Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ve Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), RansomHub olarak bilinen bir fidye yazılımı hizmet olarak (RaaS) varyantı hakkında ortak bir duyuru yayınladı.
Bu yeni varyant, sağlık, finansal hizmetler ve telekomünikasyon da dahil olmak üzere birçok kritik altyapı sektöründe en az 210 kurbana yol açarak büyük bir tehdit olarak ortaya çıktı.
RansomHub’ın Yükselişi
Daha önce Cyclops ve Knight olarak bilinen RansomHub, Şubat 2024’teki çıkışından bu yana hızla ün kazandı. RansomHub geliştiricilerinin, fidye yazılımlarını daha sonra hedeflere karşı dağıtan iştirakçilere sunduğu bir fidye yazılımı hizmeti modeli altında çalışır. Bu yaklaşım, RansomHub’ın LockBit ve ALPHV gibi diğer önemli fidye yazılımı gruplarıyla daha önce ilişkilendirilenler de dahil olmak üzere iştirakçileri çekmesini ve böylece erişimini ve etkisini genişletmesini sağlar.
Ortak bildiriye göre, RansomHub iştirakleri, su ve atık su sistemleri, kamu hizmetleri, acil servisler, gıda ve tarım, kritik üretim ve ulaşım gibi çeşitli sektörlerdeki kuruluşlardan verileri başarıyla şifreledi ve sızdırdı.
Yüksek Profilli Saldırılar ve Çifte Gasp Taktikleri
RansomHub saldırılarının önemli kurbanları arasında Florida Sağlık Bakanlığı, NTT Data, Patelco Credit Union, Rite Aid, Christie’s müzayede evi, McDowall ve ABD telekomünikasyon sağlayıcısı Frontier Communications gibi birçok önemli kuruluş yer alıyor.
RansomHub’ın iştirakleri, kurbanlar üzerindeki nüfuzlarını en üst düzeye çıkarmak için çift gasp modelini kullanır. Bu strateji, hem kurbanların verilerini şifrelemeyi hem de dışarı sızdırmayı içerir ve bu daha sonra kurbanları fidye ödemeye zorlamak için kullanılır. Fidye talepleri karşılanmazsa çalınan verilerin ifşası tehdit altına girer ve bu da etkilenen kuruluşlar için ciddi itibar kaybına ve mali kayba yol açabilir.
RansomHub’ın fidye notları genellikle ilk fidye talebini belirtmez veya doğrudan ödeme talimatları sağlamaz. Bunun yerine, kurbanları Tor tarayıcısı üzerinden erişilebilen benzersiz bir .onion URL’sine yönlendirir ve burada daha fazla müzakere ve talimat verilir. Fidye ödeme zaman çizelgesi, saldırıyı gerçekleştiren iştirake bağlı olarak üç ila doksan gün arasında değişir.
Öneriler ve Azaltma Önlemleri
RansomHub’ın artan tehdidine yanıt olarak, yazar kuruluşlar kuruluşların siber güvenlik duruşlarını güçlendirmeleri için birkaç kritik azaltmayı özetlemiştir. Bu öneriler, CISA ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen Sektörler Arası Siber Güvenlik Performans Hedefleri (CPG’ler) ile uyumludur. Temel azaltmalar şunları içerir:
- Güçlü Bir Veri Kurtarma Planı Uygulayın: Kuruluşlar, bir saldırı durumunda kurtarmayı garantilemek için hassas verilerin birden fazla kopyasını fiziksel olarak ayrı, güvenli konumlarda tutmalıdır. Bu adım, kesinti süresini ve veri kaybını en aza indirmek için çok önemlidir.
- Şifre Politikalarını Güçlendirin: Parolalı oturum açmalara sahip hesaplar, özellikle de yönetici hesapları, parola yönetimi için NIST standartlarına uymalıdır. Bu, karmaşık parolalar kullanmayı, parolanın tekrar kullanımından kaçınmayı ve paylaşılan oturum açma kimlik bilgileri için “tuz” gibi ek güvenlik önlemleriyle karma depolama yöntemlerini kullanmayı içerir.
- Çok Faktörlü Kimlik Doğrulamayı (MFA) uygulayın: Yönetici hesapları için kimlik avına dayanıklı MFA ve diğer tüm hesaplar için standart MFA gerektirmek, yetkisiz erişim riskini önemli ölçüde azaltır. Bu, özellikle web postası, VPN’ler ve kritik sistemler gibi hizmetler için önemlidir.
- Ağ Segmentasyonu ve İzleme: Trafik akışlarını kontrol etmek ve saldırgan hareketini kısıtlamak için ağları segmentlere ayırmak, fidye yazılımlarının yayılmasını önleyebilir. Anormal aktiviteyi tespit etmek için ağ izleme araçlarını kullanmak da erken tespit ve yanıt için önemlidir.
- Düzenli Yazılım Güncellemeleri ve Yama Uygulamaları: Tüm işletim sistemlerini, yazılımları ve donanım yazılımlarını güncel tutmak, fidye yazılımı saldırılarına karşı korunmanın en uygun maliyetli önlemlerinden biridir. İnternete bakan sistemlerdeki bilinen güvenlik açıkları için yamaları önceliklendirmek özellikle önemlidir.
- Güvenli Günlük Kaydı Uygulamalarını Uygulayın: Kuruluşlar şüpheli etkinlikleri tespit etmek için günlük kaydı için en iyi uygulamaları takip etmelidir. Bu, etki alanı denetleyicilerini, sunucuları ve iş istasyonlarını yeni veya tanınmayan hesaplar açısından düzenli olarak incelemek ve yönetici ayrıcalıklarına sahip kullanıcı hesaplarını denetlemek anlamına gelir.
- Çevrimdışı Yedeklemeleri Koruyun:Yedeklemelerin çevrimdışı tutulmasını ve düzenli olarak sürdürülmesini sağlamak, kuruluşların bir saldırıdan sonra hızla kurtulmasına yardımcı olur. Tüm yedekleme verilerinin şifrelenmesi ve değiştirilemez olması, fidye yazılımı aktörleri tarafından değiştirilmeye veya silinmeye karşı koruma sağlamak için önemlidir.
Yazılım Üreticilerine Yönelik Harekete Geçme Çağrısı
Hemen odaklanılan konu kurumsal hafifletmeler olsa da, ortak danışma ayrıca yazılım üreticilerini yazılım geliştirme yaşam döngüsü (SDLC) boyunca güvenliği yerleştirmeye çağırıyor. Varsayılan olarak MFA gibi güvenlik önlemleri uygulayarak üreticiler, RansomHub gibi fidye yazılımı gruplarının istismar ettiği güvenlik açıklarının yaygınlığını azaltmaya yardımcı olabilir.
Tavsiye, MITRE ATT&CK çerçevesine eşlenen tehditlere karşı siber güvenlik önlemlerinin sürekli test edilmesinin, uygulanmasının ve doğrulanmasının önemini vurgular. Bu süreç, kuruluşların güvenlik programlarını ayarlamalarına ve ortaya çıkan tehditlere karşı optimum performansı sağlamalarına yardımcı olur.