Sophos, Dragonforce fidye yazılımlarından yararlanan tehdit aktörleri tarafından düzenlenen sofistike hedefli bir saldırıya başarılı bir şekilde yanıt verdi.
Saldırganlar, yönetilen bir servis sağlayıcısının (MSP) Uzaktan İzleme ve Yönetim (RMM) aracına, SimpleHelp’e, fidye yazılımlarını birden çok uç noktaya dağıtmak ve duyarlı verileri pessat etmek için bir kanal olarak kullandılar.
Mağdurları hem şifreleme hem de veri sızıntılarını tehdit ederek fidye ödemeye zorlamak için tasarlanan bu çift gasp taktiği, MSP’lere ve müşterilerinin karşılaştığı gelişen tehdit manzarasının altını çiziyor.
.png
)
Sophos MDR, orta güvenle, ilk uzlaşmayı Ocak 2025’te CVE-2024-57727 (çoklu yol geçiş güvenlik açıkları), CVE-2024-57728 (keyfi dosya yükleme kırılganlığı) dahil olmak üzere açıklanan bir güvenlik açıkları zincirine bağlar. MSP’nin sistemlerine sızma.
MSP’nin uzaktan yönetim aracı
2023 ortalarında ortaya çıkan Hizmet Olarak Gelişmiş Bir Fidye Yazılımı (RAAS) markası olan Dragonforce Fidye Yazılımı, siber suç ekosisteminde hızla kötü şöhret kazandı.
Sophos Counter Tehdit Birimi’nin (CTU) raporuna göre, Dragonforce Mart ayında kendisini daha geniş bir suç iştirak havuzu çekmeyi amaçlayan dağıtılmış bir bağlı kuruluş modeliyle “kartel” olarak konumlandırmak için bir yeniden marka kampanyası başlattı.
Bu stratejik değişim, başka bir önde gelen fidye yazılımı grubu olan Ransomhub’ın altyapısını devralma iddiaları da dahil olmak üzere yüksek profilli hareketlerle çakıştı.
Buna ek olarak, raporlar, daha önce Ransomhub ile ilişkili dağınık örümcek (UNC3944) gibi tanınmış bağlı kuruluşların, İngiltere ve ABD’deki büyük perakende zincirlerini hedefleyen Dragonforce’a döndüğünü göstermektedir.
Bu agresif genişleme, Dragonforce’un rekabet avantajını ve küresel kuruluşlara, özellikle MSP’ler gibi üçüncü taraf hizmet sağlayıcılarına güvenenlerin artan riski vurgulamaktadır.
Raas ekosisteminde artan bir tehdit
Sophos MDR, tehlikeye atılan MSP tarafından barındırılan meşru bir RMM örneği aracılığıyla dağıtılan şüpheli bir SimpleHelp yükleyici dosyasını tespit ettiğinde saldırı ortaya çıktı.
Bu erişimi kullanarak, tehdit aktörleri, MSP tarafından yönetilen birden fazla müşteri ortamında kapsamlı keşif gerçekleştirerek cihaz adları, konfigürasyonlar, kullanıcı bilgileri ve ağ bağlantıları gibi kritik verileri topladı.
Bu zeka muhtemelen DragonForce fidye yazılımı ve veri açığa çıkma çabalarının daha sonra konuşlandırılmasını kolaylaştırmıştır.
Sophos MDR ve Sophos XDR uç nokta çözümleri tarafından korunan bir MSP istemcisi için, saldırı, ağa saldırgan erişimini engellemek için hızlı MDR eylemlerinin yanı sıra, hem şifreleme hem de veri hırsızlığını önlemek için davranışsal ve kötü amaçlı yazılım tespitinin bir kombinasyonu ile etkili bir şekilde hafifletildi.
Ne yazık ki, MSP’nin kendisi ve Sophos koruması olmayan diğer müşteriler, fidye yazılımına ve veri açığa çıkmasına, önemli operasyonel ve finansal etkilere maruz kaldılar.
İhlalin ardından MSP, dijital adli tıp için Sophos hızlı tepkisini ve çevresindeki uzlaşmayı araştırmak ve düzeltmek için olay yanıtı aldı.
Bu olay, genellikle fidye yazılımı aktörleri tarafından giriş noktaları olarak sömürülen RMM araçlarındaki kritik güvenlik açıklarını daha açık bir hatırlatma görevi görür.
MSP’ler, çok sayıda müşteri ağına erişimin muhafızları olarak, bu tür saldırılar için ana hedefler olmaya devam ediyor.
Yakın zamanda açıklanan güvenlik açıklarının kullanımı, zamanında yama, sağlam uç nokta koruması ve Dragonforce gibi gelişen tehditlere karşı korunmak için sürekli izleme ihtiyacını daha da vurgulamaktadır.
Sophos MDR’nin bu durumda proaktif yanıtı, fidye yazılımı ve çift gasp şemalarının yıkıcı etkilerini azaltmada katmanlı güvenliğin ve hızlı olay tepkisinin önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!