Federal Soruşturma Bürosu, fidye yazılımı tehdit aktörlerinin kumarhane sunucularını hedef aldığı ve ağdaki izinlerini artırmak için meşru sistem yönetimi araçlarını kullandıkları konusunda uyarıyor.
Özel sektöre yönelik bir bildirimde kurum, üçüncü taraf satıcıların ve hizmetlerin yaygın saldırı vektörü olduğunu söylüyor. Fidye yazılımı çeteleri, kumarhanelere sızmak için üçüncü taraf oyun satıcılarına güvenmeye devam ediyor.
“Yeni trendler arasında, kumarhane sunucularına satıcı tarafından kontrol edilen uzaktan erişimdeki güvenlik açıklarından yararlanan fidye yazılımı aktörleri ve meşru sistem yönetimi araçları aracılığıyla mağdur edilen şirketler yer alıyor.
ağ izinleri” diye açıklıyor ajans.
FBI, 2022’den itibaren, sunucuları ve çalışanların ve müşterilerin kişisel bilgilerini şifrelemek için küçük ve kabile kumarhanelerini hedef alan fidye yazılımı saldırılarını fark etti.
Uyarıda ayrıca ‘Silent Ransom Group’ (SRG) ve ‘Luna Moth’ olarak bilinen tehdit aktörünün Haziran ayından bu yana geri arama, kimlik avı, veri hırsızlığı ve gasp saldırıları gerçekleştirdiği de ayrıntılarıyla anlatılıyor.
Saldırgan, hesabında bekleyen suçlamalar olduğu iddiasıyla kurbanı bir numarayı araması için kandırdı. Eğer kurban hileye kanarsa, SRG onları bir sistem yönetim aracı kurmaya ikna edecekti; bu araç daha sonra kötü amaçlarla da kullanılabilecek diğer yasal yardımcı programları yüklemek için kullanılacaktı.
” [SRG] aktörler daha sonra yerel dosyaları ve ağ paylaşımlı sürücülerini tehlikeye attı, kurban verilerini sızdırdı ve şirketlere şantaj yaptı” – Federal Soruşturma Bürosu
Önceki raporlar, Luna Moth/SRG saldırılarıyla ilişkili kimlik avı tuzakları arasında sahte abonelik yenileme hilelerinin de bulunduğunu belirtiyor. Bu grup veri gaspına odaklanmıştır ve dosyaları şifrelemez.
Azaltma tavsiyesi
FBI, kuruluşlara, bir saldırganın ortak sistem ve ağ keşif tekniklerini kullanımını sınırlamak için çeşitli hafifletici önlemler uygulamasını tavsiye ediyor.
Kuruluşlar, tüm şirketin veri altyapısı için şifrelenmiş ve değiştirilemez çevrimdışı yedeklemeler tutmalıdır. Uzaktan erişime yönelik politikaların uygulanması ve yalnızca bilinen ve güvenilir uygulamaların çalıştırılması da gelişmiş bir güvenlik duruşuna doğru atılmış bir adımdır.
Yönetici ayrıcalıklarının denetlenmesi ve yönetilmesinin yanı sıra güçlü parola politikaları ve çok faktörlü kimlik doğrulama da teşvik edilmektedir.
Ağ bölümlendirme, anormal etkinlikleri izleyen çözümler ekleme, güvenli RDP kullanımı ve güncel yazılım bileşenleri, birçok şirketin hâlâ karşılaması gereken ortak önerilerdir.
Son olarak, sistem yöneticilerinin gereksiz bağlantı noktalarını ve protokolleri kapatması, kuruluş dışından gelen iletiler için e-posta başlıkları eklemesi ve komut satırı ve komut dosyası oluşturma etkinliklerini kısıtlaması önerilir.