Bu makalede, sizi Vice Society hakkında beş gerçekle donatacağız, böylece bu kalıcı eğitim sektörü tehdidine karşı üstünlük sağlayabilirsiniz.
Lockbit’i geçin, kasabada eğitim sektörüne saldıran yeni bir hizmet olarak fidye yazılımı (RaaS) oyuncusu var ve adı Vice Society.
Vice Society’nin Rus merkezli bir izinsiz giriş, sızma ve şantaj grubu olduğuna inanılıyor. Ve ideal avları? Tahmin ettiniz: üniversiteler, kolejler ve K-12 okulları. Federal Soruşturma Bürosu (FBI), Vice Society’nin orantısız bir şekilde eğitim sektörünü hedef aldığını gözlemledikten sonra ortak bir Siber Güvenlik Danışmanlığı (CSA) yayınladı.
Ancak bilgi ile güç gelir. Eğitim sektörü, Vice Society hakkında ne kadar çok şey bilirse, onlara karşı savunmak için o kadar iyi hazırlanır.
Bu yazıda, bu kalıcı tehdide karşı üstünlük sağlayabilmeniz için sizi Vice Society hakkında beş gerçekle donatacağız.
1. 2022’de eğitim sektörünün açık ara en büyük saldırganlarıydılar
Aylık fidye yazılımı incelememizin düzenli bir okuyucusuysanız, en hafif tabirle eğitim sektörünün geçen yıl fidye yazılımı çetelerinden büyük ilgi gördüğünü biliyorsunuzdur.
Bununla birlikte, Vice Society’ye kadar sektöre olan sevgilerini yepyeni bir düzeye çıkaran bir çete gördük.
Diğer birçok fidye yazılımı çetesi gibi, Vice Society’nin de kurbanların ağlarından çifte gasp amacıyla şifrelemeden önce bilgi çaldığı biliniyor – talep ettikleri fidyeyi ödemezseniz verileri karanlık ağda yayınlamakla tehdit ediyor.
Geçen yıl sızıntı sitelerinde yayınlanan kurumlardan birkaçı arasında Cincinnati Eyaleti’ndeki De Montfort Okulu ve Eylül ayında ulusal manşetlere çıkan biri var: ABD’nin en büyük ikinci okul bölgesi olan Los Angeles Unified.
Vice Society sızıntı sitesinde paylaşılan kurbanların yaklaşık %40’ı eğitim kurumları, diğer çetelere kıyasla büyük bir oran.
2. Ve 2023’te yavaşlama emaresi göstermediler.
Ocak 2023 itibarıyla Vice Society, altı okulun verilerini sızıntı sitelerinde yayınladı. Bu, bu yıl şimdiye kadarki diğer tüm RaaS çetelerinden daha fazla.
Vice Society sızıntı sitesi
3. Geçmiş tespiti gizlemek için karada yaşama tekniklerinden yararlanırlar.
Karadan Uzakta Yaşamak (LOTL) saldırıları, tehdit aktörlerinin meşru araçları kötü amaçlı amaçlarla kullandıkları ve bu sayede saldırılarını gerçekleştirirken göz önünde saklanmalarına etkili bir şekilde olanak sağladığı zamandır.
Vice Society aktörleri, kötü niyetli komutları yürütmek için arazi dışında yaşamanın bir yolu olarak böyle bir meşru araç olan Windows Yönetim Araçları’ndan (WMI) yararlanır. WMI, yöneticilerin bir bilgisayarın donanım ve yazılım gibi çeşitli yönlerini uzak bir konumdan yönetmesine ve izlemesine olanak tanır.
Bununla nereye gittiğimizi görüyor musun?
Vice Society ve diğer saldırganlar, bir sisteme erişim elde etmek ve ardından kötü amaçlı kod yürütmek, kötü amaçlı yazılım yüklemek veya hassas bilgileri çalmak için WMI’yı kullanabilir.
Bu, geleneksel imza tabanlı tespit mekanizmalarını kullanarak onları tespit edemeyeceğiniz anlamına gelir; hash değerleri, IOC’ler ve imzalar, karadan canlı saldırıları algılamaz. Bunun yerine, makine öğrenimi, davranış analizi ve korumalı alan oluşturmanın bir kombinasyonunu kullanan bir Uç Nokta Koruma Platformuna (EPP) geçmeniz gerekir.
4. Ağlara ilk erişimi nasıl elde ettiklerini biliyoruz
Böylece, Vice Society’nin okul ağlarına girdikten sonra ne yaptığını ve bunu nasıl tespit edeceğimizi biliyoruz. Ama ilk etapta girmelerini nasıl durdurabiliriz?
Unit 42’den ve CISA.org’da yayınlanan Siber Güvenlik Danışma Belgesinden (CSA) elde edilen verilerin bir kombinasyonunu kullanarak, Vice Society’nin hedeflerine ilk erişimi nasıl elde ettiğine dair oldukça iyi bir tablo çizebiliriz.
Vice Society, tekerleği yeniden icat etmiyor: Bu tehdit aktörleri, kurban ağlarında bir dayanak noktası oluşturmak için kimlik avı, güvenliği ihlal edilmiş kimlik bilgileri ve istismarlar gibi tanıdık teknikler kullanıyor.
Vice Society’nin ilk erişimi elde ettiğinin bilinmesinin üç yolu (MITRE Kimlikleri ile)
Tavsiyemiz zaman kadar eskidir, ancak her zaman tekrar etmeye değer:
5. İlk fidyelerini müzakere etmeye açık görünüyorlar
Her şeyden önce, FBI saldırganlara asla fidye ödememeyi tavsiye ediyor.
Ödememek için de iyi bir argüman var: Bunu yapmak daha fazla saldırıyı teşvik eder ve her iki şekilde de verilerinizi geri alacağınızın garantisi yoktur. Ne de olsa hırsızlar arasında onur yoktur.
Ancak bazen ödeme yapmamak söylemesi yapmaktan daha kolaydır. Fidyeyi ödemek, bazı kuruluşlar için çeşitli nedenlerle kalan tek seçenek olabilir.
Bir Vice Society fidye notu.
Fidye talepleri söz konusu olduğunda Vice Society’nin en saldırgan çete olmadığını biliyoruz. İlk talepleri ile nihai talepleri arasındaki fark, müzakereler gerçekleştikten sonra %60’a kadar çıkabilir.
RaaS çetelerine karşı üstünlük sağlamak
Vice Society şu anda eğitim sektörü için en ciddi RaaS tehdididir. Yine de, okullara yönelik fidye yazılımı saldırılarının bir Vice Society sorunu olduğunu söylemek, tamamen ağaçlar için ormanı kaçırmaktır.
K-12 okullarında, kolejlerinde ve üniversitelerinde fidye yazılımı başlatmanın bir bebekten şeker almak kadar kolay olduğunu söylemek istemiyoruz ama ne yazık ki RaaS çetelerinin çoğu bunu böyle görüyor. Gerçek şu ki, birçok eğitim kurumunun kısıtlı bütçeleri, onları eskimiş ekipmanlarla ve sınırlı personelle mücadele etmeye zorluyor ve bu da onları siber suçlular için kolay bir hedef haline getiriyor.
Fidye yazılımı saldırılarını her açıdan önlemek (ve kurtarmak) için eğitim sektörünün birkaç en iyi uygulamayı izlemesini öneriyoruz. Bu şunları içerir:
- Acil durum planı yapın Er ya da geç.
- Uç Nokta Koruması fidye yazılımını erkenden durdurmak için çoklu vektör algılama ve önleme teknikleriyle katmanlı bir yaklaşım kullanır.
- Fidye yazılımı geri alma seçenekleri sistemdeki veri dosyalarındaki değişiklikleri 72 saat boyunca yerel bir önbellekte saklamalı (aslında hiçbir fidye yazılımı 24 saati geçmez), bu da fidye yazılımının neden olduğu değişiklikleri geri almaya yardımcı olmak için kullanılabilir.
Fidye Yazılımı Acil Durum Kitimizde, eğitim kuruluşunuzun RaaS çetelerine karşı savunmak için ihtiyaç duyduğu daha fazla ipucu bulacaksınız.
Fidye Yazılımı Acil Durum Kitini Alın