CRIL’deki (Cyble Research and Intelligence Labs) güvenlik analistleri tarafından kısa bir süre önce yürütülen araştırma, fidye yazılımı dağıtmak amacıyla açık RDP bağlantı noktalarını aktif olarak hedefleyen birkaç fidye yazılımı grubu tespit etti.
İnternette bir RDP bağlantı noktası korunmadan açık bırakılırsa büyük güvenlik sorunları ortaya çıkabilir. Açığa çıkan RDP bağlantı noktalarına sahip sistemler, interneti tarayarak tehdit aktörleri tarafından kolayca bulunabilir.
Bundan sonra, saldırganlar çalınan kimlik bilgilerini veya güvenlik açıklarını kullanarak, açığa çıkan bu RDP bağlantı noktalarından yararlanarak savunmasız sistemlere kolayca erişebilir.
CISA, bazı fidye yazılımı gruplarının, verilerini şifrelemek ve bu süreçte rehin tutmak amacıyla savunmasız RDP yapılandırmalarını kullanarak kurbanların cihazlarına eriştiğini bildiriyor. Bu fidye yazılımı grupları arasında birkaçından bahsettik:-
Analiz
Araştırmalar, tehdit aktörlerinin fidye yazılımı saldırılarını başlatmak için yaptıkları analizler sırasında hala aktif olarak açığa çıkmış Uzak Masaüstü hizmetlerini kullandıklarını keşfetti.
Cyble Global Sensor Intelligence (CGSI), 3 aylık bir zaman diliminde, birkaç fidye yazılımı grubundan tehdit aktörleri tarafından 4.783.842’den fazla istismar girişimi yapıldığını ve girişim sayısı açısından aşağıdaki aralıklarla zirveye ulaştığını bildiriyor:-
- eylül sonu
- Kasım ortası
Cyble’ın çevrimiçi tarayıcılarından biri aracılığıyla bir fidye yazılımı olayını gösteren 18’den fazla örnek tespit edildi. Bu örneklerin çoğu aşağıdaki ülkelerden kaynaklanmaktadır:-
- Amerika Birleşik Devletleri (ABD)
- Rusya Federasyonu (RU)
Bu iki ülkenin dışında, bu listeye katılan başkaları da var ve işte onlar:-
- Güney Kore
- Hollanda
- Hindistan
- Vietnam
Bu veriler, herhangi birinin, bir kurban kuruluşun ağına erişim elde etmek için tehdit aktörleri tarafından kullanılan güvenlik açıkları ve savunmasız sürümler hakkında net bir anlayış elde etmesini kolaylaştırır.
BlueKeep (CVE-2019-0708) güvenlik açığından etkilenen bulut sunucuları İnternet’te hâlâ mevcuttur ve 50.000’den fazla örnek hâlâ açıktadır.
Darkweb forumları boyunca, aşağıdakiler gibi çok sayıda kritik altyapı sektörüne yasa dışı RDP erişimi sunan çeşitli tehdit aktörleri tarafından 154’ten fazla gönderi belirlendi:-
- Devlet
- LEA
- BFSI
- Üretme
- telekomünikasyon
Fidye yazılımı aileleri bulundu
Cyble Researchers tarafından sağlanan analize ek olarak, şu anda açık RDP bağlantı noktalarını hedefleyen beş fidye yazılımı ailesi belirlendi.
Aşağıda tespit edilen tüm fidye yazılımı ailelerinden bahsetmiştik:
Redeemer fidye yazılımı, Windows işletim sistemlerini hedefleyen C/C++ tabanlı bir ikili dosyadır.
NYX fidye yazılımı 2022’de ortaya çıktı. C/C++ ile geliştirildi. Bu fidye yazılımı muhtemelen Conti fidye yazılımına dayanmaktadır.
Araştırmacılar, açık RDP bağlantı noktalarını hedefleyen bu iki fidye yazılımı grubunu tespit etti. İki fidye yazılımı grubu aynı kaynaktan gelmiş olabilir
BlackHunt yeni bir fidye yazılımıdır. benekli son zamanlarda açık RDP bağlantı noktalarını hedefliyor. “ReadMe” adlı bir fidye notu, dosyanın şifresini çözmek için talimatlar verir.
Özellikle tedarik zincirleri söz konusu olduğunda, fidye yazılımı saldırıları çok büyük hasara neden oldu. Kritik altyapı hizmetlerinin eksikliği, günlük operasyonları için mevcudiyetlerine bağlı olan kamu ve devlet kurumları üzerinde olumsuz bir etkiye sahiptir.
öneriler
Fidye yazılımı saldırılarının gerçekleşmesini önlemek için kritik altyapıyla uğraşan kuruluşlar tarafından proaktif bir yaklaşım benimsenmelidir.
Güvenlik uzmanlarının sunduğu önerilere aşağıda değindik:-
- Eski uygulamaların ve cihazların yamalandığından emin olun.
- Ağı uygun şekilde bölümlere ayırın ve uygun güvenlik önlemlerini uygulayın.
- Varlıkların görünürlüğünü artırmak için yazılım malzeme listelerinden yararlanın.
- İyi yapılandırılmış ve güncellenmiş bir güvenlik duvarını koruyun.
- Yönetici tarafından yönetilmeyen açık bağlantı noktalarının kapalı olduğundan emin olun.
- Düzenli olarak bir denetim ve VAPT tatbikatı yapılmalıdır.
- Varlıkların izlenmesi ve kaydedilmesi uygun bir şekilde yapılmalıdır.
- Kuruluşun uygun erişim kontrollerini uyguladığından emin olun.
- Kuruluş, çalışanları için bir siber güvenlik farkındalık programı uygulamalıdır.
- Kuruluşun güçlü bir parola politikası izlediğinden emin olun.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin