En Son Fidye Yazılımı Tehdidi İçinde

   Ocak 23, 2025  Posted in ThecyberExpress


Siber güvenlik tehditleri gelişmeye devam ediyor ve en son raporlar, AWS S3 klasörlerinin işlevselliğini hedef alan bir fidye yazılımı kampanyasını ortaya koyuyor. Bu kampanya, sürüm oluşturma ve şifreleme özelliklerinden yararlanıyor ve bulut depolamaya güvenen kuruluşlar için önemli bir risk oluşturuyor.

Aşağıda Cyber ​​Express (TCE), bu saldırının temel ayrıntılarını özetlemekte ve sistemlerinizi korumak için uygulanabilir adımlar sunmaktadır.

AWS S3 Buckets: Fidye Yazılımı Kampanyasına Genel Bakış

Kampanya, sürüm oluşturmayı ve şifrelemeyi kötüye kullanarak Amazon Web Services (AWS) S3 paket işlevselliğinden yararlanıyor. Saldırganlar, Kimlik ve Erişim Yönetimi (IAM) kimlik bilgilerini tehlikeye atarak veya aşırı izin veren IAM rollerinden yararlanarak yetkisiz erişim elde eder. Erişim sağlandıktan sonra, orijinal verilere erişimi şifrelemek veya kısıtlamak için AWS özelliklerini manipüle ederler ve bir fidye ödenmediği veya kurtarma için S3 sürümü etkinleştirilmediği sürece verileri erişilemez hale getirirler.

Bu saldırı yöntemi, AWS’nin kuruluşlarda yaygın kullanımından faydalanarak kurtarma çabalarını karmaşık hale getirir ve zayıf güvenlik yapılandırmalarının sonuçlarını artırır.

Saldırganlar Nasıl Erişim Kazanır?

Saldırganlar genellikle aşağıdaki yollarla ilk erişimi elde eder:

  • Güvenliği ihlal edilmiş IAM kimlik bilgileri: Kimlik avı e-postaları veya sosyal mühendislik yoluyla elde edildi.
  • Aşırı hoşgörülü IAM rolleri: AWS kaynaklarına geniş erişim sağlayan yanlış yapılandırmalardan yararlanıldı.

Saldırganlar içeri girdikten sonra saldırılarını gerçekleştirmek için AWS’nin yerel özelliklerinden yararlanır, bu da tespit ve müdahaleyi zorlaştırır.


Tarayıcınız video etiketini desteklemiyor.

Saldırının Etkisi

Bu kampanyadan etkilenen kuruluşlar aşağıdakiler de dahil olmak üzere ciddi sonuçlarla karşı karşıyadır:

  1. Operasyonel Kesinti: S3 klasörlerinde depolanan verilere erişilemez hale gelir ve işlemler durdurulur.
  2. Mali Kayıplar: Maliyetler potansiyel fidye ödemelerini, uzayan kurtarma sürelerini ve gelir kayıplarını içerir.
  3. İtibar Hasarı: İhlaller müşteri güvenini ve marka güvenilirliğini aşındırır.

Yedekleme ve kurtarma stratejileri olmayan kuruluşlar için bulut depolamaya olan güven, etkiyi daha da artırıyor.

Sistemlerinizi Koruma Adımları

Bu fidye yazılımı kampanyasına karşı korunmak için kuruluşların aşağıdaki önlemleri uygulaması gerekir:

1. IAM Politikalarını İnceleyin ve Güçlendirin

  • Erişim haklarını yalnızca gerekli olanlarla sınırlamak için en az ayrıcalık ilkesini uygulayın.
  • IAM izinlerini düzenli olarak denetleyin ve aşırı ayrıcalıkları iptal edin.

2. Çok Faktörlü Kimlik Doğrulamayı (MFA) Etkinleştirin

  • Ek bir güvenlik katmanı sağlamak için MFA’yı tüm kullanıcı ve kök hesapları için zorunlu kılın.

3. AWS Ortamlarını İzleyin

  • Tüm hesap etkinliklerini günlüğe kaydetmek ve izlemek için AWS CloudTrail’i kullanın.
  • Şüpheli davranışları ve potansiyel tehditleri tespit etmek için AWS GuardDuty’yi etkinleştirin.

4. Veri Yedekleme ve Kurtarmayı Sağlayın

  • Yetkisiz silmeyi veya üzerine yazmayı önlemek için S3 Object Lock’u kullanarak kritik S3 verilerinin değişmez yedeklerini koruyun.
  • Birden fazla nesne sürümünü paketler içinde tutmak için S3 sürüm oluşturmayı etkinleştirerek bir kurtarma mekanizması sağlayın.
  • Gerçek olaylara hazırlıklı olmak için kurtarma prosedürlerini periyodik olarak test edin.

5. S3 Kovalarına Erişimi Kısıtlayın

  • Erişimi belirli kullanıcılara veya uygulamalara sınırlamak için kısıtlayıcı paket ilkelerini yapılandırın.
  • Gizliliğini sağlamak için saklanan tüm veriler için şifrelemeyi zorunlu kılın.

6. SSE-C Kullanımını Kısıtlayın

  • Saldırganlar kurbanları kilitlemek için bu özellikten yararlanabileceğinden, Müşteri Tarafından Sağlanan Anahtarlarla (SSE-C) Sunucu Tarafı Şifrelemeye güvenmekten kaçının.

Fidye yazılımı taktikleri giderek bulut altyapılarını hedef aldığından, kuruluşunuzun bulut güvenliği duruşunu güçlendirmek çok önemlidir. IAM politikalarını düzenli olarak incelemek, ortamları izlemek ve sağlam yedeklemeler sağlamak, riski azaltmak için kritik adımlardır.

Yetkisiz Faaliyet Farkında Olursanız Ne Yapmalısınız?

AWS hesabınızda yetkisiz etkinlik olduğundan şüpheleniyorsanız şu adımları izleyin:

1. Yetkisiz Etkinliği Doğrulayın

  • Oluştur kimlik bilgisi raporları IAM kullanıcı şifrelerinin veya erişim anahtarlarının son kullanımını belirlemek için.
  • Yakın zamanda erişilen IAM rollerini, kullanıcı gruplarını ve politikalarını inceleyin.

2. Yetkisiz Erişimi veya Değişiklikleri Belirleyin

  • Hesap etkinliğini izlemek için CloudTrail Etkinlik Geçmişi gibi AWS araçlarını kullanın.
  • Beklenmeyen kaynak kullanımı veya ücretler için Maliyet ve Kullanım Raporlarını kontrol edin.

3. Yetkisiz Faaliyeti Düzeltin

  • Açıktaki erişim anahtarlarını döndürün ve silin:
    1. Yeni bir erişim anahtarı oluşturun.
    2. Yeni anahtarı kullanmak için uygulamaları güncelleyin.
    3. Orijinal anahtarı devre dışı bırakın ve onaylandıktan sonra silin.
  • IAM kullanıcı kimlik bilgilerini döndürün:
    1. Güncellenmiş politikaları güvenliği ihlal edilmiş IAM kullanıcılarına ekleyin.
    2. Şifreleri değiştirin ve yetkisiz kullanıcıları silin.
  • EC2 bulut sunucuları, S3 paketleri veya Lambda işlevleri gibi tanınmayan kaynakları inceleyin ve silin.

4. Kök Hesabın MFA ile Güvenliğini Sağlayın

Ek bir kimlik doğrulama katmanı sağlamak ve şifrelerin ele geçirilmesi riskini azaltmak amacıyla kök hesap için MFA’yı etkinleştirin.

Kurtarma Adımları

Yedeklemeler mevcutsa, güvenliği ihlal edilmiş kaynakları bilinen son temiz durumlarına geri yükleyin. Temel kurtarma eylemleri şunları içerir:

  • Amazon S3 nesne sürümlerini geri yükleme.
  • Anlık görüntülerden EC2 bulut sunucularını veya RDS veritabanlarını yeniden oluşturma.
  • Kurumsal politikalarla uyumlu olduklarından emin olmak için kaynak yapılandırmalarının doğrulanması.

AWS S3 klasörlerini hedef alan bu fidye yazılımı kampanyası, bulut ortamları için proaktif güvenlik önlemlerinin önemini vurguluyor. Kuruluşlar, güçlü IAM politikaları uygulayarak, MFA’yı etkinleştirerek, değişmez yedeklemeleri sürdürerek ve etkinliği izleyerek bu saldırılara maruz kalma durumlarını önemli ölçüde azaltabilir. Günümüzün gelişen tehdit ortamında uyanık kalmak ve güçlü bir olay müdahale yeteneğini geliştirmek çok önemlidir.

Bu önlemleri alarak AWS ortamlarınızı bu fidye yazılımı kampanyasının bir sonraki kurbanı olmaktan koruyabilirsiniz.



Source link