Eylül ayında, iki yüksek profilli kumarhane ihlali bize RaaS bağlı kuruluş ortamının nüansları, kimlik avının asimetrik tehlikeleri ve fidye yazılımı pazarlığına iki tamamen farklı yaklaşım hakkında bilgi verdi.
Bu makale, fidye yazılımı çetelerinin Dark Web sitelerinde yayınladığı bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, mağdurun yapmadım fidye öde. Bu, fidye yazılımı etkinliğine ilişkin en iyi genel tabloyu sağlar ancak gerçek saldırı sayısı çok daha yüksektir.
Eylül ayında toplam 427 fidye yazılımı kurbanı kaydettik. Her zamanki gibi Lockbit (72) listelerin başında yer aldı. Gözlemlediğimiz yeni oyuncular arasında LostTrust (53), ThreeAM (10) ve CiphBit (8) vardı.
Geçen ay MGM Resorts ve Caesar Entertainment, Scattered Spider olarak bilinen bir ALPHV bağlı kuruluşu tarafından saldırıya uğradıktan sonra manşetlere çıktı. Diğer önemli saldırılar arasında RansomedVC’nin hedef aldığı Sony ve Dark Angels’ın hedef aldığı Johnson Controls yer aldı.
Vegas Strip’teki kumarhane-otel mülklerinin çoğuna toplu olarak sahip olan MGM Resorts ve Caesar Entertainment’a yapılan saldırılar, ilkinin 100 milyon dolar kazanç kaybetmesine, ikincisinin ise saldırganlara 15 milyon dolar fidye ödemesi yapmasına neden oldu. Her iki durumda da önemli miktarda müşteri verisi çalındı.
Diğer yandan hem LockBit hem de Nisan 2023’te onları ilk izlemeye başladığımızdan bu yana 125 kurbanın kaydını tutan Akira fidye yazılımı çetesinin, geçen ay belirli bir sıfır gün kusurundan yararlandığı doğrulandı (CVE-2023-20269) Cisco VPN cihazlarında. İlgili bir kayda göre, CL0P’nin MOVEit sıfır gün kampanyasının etkisi, geçen ay Ulusal Öğrenci Takas Odası ve BORN Ontario Çocuk Kaydı’nın gruba atfedilen veri ihlallerini ifşa etmesiyle daha da ortaya çıktı.
Geçen ay yaşanan iki yüksek profilli kumarhane ihlali, RaaS bağlı kuruluş ortamının nüansları, kimlik avının asimetrik tehlikeleri ve fidye yazılımı pazarlığına iki tamamen farklı yaklaşımlar konusunda ilginç bir örnek olay incelemesiydi.
Esas olarak ABD ve Birleşik Krallık’tan gelen ve Mayıs 2022’de kurulan Scattered Spider, RaaS bağlı kuruluşlarında nadiren görülen bir ölçekte grubun dikkatini çeken iki kumarhane saldırısı başlattı; saldırıları normalde onlara fidye yazılımını hangi RaaS çetesi sağladıysa onun altında gruplandırılır. (bu durumda ALPHV).
Scattered Spider’ın olağandışı ilgi odağının olası bir açıklaması, grubun karmaşıklık düzeyinde yatmaktadır. RaaS, doğası gereği düşük bir giriş engeline sahiptir; bu, birçok bağlı kuruluşun nispeten bilgisiz olduğu veya yalnızca orta düzeyde teknik becerilere sahip olduğu anlamına gelir. Scattered Spider ise tam tersine, hazır RaaS yazılımının tecrübeli deneyimle birleştiğinde ortaya çıkan tehlikeyi vurguluyor: Grup, kumarhane ihlallerinin her ikisinde de, derinlemesine keşif, sosyal güvenlik ve sosyal güvenlik de dahil olmak üzere gelişmiş taktikler, teknikler ve prosedürler (TTP’ler) kullandı. mühendislik ve ileri yanal hareket teknikleri.
Scattered Spider, saldırılarını genellikle çalışanları erişim izni vermeleri için manipüle ederek başlatıyor ve MGM Resorts ve Caesar Entertainment’a yönelik ihlalleri de farklı şekilde başlamadı. MGM ihlaliyle ilgili olarak Scattered Spider, bir MGM Resorts çalışanını tespit etmek için LinkedIn’i kullandı, ardından onun kimliğine büründü ve hesaba erişim talebinde bulunmak üzere şirketin yardım masasıyla iletişime geçti. Bu hile, endişe verici bir şekilde, MGM’de çok büyük bir güvenlik kusurunu ortaya çıkardı; hizmet masasında sıkı bir kullanıcı doğrulama protokolünün bulunmaması. İlk tutunma noktasını sağladıktan sonra idari haklara erişimlerini artırdılar ve ardından bir fidye yazılımı saldırısı başlattılar.
Veya olarak vx-underground çok şiirsel bir şekilde ifade etti: “33.900.000.000$ değerindeki bir şirket 10 dakikalık bir konuşmayla mağlup oldu.”
Caesar Entertainment ihlalinde kullanılan sosyal mühendislik planı hakkında daha az ayrıntı biliniyor, ancak şirketin SEC dosyalarına bakılırsa Scattered Spider’ın da benzer bir yardım masası tarzı dolandırıcılık kullandığını söylemek yanlış olmaz. Her iki ihlal de bize, fidye yazılımı kullanılsın ya da kullanılmasın, insan unsurunun bir kuruluşun savunmasındaki en savunmasız noktalardan biri olmaya devam ettiğini hatırlatıyor.
Ek olarak, bu saldırıların ardından, saldırganlara fidye ödenmesi konusunda herkese uyan tek bir çözümün bulunmadığı ortaya çıkıyor. Wall Street Journal’a göre MGM Resorts saldırganlara ödeme yapmayı reddederken, Caesars Entertainment’ın çalınan verilerinin sızdırılmasını önlemek amacıyla saldırganlara yaklaşık 15 milyon dolar değerinde fidye ödediği bildirildi. Elbette, Caesars Entertainment’ın fidyeyi ödemeye karar verirken yaptığı iç hesaplara rağmen, saldırganların pazarlığın üzerine düşeni yerine getireceğinin garantisi olmadığını tekrarlamakta fayda var. Şirketin kamunun ödemeye istekli olması, onları daha sonraki saldırılara karşı savunmasız bir hedef haline getiriyor.
Öte yandan, özellikle hassas müşteri veya şirket bilgilerine ilişkin bir veri sızıntısının, hırsızlara önemli miktarda para ödemek anlamına gelse bile, bazı şirketlerin risk almanın imkansız olarak görebileceği düzeyde itibar zedelenmesine yol açabileceği inkar edilemez. sözlerini kim onurlandırabilir veya onurlandırmayabilir.
Yeni Oyuncular
KayıpGüven
LostTrust, ilk kez Ağustos 2023’te tespit ettiğimiz MetaEncryptor fidye yazılımı çetesinin muhtemelen yeniden markalanmış hali. Eylül ayında şaşırtıcı bir şekilde 53 kurbanları oldu. Yeniden markalamanın nedeni şu anda belirsiz.
ÜçAM (3AM)
Başarısız LockBit saldırısında yedek olarak kullanılan yeni bir fidye yazılımı ailesi olan ThreeAM’in Eylül ayında 10 kurbanı oldu.
ŞifreBit
CiphBit, Nisan ayından bu yana kurbanlarını karanlık web sitesinde yayınlarken, grup geçen aya kadar keşfedilmemişti. Eylül ayında iki yeni kurban bildirerek bugüne kadarki toplam kurban sayısını sekize çıkardılar.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelle. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; Fidye yazılımı sunmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdur. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE