Kasım Fidye Yazılımı İncelememizde okumuş olabileceğiniz gibi, Scattered Spider, Eylül ayında MGM Resorts ve Caesar Entertainment’a saldırarak manşetlere çıkan nispeten yeni, ancak tehlikeli bir fidye yazılımı çetesidir. Küçük güvenlik ekipleri için grupla ilgili en önemli bulgulardan biri, tespit edilmekten kaçınmak için Living Of The Land (LOTL) tekniklerini kullanmalarıdır: Scattered Spider, diğer adıyla Octo Tempest, keşif için PowerShell gibi günlük araçları kullanır ve güvenliği atlamak için ağ ayarlarını gizlice değiştirir. miktar. Ayrıca kimlik sağlayıcılardan yararlanırlar ve güvenlik sistemlerini değiştirerek kötü niyetli faaliyetlerini normal ağ operasyonlarıyla harmanlarlar.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Salı günü ortak bir siber güvenlik danışma belgesinde (CSA), Scattered Spider’ın kullandığı teknikler hakkında ayrıntılı bilgi verdi. Bu tavsiye, Scattered Spider’ın ticari tesisler sektörü ve alt sektörlerine yönelik son faaliyetlerine yanıt olarak yayınlandı.
CISA ve FBI, Scattered Spider’ı, kimlik bilgileri elde etmek, uzaktan erişim araçlarını yüklemek ve çok faktörlü kimlik doğrulamayı (MFA) atlamak için özellikle kimlik avı, push bombalama ve SIM takas saldırıları gibi birden fazla sosyal mühendislik tekniğini kullanan uzmanlar olarak görüyor.
Push bombalaması, bir saldırganın hedefin tek oturum açma (SSO) portalına veya kamuya açık kurumsal uygulamalara ve hizmetlere karşı birden fazla oturum açma girişimini tetiklediği hedefli bir MFA saldırısıdır. Amaç, hedefin bildirimlerden sıkılması veya hata yaparak erişime izin vermesidir.
SIM değiştirme olarak da bilinen SIM değiştirme, bir hedefin cep telefonu numarasını yasadışı bir şekilde ele geçirme eylemidir. Bu, çeşitli şekillerde yapılabilir, ancak en yaygın yöntemlerden biri, hedefin telefon operatörünü, telefon numarasını saldırganın kontrolü altındaki yeni bir SIM’e taşıması için kandırmayı içerir.
Scattered Spider, genellikle büyük şirketleri ve onların sözleşmeli bilgi teknolojisi (BT) yardım masalarını hedef alan bir gruptur. Kimlik avı e-postalarına güvenilirlik kazandırmak için genellikle kurbanadı-sso gibi alan adlarını kaydederler[.]com, kurbanadı-hizmet masası[.]com veya kurbanın adı-okta[.]com.
Gruplar erişim sağladıktan sonra Scattered Spider, saldırının keşfedilip keşfedilmediğini görmek için genellikle kurbanın Slack, Microsoft Teams ve Microsoft Exchange’inde izinsiz girişle ilgili e-postaları veya konuşmaları ve ayrıca herhangi bir güvenlik yanıtını arar.
Tavsiye belgesinde bu çabaların ne kadar ayrıntılı olabileceği açıklanmaktadır:
“Tehdit aktörleri sıklıkla olay iyileştirme ve müdahale çağrılarına ve telekonferanslara katılarak, güvenlik ekiplerinin onları nasıl avladığını belirlemek ve kurban savunmalarına yanıt olarak proaktif olarak yeni izinsiz giriş yolları geliştirmek için çalışıyor.”
Çeşitli kaynaklara göre Scattered Spider’ın ALPHV/BlackCat ile ilişkisi var ve yakın zamanda veri sızdırma ve dosya şifreleme için fidye yazılımlarını kullanmaya başladı.
Görünüşe göre FBI, ABD ve diğer Batı ülkelerinde yerleşik olduklarına inanılan grup üyelerini tutuklamakta zorlanıyor çünkü kurbanlar öne çıkıp olaylarıyla ilgili ayrıntıları paylaşmıyor. Bu nedenle FBI ve CISA, mağdur örgütleri saldırılarla ilgili bilgileri kurumlarla paylaşmaya çağırdı.
Scattered Spider’ın taktiklerini engelleyebilecek bir diğer girişim de ABD Federal İletişim Komisyonu’nun (FCC), ABD tüketicilerini SIM değiştirme saldırılarından ve port-out dolandırıcılıklarından korumak için yeni kurallar kabul etmesidir. Bu yeni kurallar, ABD’deki kablosuz iletişim sağlayıcılarının, bir müşterinin SIM kartını yeni bir cihaza veya telefon numarasını yeni bir operatöre taşımayı talep ettiğinde kimliğini doğrulamak için güvenli yöntemler kullanmasını gerektiriyor.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.