Fidye yazılımı, tekmeyi bastığınızı sandığınız o inatçı soğuk algınlığı gibidir, ancak tekrar çıldırmaya kararlı bir şekilde geri gelir.
Fidye yazılımı, tekmeyi bastığınızı sandığınız o inatçı soğuk algınlığı gibidir, ancak tekrar çıldırmaya kararlı bir şekilde geri gelir. Soru, bu iğrenç enfeksiyonu sonsuza dek ortadan kaldırmak için hangi ilacın mevcut olduğudur.
Bu yazıda, fidye yazılımının yeniden bulaşması fikrini yıkacağız ve Malwarebytes Yönetilen Algılama ve Yanıtın (MDR) Royal fidye yazılımı çetesinden dirençli bir fidye yazılımı yeniden bulaşmasını hafiflettiği gerçek hayattan bir bölümü paylaşacağız.
Fidye yazılımı yeniden bulaşması nedir?
Şu senaryoyu hayal edin: Yakın zamanda şiddetli bir fidye yazılımı saldırısıyla mücadele ettiniz ve sonunda sistemlerinizi normal işlevlerine geri döndürdünüz. Verilerinizin güvende olduğunu ve operasyonların sorunsuz ilerlediğini bilerek rahat bir nefes alırsınız.
Ne yazık ki, hikayenin sonu değil.
Az önce karşı koyduğunuz fidye yazılımı saldırısı, aslında uzun süredir devam eden bir dizi kötü amaçlı etkinliğin son eylemiydi. Başka bir deyişle, birçok fidye yazılımı saldırısı sorunun başlangıcı değildir; genellikle çözülmemiş bir ağ uzlaşmasının sonucudur.
Gerçek suçlu, tehdit aktörünün en başta nasıl erişim kazandığıdır. İçeri girdikten sonra, oturum açma kimlik bilgilerini çalarlar, kötü amaçlı yazılım dağıtırlar veya bir arka kapı (ağa daha sonra istismar edilebilecek gizli bir ağ geçidi) oluştururlar. Bu, gelecekteki ziyaretler için gizli bir kapıyı açık bırakmaları gibidir.
Ani fidye yazılımı saldırısını başarılı bir şekilde hafiflettikten sonra bile, bu gizli kapılar fark edilmeden kalarak saldırganların ağınıza bir kez daha gizlice sızmasını sağlayabilir. Bu, fidye yazılımının yeniden bulaşmasının özüdür.
Terminolojiyi açıklığa kavuşturduktan sonra, fidye yazılımının yeniden bulaşmasının gerçek dünyadaki bir örneğini iş başında inceleyelim.
İlk Fidye Yazılımı Saldırısı – 23 Kasım 2022
Müşterimiz, Malwarebytes ile etkileşimlerinden önce AWS ortamlarında bir fidye yazılımı saldırısı yaşadı. Fidyeyi ödememeyi seçtiler.
Sonraki karşı önlem, operasyonlarını kurtarmak için yedekten eksiksiz bir sistem yeniden inşasını içeriyordu.
Malwarebytes MDR ile Katılım ve Yeniden Enfeksiyon Tespiti – 9 Aralık 2022
İlk uzlaşmaya yanıt olarak müşteri, Yönetilen Algılama ve Yanıt (MDR) hizmetimiz ve Uç Nokta Algılama ve Yanıt (EDR) ürünümüzü kullanmaya başladı. EDR’yi uç noktaya yükledikten hemen sonra, ek fidye yazılımı tespitleri belirlendi.
MDR analistimiz, önceki fidye yazılımı saldırısıyla bağlantılı dosya algılamaları tespit etti, bilinen bir kötü amaçlı siteye (bir Cobalt Strike C2 sunucusu) giden iletişim girişiminde bulundu ve uzaktan gelen RDP bağlantı denemelerini tespit etti. MDR analisti, müşteriyle hemen iletişime geçerek C2 sunucusunu ve müşterinin hemen uyguladığı RDP bağlantılarının kaynağını engellemeyi önerdi.
Yeni Tehdit Ortaya Çıkıyor – 11 Aralık 2022
Yalnızca iki gün sonra, yeni bir dizi uzak ana bilgisayar RDP bağlantı girişimi tespit edildi. Yine MDR ekibi, müşteriye daha fazla sızmayı önlemek için bağlantı kaynağını engellemesini tavsiye etti.
Kritik Olay ve Müdahale – 13 Aralık 2022
Yeni bir yerel ana bilgisayar dosyası algılama dalgası, daha önce karşılaşılan fidye yazılımının geri döndüğünü gösterdi. Tehdidin tamamen ortadan kaldırılmadığını düşündüren, karşılaşılmayan kalıcı bir mekanizma da belirlendi. Yanıtımızın bir parçası olarak müşteriye kritik bir olayı bildirdik, kapsamlı bir tehdit avı gerçekleştirdik ve güvenliği ihlal edilmiş iki etki alanı yönetici hesabı, bir etki alanı denetleyicisi (DC) ve bir SQL sunucusu belirledik.
Devre dışı bırakılmış bir Windows sistem geri yükleme ayarının Potansiyel Olarak İstenmeyen Değişiklik (PUM) tespiti.
Müşterilerin C:Program Dosyaları dizini, ‘desktop.ici.royal.w’, ‘PackageManagement’, ‘README.TXT’ ve ‘Uninstall Information’ gibi tuhaf dosyalar gösteriyordu.
Bu yeni tespit, “Ransomware.Royal”, saldırganların ya ağda hâlâ var olduklarını ya da yeniden erişim elde ettiklerini gösteriyor.
MDR ekibimiz derhal müşterinin Güvenlik ekibine ulaştı ve bir Zoom araması yoluyla stratejik bir danışma başlattı. Karşılaşılan Tehlike Göstergeleri (IoC’ler) hakkında ayrıntılı içgörüler paylaşıldı ve müşteriye, etkilenen etki alanı yönetici hesaplarının parolalarını değiştirmesini tavsiye ettik.
Yanıt olarak müşteri, kuruluş çapında bir parola değişikliği uyguladı ve yeni tanımlanan C2 sunucusunu engelledi. Ek olarak, güvenliği ihlal edilmiş DC’nin yeniden inşa edilmesine karar verildi.
Olaydan Çıkarılan Dersler
Bu bölüm, günümüzün tehdit ortamında amansız fidye yazılımı yeniden bulaşma tehdidinin yanı sıra eğitimli siber güvenlik uzmanlarının 24x7x365 titizliğinin, hızlı yanıtların ve işbirlikçi çabaların siber savunmada oynadığı kritik rolün altını çiziyor.
Şirket içinde benzer düzeyde bir uzmanlığa sahip olmadan, gerçek şu ki birçok kuruluş feci sonuçlara yol açabilecek yeniden enfeksiyon vakaları görecektir.
Bu durumda, müşterimiz ilk fidye yazılımı saldırısından tam olarak kurtulduğunu varsaymıştı ve MDR hizmeti olmasaydı, saldırının hala devam ettiğini asla fark etmeyebilirdi. Neyse ki, Malwarebytes MDR, EDR ve müşterinin ortak çabaları, tehdidi başarıyla hafifletti ve müşterinin dijital alanını korudu.
EDR ve MDR ürün ve hizmetlerimiz hakkında daha fazla bilgi için lütfen https://try.malwarebytes.com/mdr-consultation-new/ adresini ziyaret edin.
Devamını oku: