Cyber Security Works, Ivanti ve Cyware’deki araştırmacılar, bir .
CEO’su ve kurucu ortağı Aaron Sandeen tarafından
Bu yılın başlarından bu yana, 2022’nin son çeyreğine girerken saldırgan taktiklerinin hem şiddeti hem de karmaşıklığı artmaya devam ediyor. Fidye yazılımı güvenlik açıklarının toplam sayısı 323’e yükseldi. 2019’da yaygın bir tehdit. Dikkat edilmesi gereken çok şey var! Ancak, tüm fidye yazılımı güvenlik açıkları aynı değildir. Ekibimiz, oradaki tüm fidye yazılımı bilgilerinde gezinmenize yardımcı olmak için derledi.
Cyber Security Works, Ivanti ve Cyware’deki araştırmacılar, bu yılın ikinci ve üçüncü çeyreğinde derlenen en son verilerle ilgili önemli rakamları derlediler. Araştırmacılar, yeni güvenlik açıklarına ek olarak, popüler ağ tarayıcılarının bilinen güvenlik açıklarını tespit etmekte rutin olarak başarısız olduğunu, üç yeni Gelişmiş Kalıcı Tehdit (APT) grubunun ortaya çıktığını ve CISA Bilinen Yararlanma Güvenlik Açıkları (KEV) kataloğunun bilinen güvenlik açıklarının yaklaşık yarısını listelemediğini keşfetti. fidye yazılımı ile ilişkili.
Bulgular, kötüleşen bir siber güvenlik manzarasının işaretleri gibi görünse de, hepsi kıyamet ve kasvet değil. Vahşi doğada bulunan toplam 323 fidye yazılımı güvenlik açığından 57 tanesi için bir MITRE ATT&CK öldürme zinciri mevcuttur. Endüstri, fidye yazılımı tehdidini toplu olarak ele almak için bir araya geldikçe dokümantasyon büyümeye devam ediyor. Raporumuzun yayınlanmasıyla birlikte, fidye yazılımı tehdidiyle savaşmak için bu bilgiyi paylaşmayı umuyoruz.
Yeni güvenlik açıkları, yeni tehdit aktörleri
Araştırma ekibimiz 2. ve 3. çeyreklerde fidye yazılımıyla ilişkili 13 yeni güvenlik açığı buldu ve bunlardan 10’u Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) v3.0 “kritik” önem puanına sahip. Dört güvenlik açığı henüz tespit edilmiş olsa da, bir yıldan biraz fazla bir süredir vahşi doğada varlar. Bu, sürekli ağ izlemenin önemini vurgulamaktadır.
CVE-2022-26352 (Zoho), CVE-2021-40539 (SonicWall) ve CVE-2021-20023 (DotCMS) güvenlik açıkları, saldırganların web uygulamalarına sızmasına ve kötü amaçlı kodları uzaktan yürütmesine olanak tanır. CVE-2022-26352 (Zoho), saldırganlar için kolay bir giriş noktası olarak ikili bir amaca da hizmet eder ve onların yükseltilmiş ayrıcalıklar elde etmelerini sağlar.
En son güvenlik açıklarını bulmanın yanı sıra, cephaneliklerine sürekli olarak fidye yazılımı yetenekleri eklerken izlemeye devam etmek için APT gruplarının hareketlerini her üç ayda bir belgeliyoruz. Son iki çeyrekte kurbanlarına karşı fidye yazılımı kullanan Andariel, Tropical Scorpius ve DEV-0530’u belirledik.
-
Andariel – Lazurus grubu olarak da bilinen Andariel’in Kuzey Kore kökenli olduğundan şüpheleniliyor. Saldırı sayısı önemli ölçüde arttı. Maui fidye yazılımını dağıtan Andariel, Kuzey Amerika, Avrupa ve Asya’daki hem özel hem de halka açık şirketler olmak üzere kripto platformlarını hedef aldı.
-
Tropical Scorpius – Kökeni bilinmeyen Tropical Scorpius’un özellikle hükümet, imalat, sağlık, finans ve yüksek teknoloji sektörlerindeki Amerikan kuruluşlarını hedef aldığı belgelenmiştir. Bu grubun Küba fidye yazılımı yükünü desteklemesiyle biliniyor.
-
DEV-0530 – Bu grubun Kuzey Kore ile de bağları var ve saldırıları koordine etmede Andariel grubuyla işbirliği yaptığından şüpheleniliyor.
Popüler tarayıcılardaki kör noktalar
Ağ tarayıcıları, kuruluşunuzun varlıklarını çok az aktif yönetimle izlemek için nispeten ucuz ve kolay bir çözümdür. Ancak Nessus, Nexpose ve Qualys tarafından sunulan tarayıcıları test ettikten sonra, 18 adede kadar fidye yazılımı güvenlik açığını gözden kaçırabileceklerini gördük. Her güvenlik açığının önem derecesini sınıflandırmak için CVSS V3 derecelendirme sistemini kullandık. Ancak bu, yalnızca 2015’ten sonra keşfedilen güvenlik açıkları için geçerli olduğundan bir sorun teşkil ediyor. Tescilli Makine Öğrenimi çerçevelerini kullanan CSW, CVSS V3’e (veya V3’ün kullanılamadığı durumlarda V2’ye) eşdeğer bir önem puanı elde edebildi.
18 güvenlik açığından şunları bulduk:
-
Önem dereceleri elde edildikten sonra, 18 güvenlik açığından 11’i Kritik veya Yüksek olarak derecelendirildi ancak Nessus, Nexpose ve Qualys tarayıcılarında bunları tespit edecek hiçbir tarayıcı eklentisi yok
-
İlginç bir şekilde, Ulusal Güvenlik Açığı Veritabanı bunları reddettiği için iki güvenlik açığı (CVE-2019-9081 ve CVE-2015-2551) hâlâ önem derecelerine sahip değil. CVE-2019-9081, Satan ve Mailto fidye yazılımı grupları tarafından ve CVE-2015-2551 birden fazla grup tarafından aktif olarak istismar edilmektedir.
CISA KEV kataloğunda eksik olan fidye yazılımı güvenlik açıkları
CISA’nın KEV kataloğu, federal hükümetin bilgisayar korsanlarının yararlandığı bilinen güvenlik açıklarının sürekli listesidir. Liste 03 Kasım 2021’de oluşturuldu ve yalnızca 287 güvenlik açığıyla başladı. Bugün koleksiyonu 800+’e yükseldi ve aylık olarak güncellendikçe daha da büyüyor.
Tüm halka açık şirketler, devlet kurumları ve federal kurumlar, KEV kataloğunda bulunan tüm güvenlik açıklarını önceliklendirmek ve yamalamakla görevlidir. Ayrıca, özel kuruluşlar için güvenlik açığı yönetimi stratejilerine harika bir giriş niteliğindedir. CISA, fidye yazılımıyla ilişkili 199 güvenlik açığını belgelemiş olsa da, katalogda şu anda 124 tanesi eksik.
Bu Ekim ayının başlarında CISA, tüm devlet kurumlarına varlık görünürlüğünü ve güvenlik açığı tespitini iyileştirmeleri için tavsiyede bulunan bir yayın yayınladı ve bu, kataloğun kapsamı dışında güvenlik açığı sıralamasının gerekliliğini vurguluyor. Bu, en son tehditlerden bir adım önde olmak için bir kuruluşun ağ çevresinin rutin olarak taranmasını gerektirir.
Varlık görünürlüğü ve güvenlik açığı tespiti, söylemesi yapmaktan daha kolaydır. Fidye yazılımı gruplarının, düşman gibi nereye bakacaklarını ve nasıl düşüneceklerini bilmek için saldırılarını tam olarak nasıl devreye aldıklarını ve yürüttüklerini öğrenmenizi öneririz. Ağ güvenliği ekipleri için bunu kolaylaştırmak amacıyla CSW’nin araştırma ekibi, tehdit gruplarının güvenlik açıklarından tam olarak nasıl yararlandığını haritalamak için MITRE Düşman Taktikleri, Teknikleri ve Ortak Bilgi (ATT&CK) öldürme zincirini kullandı. 57 güvenlik açığı için her adımı attık. Bu güvenlik açıkları aracılığıyla, tehdit grupları bir sistemin kontrolünü uçtan uca tamamen ele geçirebilir, herhangi bir kodu dağıtabilir, ağ içindeki ayrıcalıkları yükseltebilir ve verileri çalabilir. Sürecimiz hakkında daha fazla bilgi edinmek için, süreç hakkında daha fazla bilgi edinin veya doğrudan bize ulaşın.
Umarım bu bilgiyi benim ve CSW ekibi için olduğu kadar aydınlatıcı bulursunuz. Yaygın bir tehdit olmasına rağmen, fidye yazılımlarla veri, istihbarat, uzmanlık ve işbirliğine dayalı bir güvenlik topluluğu kullanılarak mücadele edilebilir ve alt edilebilir.