Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi’nden (MS-ISAC) ortak danışma, Cring olarak da bilinen devam eden hayalet fidye yazılım tehdidini ortaya koymaktadır.
2021’in başından beri aktif olan bu grup, Çin dışında faaliyet gösteren bu grup, 70’den fazla ülkede organizasyonları hedef aldı ve kritik altyapıyı, okulları, sağlık hizmetlerini, hükümet ağlarını ve her büyüklükteki işletmeleri etkiledi. Güdüsü tamamen finansal kazançtır.
Hayalet Nasıl Çalışır:
Hayalet aktörler, modası geçmiş yazılım ve ürün yazılımını çalıştıran internete bakan hizmetlerde bilinen güvenlik açıklarından yararlanır. Modus operandi, Fortinet Fortios Appliances, Adobe Coldfusion, Microsoft SharePoint ve Microsoft Exchange gibi bilinen güvenlik açıklarını kullanmak için halka açık kodu kullanmayı içerir. İçeri girdikten sonra, dosyaları şifreleyen ve kripto para biriminde ağır fidye talep eden Cring.exe, Ghost.exe, Elysiumo.exe ve Locker.exe dahil olmak üzere fidye yazılımı yükleri dağıtırlar.
Ghost’un fidye notları genellikle çalınan verileri satmakla tehdit ederken, genellikle fidye için sistemleri şifrelemeye odaklanarak sınırlı miktarda bilgiyi yayarlar.
Hayalet Aktiviteyi Tanımlama:
Danışma, dosya karmalar, fidye e -posta adresleri ve hayalet aktörler tarafından kullanılan araçlar dahil olmak üzere uzlaşma göstergelerinin (IOC’ler) bir listesini sunar. Kuruluşlar, bu IOC’lerin ağlarında herhangi bir varlığını araştırmalıdır. Savunmasız cihazların taramaları, yönetici hesaplarının manipülasyonu ve tanıdık olmayan Powershell komut dosyalarının yürütülmesi gibi olağandışı ağ trafiği de hayalet etkinliğini gösterebilir.
Kuruluşunuzu Koruma:
Danışma ayrıca, hayalet fidye yazılımlarına karşı savunmak için temel güvenlik önlemlerinin önemini vurgulamaktadır. Anahtar önlemlerden biri, fidye taleplerine yenik düşmeden sistem restorasyonunu sağlamak için tercihen çevrimdışı veya bölümlü düzenli yedeklemeleri korumaktır. Zamanında yama yazılımı ve ürün yazılımı, bilinen güvenlik açıklarını kullanılmadan önce ele almada da hayati önem taşır.
Kuruluşlar, enfeksiyonların yayılmasını sınırlamak için uzlaşmış sistemleri izole ederek ağ segmentasyonunu uygulamalıdır. Kimlik doğrulama yöntemlerinin güçlendirilmesi, tüm ayrıcalıklı ve e-posta hesapları için önerilen kimliğe dirençli çok faktörlü kimlik doğrulama (MFA) ile bir başka hayati adımdır.
Çalışanlar için siber güvenlik eğitimi, kimlik avı saldırılarının risklerinin üstesinden gelmeye yardımcı olur. Ayrıca, PowerShell kullanımının izlenmesi kötü niyetli etkinliklerin erken tespit edilmesine yardımcı olabilir.
Kuruluşlar da uygulamalıdır allowlisting Yetkisiz uygulamaların ve komut dosyalarının yürütülmesini kısıtlamak, kötü amaçlı yazılım sızma riskini azaltmak. Ağ izleme, bir güvenlik ihlalini gösterebilecek herhangi bir anormal davranışı tanımlamak ve araştırmak için gereklidir.
Ayrıca, gereksiz bağlantı noktalarını devre dışı bırakarak ve temel hizmetlere erişimi kısıtlayarak hizmet maruziyetini en aza indirmek güvenlik açıklarını önemli ölçüde azaltabilir. Son olarak, gelişmiş filtreleme ve sahtekarlık önlemleri ile e-posta güvenliğini artırmak, kimlik avı girişimlerini ve e-posta tabanlı tehditleri önlemeye yardımcı olur.
Juliette Hudson, Cybaverse CTO’su, notlar, “Hayalet, yaygın olarak kullanılan teknolojide bilinen CVES’ten yararlanan ciddi bir ulus-devlet tehdididir. Kuruluşlar, saldırıları önlemek için yama ve iyileştirmeye öncelik vermelidir. Sosyal mühendisliğe dayanan birçok fidye yazılımı grubunun aksine, Ghost ilk erişim için güvenlik açıklarından yararlanır. Bu, sömürü pencereleri küçüldüğü için zamanında güvenlik güncellemelerinin aciliyetini vurgular. Özellikle AI güdümlü kimlik avı ve derin yapraklara karşı güçlü siber güvenlik hijyeni, güvenlik açığı testi ve güvenlik bilinci eğitimi, savunma için gereklidir.“
İlgili Konular
- Ransomhub: Yeni fidye yazılımının yeni kralı?
- Kutsal Hayalet Fidye Yazılımı Saldırılarından Dersler
- Sahte Github Hesapları Stargazers Hayalet Şemasında Kötü Yazılım Bırakın
- Yeni Codefinger fidye yazılımı S3 kovalarını şifrelemek için AWS’den istismar
- ABD Yaptırımları Fidye Yazılımı Saldırıları İçin Çin Siber Güvenlik Firması