Fidye yazılımı incelemesi: Mayıs 2023


LockBit, en iyi fidye yazılımı saldırganı konumunu korudu ve ayrıca Mac alanına yayıldığı gözlemlendi.

Bu makale, fidye yazılımı çeteleri tarafından Dark Web sitelerinde yayınlanan bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, kurbanın fidye ödemediği saldırılardır. Bu, fidye yazılımı etkinliğinin en iyi genel resmini sağlar, ancak gerçek saldırı sayısı çok daha yüksektir.

Nisan ayında LockBit, en iyi fidye yazılımı saldırganı konumunu korudu ve ayrıca Mac alanına yayıldığı gözlemlendi. Bu arada, Mart ayında saldırı operasyonlarını önemli ölçüde genişleten Cl0p, Microsoft’un PaperCut güvenlik açıklarından yararlandığını gözlemlemesine rağmen bu ay sessiz kaldı.

LockBit’in macOS fidye yazılımı, tehdit ortamında ilginç bir gelişmedir ve grubun tarihsel olarak fidye yazılımından arınmış Mac ortamına ayak bastığını göstermektedir. macOS arm64 mimarisini hedefleyen değişken, ilk olarak Kasım ve Aralık 2022’de VirusTotal’da göründü, ancak MalwareHunterTeam tarafından keşfedildiği Nisan ayı sonuna kadar fark edilmedi.

Malwarebytes tarafından analiz edilen LockBit macOS örnekleri, imzasız olmaları, TCC/SIP kısıtlamalarını hesaba katmamaları ve macOS’ta yürütüldüğünde erken sonlandırmaya neden olan arabellek taşmaları gibi hatalarla dolu olmaları nedeniyle etkisiz görünüyor.

Malwarebytes’te Mac ve mobil platformlar direktörü Thomas Reed, “LockBit şifreleyici, mevcut haliyle pek uygun görünmüyor, ancak kesinlikle ona göz kulak olacağım,” diyor. “Yaşayabilirlik gelecekte iyileşebilir. Veya testleri umut verici değilse, olmayabilir.

Dikkatli olun, çünkü LockBit’in bir macOS fidye yazılımı varyantı geliştirme çalışması (şu anda sıkıntılı olsa da) gelecekte daha fazla Mac hedefli fidye yazılımına yönelik bir trendin sinyalini verebilir.

Çete tarafından bilinen fidye yazılımı saldırıları, Nisan 2023
Çete tarafından bilinen fidye yazılımı saldırıları, Nisan 2023
Ülkelere göre bilinen fidye yazılımı saldırıları, Nisan 2023
Ülkelere göre bilinen fidye yazılımı saldırıları, Nisan 2023
Endüstri sektörüne göre bilinen fidye yazılımı saldırıları, Nisan 2023
Endüstri sektörüne göre bilinen fidye yazılımı saldırıları, Nisan 2023

Cl0p Mart ayında GoAnywhere MFT’deki sıfır günlük bir güvenlik açığından yararlanarak öne çıkan fidye yazılımı, Nisan ayında yalnızca dört saldırıyla nispeten sessiz kaldı. Yine de, çetenin geçen ay kurumsal verileri çalmak için PaperCut sunucularındaki güvenlik açıklarından yararlandığı görüldü.

PaperCut, Nisan ayında hem Cl0p hem de LockBit tarafından iki korkunç güvenlik açığı kullanılarak hedef alınan popüler bir yazdırma yönetimi yazılımıdır: biri uzaktan kod yürütülmesine izin verir (CVE-2023-27350) ve diğeri bilgi ifşasına olanak tanır (CVE-2023-27351). Cl0p üyeleri, ilk erişimi elde ettikten sonra, ağda gezinmek için TrueBot kötü amaçlı yazılımını ve bir Cobalt Strike işaretini gizlice dağıtarak yol boyunca verileri toplar.

Cl0p’nin açıkça Accellion FTA ve GoAnywhere MFT gibi platformları istismar etme geçmişi var ve şimdi gözlerini PaperCut’a diktiler. Bu nedenle, PaperCut MF veya NG kullanıyorsanız, hemen yükseltin ve bu iki güvenlik açığını düzeltin!

Yardımcı Toplumeğitim sektörünü hedeflemesiyle ünlü olan , yakın zamanda otomatik veri hırsızlığı için sinsi bir PowerShell betiği benimseyerek operasyonlarını geliştirdi. Palo Alto Networks Unit 42 tarafından keşfedilen yeni veri hırsızlığı aracı, tespit edilmekten kaçınmak için zekice “karadan yaşama” (LOTL) tekniklerini kullanıyor. Örneğin, komut dosyası, verileri aramak ve dışarı sızdırmak için sisteme özgü cmdlet’ler kullanır, ayak izini en aza indirir ve düşük profili korur.

ayrı olarak, Oynamak fidye yazılımı grubu, siber saldırılarını daha etkili hale getirmek için iki şık .NET aracını, Grixba ve VSS Copying Tool’u hazırladı.

Grixba, saldırının sonraki adımlarını planlamalarına yardımcı olmak için virüsten koruma programlarını, EDR paketlerini ve yedekleme araçlarını kontrol eder. Bu arada VSS Kopyalama Aracı, sistem anlık görüntülerinden ve yedek kopyalardan dosyaları çalmak için Windows Birim Gölge Kopyası Hizmeti’nin (VSS) etrafında dolanır. Her iki araç da kurbanlarının sistemlerine kolay dağıtım için Costura .NET geliştirme aracıyla hazırlandı.

Vice Society, Play ve diğer fidye yazılımı grupları, gelişmiş LOTL yöntemlerini ve Grixba gibi gelişmiş araçları giderek daha fazla benimserken, her iki kötü amaçlı aracı proaktif olarak belirleme kapasitesi ve bir ağ içindeki yasal araçların kötü niyetli kullanımı, şüphesiz bir kuruluşun ileriye dönük savunma stratejisinde belirleyici faktör olacaktır.

Diğer eğilimlere gelince, ABD hala en çok etkilenen ülke olarak listelerin başında yer alıyor ve her iki yıl boyunca da olduğu gibi saldırılardan en ağır darbeyi hizmet sektörü alıyor. bu Eğitim Sektörü Ocak ayından bu yana en yüksek saldırgan sayısına (21) sahip. bu arada, sağlık sektörü Nisan ayında saldırılarda (37) büyük bir artış gördü, bu tüm yılın en yüksek seviyesi.

Yeni oyuncular

akira

Akira, Mart 2023’ten bu yana küresel çapta işletmeleri vuran yeni bir fidye yazılımıdır ve Nisan ayında eğitim, finans ve üretim gibi farklı sektörlerden dokuz şirketin verilerini yayınlamıştır. Fidye yazılımı çalıştırıldığında, Windows Gölge Birim Kopyalarını siler, dosyaları belirli uzantılarla şifreler ve şifrelenmiş dosyalara .akira uzantısını ekler.

Bugünlerde çoğu fidye yazılımı çetesi gibi, Akira çetesi de çifte gasp amacıyla dosyaları şifrelemeden önce kurumsal verileri çalıyor. Şimdiye kadar, retro görünümlü ve yazılı komutlarla gezinmenizi sağlayan sızıntı sitelerinde yayınlanan sızan bilgiler 5,9 GB ile 259 GB arasında değişiyor.

Akira, 200.000 dolardan milyonlarca dolara kadar fidye talep ediyor ve şifre çözücüye ihtiyaç duymadan yalnızca çalınan verilerin sızmasını önlemek isteyen şirketler için fidye taleplerini düşürmeye istekli görünüyorlar.

Çapraz Kilit

CrossLock, tersine mühendislik yapmayı zorlaştıran ve platformlar arası uyumluluğunu artıran Go programlama dilini kullanan yeni bir fidye yazılımı türüdür.

Fidye yazılımı, analizden kaçınmak için WINE ortamını aramak (fidye yazılımlarının bir analiz veya korumalı alan ortamında yürütülüp yürütülmediğini belirlemek için) ve Windows için Olay İzleme (ETW) işlevlerini değiştirmek (güvenliğin sağladığı bilgi akışını bozmak için) gibi taktikler kullanır. araçlar ve analistler şüpheli davranışı belirlemek için güvenir).

Nisan ayında CrossLock Fidye Yazılımı Grubu, Brezilyalı bir BT ve ITES şirketi olan Valid Certificadora’yı hedeflediklerini söyledi.

trigona

Trigona fidye yazılımı Ekim 2022’de ortaya çıktı ve Nisan ayında altısı da dahil olmak üzere dünya çapında çeşitli sektörleri hedef aldı. Operatörler, erişim elde etmek, keşif yapmak ve hedef sistemlerden hassas bilgiler toplamak için NetScan, Splashtop ve Mimikatz gibi araçları kullanır. Ayrıca yeni kullanıcı hesapları oluşturmak, güvenlik özelliklerini devre dışı bırakmak ve izlerini kapatmak için toplu komut dosyaları kullanırlar.

Gübre Sızıntısı

Dunghill Leak, kendisi Babuk fidye yazılımından gelen Dark Angels fidye yazılımından geliştirilen yeni bir fidye yazılımıdır. Nisan ayında, jetonla çalışan video oyunlarının Amerikalı geliştiricisi ve üreticisi Incredible Technologies’in de aralarında bulunduğu iki şirketin verilerini yayınladı. Dunghill Leak çetesi, oyun dosyaları ve vergi ödeme raporları da dahil olmak üzere şirketin 500 GB verisine eriştiklerini iddia ediyor. Araştırmacılar, Dunghill Leak’in sadece yeniden markalanmış bir Dark Angels olduğunu düşünüyor.

Para Mesajı

Money Message, hem Windows hem de Linux sistemlerini hedefleyen yeni bir fidye yazılımıdır. Nisan ayında suçlular, çoğu ABD’de ve çeşitli sektörlerden en az 10 kurbanı vurmak için Para Mesajını kullandı. Ekip ayrıca Tayvanlı PC parçaları üreticisi MSI (Micro-Star International) gibi milyarlarca dolar değerindeki bazı büyük şirketleri de hedef aldı.

Money Message, gelişmiş şifreleme teknikleri kullanır ve “money_message.log” adlı bir fidye notu bırakır.

Fidye Yazılımı Acil Durum Kitimiz, hizmet olarak fidye yazılımı (RaaS) çetelerine karşı savunmanız için ihtiyaç duyduğunuz bilgileri içerir.

Fidye yazılımından nasıl kaçınılır?

  • Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
  • İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
  • İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
  • Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
  • Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
  • İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.

Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.

ŞİMDİ DENE



Source link