Fidye yazılımı gruplarını tartışırken, genellikle fidye yazılımı dağıtılmadan önce bir saldırıda kullanılan taktikler, teknikler ve prosedürler (TTP’ler) yerine Noberus, Royal ve AvosLocker gibi adlarına odaklanılır. Örneğin, fidye yazılımı saldırı zincirlerinde meşru yazılım araçlarının özellikle yoğun kullanımı son zamanlarda dikkat çekicidir. Aslında, nadiren bir fidye yazılımı saldırısı görürüz. yapmaz yasal yazılım kullanın.
Radar Altında Kalmak: İstismar Neden Yaygın
Fidye yazılımı saldırıları, büyük bir siber güvenlik sorunu olmaya devam ediyor. Genel olarak tehdit aktörleri gibi fidye yazılımı aktörleri de meşru yazılımları birkaç nedenden dolayı kötüye kullanıyor. İlki, gizlilik arzusudur – keşfedilmeden mümkün olduğunca çabuk ağlara girip çıkmaya çalışıyorlar. Meşru yazılımlardan yararlanmak, saldırganların faaliyetlerinin gizli kalmasına izin verebilir ve bu da onların bir kurban ağında keşfedilmeden hedeflerine ulaşmalarına olanak sağlayabilir. Meşru yazılım kötüye kullanımı da bir saldırının atfedilmesini daha zor hale getirebilir ve bu araçlar aynı zamanda giriş engellerini azaltabilir. Bu, daha az yetenekli bilgisayar korsanlarının hala oldukça geniş kapsamlı ve yıkıcı saldırılar gerçekleştirebileceği anlamına gelir.
Kötü niyetli aktörler tarafından en sık kullanıldığını gördüğümüz meşru araçlar, AnyDesk, Atera, TeamViewer, ConnectWise ve daha fazlası gibi uzaktan izleme ve yönetim (RMM) araçlarıdır. Aslında, RMM yazılımının kötü niyetli aktörler tarafından kullanılması, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir uyarı yayınlayacak. Bu yılın Şubat ayında, Symantec Threat Hunter ekibi ConnectWise’ın hem Noberus hem de Royal fidye yazılımı saldırılarında kullanıldığını gördü. Bu araçlar genellikle küçük, orta ölçekli ve büyük kuruluşlardaki BT departmanları tarafından yasal olarak kullanılır.
Buluttaki içeriği yönetmek için meşru bir araç olan Rclone, yakın zamanda bir Noberus saldırısında da kullanıldı. Bu özel durumda, saldırganlar Dosyaları dışarı sızdırmak için Rclone çünkü kendi özel ExMatter araçlarını kullanarak veri sızdırma girişimleri, güvenlik yazılımı tarafından engellendiği için başarısız olmuştu.
Active Directory’den bilgi toplamak için kullanılabilen yasal, ücretsiz bir komut satırı sorgulama aracı olan AdFind, onu bir ağı eşlemek için kullanan fidye yazılımı saldırganları tarafından da sıklıkla kullanılır. Sistem yöneticilerinin yamaları uygulamak için kullandığı bir araç olan PDQ Deploy, onu kurban ağlarına oldukça verimli bir şekilde komut dosyaları bırakmak için kullanan saldırganlar tarafından da sıklıkla kötüye kullanılır. Fidye yazılımı aktörleri tarafından kötü amaçlarla kullanılanlar yalnızca meşru araçlar değildir. Örneğin, devlet destekli birden fazla grup, komuta ve kontrol (C&C) altyapısı ve çalınan verileri dışarı sızdırmak ve depolamak için Google Drive, Dropbox, OneDrive ve diğerleri gibi meşru bulut altyapısını kullandı.
Tetikte Kalın
Meşru yazılımlardan yararlanan saldırılar ve altyapı, hem savunucular hem de örgütler için özel bir zorluk teşkil ediyor. Hizmeti veya aracı engellemek gibi künt bir araç yaklaşımı bu tür durumlarda işe yaramaz.
Ve bu sorun ortadan kalkmıyor. Her yeni teknolojide, kötü aktörler onu kendi hain amaçları için kullanmanın bir yolunu bulacaktır. Örneğin, birkaç yıl öncesine kadar bulut pek çok kuruluşta büyük bir özellik değildi. Şimdi, açıkçası, daha fazla veri buluta taşınırken, altyapının kendisi kötü niyetli araçlar için kullanılıyor ve Rclone gibi bulutta kullanıma yönelik yasal araçlar saldırganlar tarafından kötüye kullanılıyor.
Meşru yazılımların kötüye kullanılması riskini azaltmak için kuruluşlar aşağıdaki adımları atmalıdır:
- Görünürlüğü iyileştirin: Kötü amaçlı dosyaları basitçe tespit etme, engelleme ve silme şeklindeki eski yaklaşım, meşru araçların, çift kullanımlı araçların ve yasal altyapının kötü niyetli aktörler tarafından giderek daha fazla kullanıldığı bir siber tehdit ortamında kuruluşunuzu korumak için artık yeterli değil. Kuruluşların ağlarına ilişkin kapsamlı bir görüşe sahip olmaları gerekir — ağlarında hangi yazılımların yüklü olduğunu bilmeleri gerekir. Eğer yetkisiz yasal araçlar bulundubu keşfe en yüksek önceliği verin.
- En az ayrıcalığı uygula: Kullanıcı izinleri, kullanıcı deneyimini etkilemeden minimum düzeyde tutulmalıdır, böylece bir saldırgan bir makineye veya hesaba erişim kazanırsa, bu, bunların ağ genelinde geniş çapta yayılabileceği veya açık olan her şeye erişebileceği anlamına gelmez. bilgisayar veya ağ.
- Kötü amaçlı yazılım tespitinin ötesine geçin: Kötü aktörler genellikle meşru yazılımlardan yararlandığından, kuruluşların şüpheli davranışı tespit edip analiz edebilen güvenlik çözümü – ve durdur. Bir kuruluş içindeki uyanıklık da önemlidir. Herkesin meydana gelebilecek herhangi bir şüpheli davranışa karşı tetikte olması için kuruluşunuzda bir güvenlik kültürü oluşturmanız gerekir.