaklandığını iddia etti.
California Yüksek Mahkemesi davasında Clorox, dağınık örümcek grubuna bağlı bilgisayar korsanlarının, bir şifre sıfırlaması için Cognizant’ın servis masasını telefon ederek kimlik bilgilerini aldığını iddia ediyor. Clorox ayrıca Cognizant’ın iyileşme süresini uzatarak tepkisini vurduğunu iddia ediyor.
Şimdi, bir güvenlik analiz firması olan SpecOps Software, bu olayın ayrıntılı bir analizini yayınladı ve bu basit hizmet masası saldırısının tam olarak nasıl ortaya çıktığını ve kuruluşlar için kritik dersler sunduğunu ortaya koydu.
Hackread.com ile paylaşılan araştırmalarına göre, olay 11 Ağustos 2023’te başladı. Meşru çalışanları taklit eden saldırganlar, Cognizant’ın hizmet masasına birden fazla çağrı yaptı. Amaçları: Kilitli çalışanlar için şifreler ve çok faktörlü kimlik doğrulama (MFA) sıfırlama almak.
Clorox’un net prosedürlerine rağmen, servis masası acentesinin bu protokolleri atladığı, arayanın kimliğini doğrulamadığı ve yeni kimlik bilgileri sağladığı bildirildi. Gözetimini birleştirerek, Kurtarıcı Çalışana veya Yöneticilerine uyarı e -postaları gönderilmedi – Clorox’un güvenlik ekibini uyarabilecek temel bir bildirim.
Bilgisayar korsanları daha sonra bu taktiği tekrarladılar ve bir BT-güvenlik çalışanına ait ikinci bir hesaba erişim kazandı. Bu anında erişimini yükseltti Domain-ADMIN ayrıcalıklarınabunlara ağ genelinde kullanıcı erişimini kontrol eden Clorox’un temel Active Directory ortamına sınırsız giriş yapma.
Üst düzey kimlik bilgileriyle, davetsiz misafirler hızla engelli güvenlik kontrolleri, ayrıcalıklarını daha da artırdı ve fidye yazılımı anahtar sunuculara yerleştirdi. Bu sessizce şifrelenmiş veriler, imalat, dağıtım ve BT sistemleri arasındaki hayati bağlantıları keserek. Üretim hatları durdu ve sipariş yerine getirme durdu. Clorox, doğrudan iyileştirme giderlerinde 49 milyon dolar ve 380 milyon dolarlık şaşırtıcı gelir bildirdi.
Kritik BT destek fonksiyonlarının dış kaynak kullanımı riski, maliyet tasarrufu sunarken güvenlik açıkları getirebilir. Özellikle, İngiltere perakendeci Marks ve Spencer’ın, dağınık örümceklerin BT yardım masası yüklenicileri Tata Danışmanlık Hizmetleri’nde (TCS) personeli kandırdığı benzer bir olayla karşı karşıya kaldı, ayrıcalıklı kimlik bilgilerini sıfırlamak için de Active Directory erişimi kazandı.
Bu olay, dağınık örümcek (aka 0ktapus, UNC3944) tarafından ortaya çıkan tehdidi vurgulamaktadır. Hackread.com’un bildirdiği gibi, bu grup MGM Resorts ve diğer büyük perakendeciler de dahil olmak üzere çok sayıda yüksek profilli ihlalle ilgilenmiştir.
Fidye yazılımı dağıtım için VMware vSphere ortamlarını doğrudan hipervizörden Clorox olayına hedeflemek için yardım masalarından kalıcı olarak yararlanmaları, basit insan güvenlik açıklarının, eğer kabul edilmezse, anıtsal finansal ve operasyonel yıkıma yol açabileceğini göstermektedir.
Bu riskleri azaltmak için kuruluşlar, yüklenicilerle katı hizmet düzeyi anlaşmalarını (SLAS) uygulamalı, dış kaynaklı süreçler üzerinde düzenli kırmızı ekip egzersizleri (simüle edilmiş saldırılar) yapmalı ve yüksek riskli faaliyetlerin şeffaf, gerçek zamanlı raporlanmasını talep etmelidir. En önemlisi, ajanların ikincil onay iş akışları olmadan yönetici veya it özellikli hesapları sıfırlamasını önlemek için servis masası izinleri kilitlenmelidir.