CISA ve FBI, hayalet fidye yazılımlarını konuşlandıran saldırganların, kritik altyapı organizasyonları da dahil olmak üzere 70’den fazla ülkedeki birden fazla endüstri sektöründen kurbanları ihlal ettiğini söyledi.
Etkilenen diğer endüstriler arasında sağlık, hükümet, eğitim, teknoloji, üretim ve çok sayıda küçük ve orta ölçekli işletme bulunmaktadır.
“2021’in başından itibaren, hayalet aktörler, internetle yüzleşen hizmetler yazılım ve ürün yazılımı sürümlerini işleten kurbanlara saldırmaya başladı.” Çarşamba.
Diyerek şöyle devam etti: “Güvenlik açıkları içeren ağların bu ayrım gözetmeden hedeflenmesi, Çin’deki kuruluşlar da dahil olmak üzere 70’den fazla ülkedeki kuruluşların uzlaşmasına yol açtı.”
Ghost fidye yazılımı operatörleri, kötü amaçlı yazılım yürütülebilir ürünlerini sık sık döndürür, şifrelenmiş dosyaların dosya uzantılarını değiştirir, fidye notlarının içeriğini değiştirir ve fidye iletişimi için genellikle grubun zaman içinde dalgalanma atfedilmesine yol açan birden fazla e -posta adresi kullanır.
Bu gruba bağlı isimler arasında Ghost, Cring, Crypt3R, Phantom, Strike, Hello, Wickrme, Hsharada ve Rapture, cring.exe, Ghost.exe, Elysiumo.exe ve Locker.exe gibi saldırılarında kullanılan fidye yazılımı örnekleri bulunur.
Bu finansal olarak motive olmuş fidye yazılımı grubu, savunmasız sunuculardaki güvenlik kusurlarından yararlanmak için halka açık kodlardan yararlanır. Fortinet (CVE-2018-13379), ColdFusion (CVE-2011-2861, CVE-2009-3960) ve değişim (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 ).
Hayalet fidye yazılımı saldırılarına karşı savunmak için, ağ savunucularına aşağıdaki önlemleri almaları tavsiye edilir:
- Ransomware tarafından şifrelenemeyen düzenli ve saha dışı sistem yedeklemeleri yapın,
- Yama işletim sistemi, yazılım ve ürün yazılımı güvenlik açıkları mümkün olan en kısa sürede,
- Hayalet Fidye Yazılımları tarafından hedeflenen güvenlik kusurlarına odaklan (yani, CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
- Segment ağları, enfekte cihazlardan yanal hareketi sınırlamak için,
- Tüm ayrıcalıklı hesaplar ve e-posta hizmetleri hesapları için kimlik avına dirençli çok faktörlü kimlik doğrulamayı (MFA) uygulayın.
Amigo_A’dan hemen sonra ve Swisscom’un CSIRT takımı İlk lekeli hayalet fidye yazılımı 2021’in başlarında, operatörleri özel Mimikatz örneklerini düşürüyorlar, ardından CobaltStrike Beacons izliyor ve güvenlik yazılımını atlamak için meşru Windows Sertifika Yöneticisi’ni kullanarak fidye yazılımı yüklerini dağıtıyorlardı.
Hayalet fidye yazılımı saldırılarına ilk erişim için sömürülmesinin yanı sıra, savunmasız Fortinet SSL VPN aletleri için taranan devlet destekli hack grupları da CVE-2018-13379 güvenlik açığını hedefledi.
Saldırganlar ayrıca internete maruz kalan ABD seçim destek sistemlerini internet üzerinden ulaşabilecek güvenlik açığını da kötüye kullandı.
Fortinet, müşterileri SSL VPN aletlerini CVE-2018-13379’a karşı Ağustos 2019, Temmuz 2020, Kasım 2020, ve Nisan 2021’de birkaç kez yamaları konusunda uyardı.
CISA, FBI ve MS-ISAC tarafından yayınlanan ortak danışma, bugün aynı zamanda uzlaşma göstergelerini (IOC’ler), taktikler, teknikler ve prosedürler (TTP’ler) ve FBI araştırmaları sırasında tanımlanan önceki hayalet fidye yazılımı etkinliğine bağlı tespit yöntemlerini de içeriyor. Ocak 2025.