Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından Çarşamba günü verilen bir uyarıya göre, Cring olarak da adlandırılan bir hayalet fidye yazılımı grubu Ocak 2025’e kadar yazılım ve ürün yazılımındaki güvenlik açıklarından aktif olarak yararlanıyor. .
Çin’den faaliyet gösteren Ghost, bazıları yıllar önce hafifletilebilecek olan serbest güvenlik kusurlarıyla internete bakan hizmetleri hedefliyor. Siber güvenlik araştırmacıları ilk olarak grubun faaliyetlerini 2021’de tespit ettiler ve son saldırıları, Çin’in kendisi de dahil olmak üzere 70’den fazla ülkedeki organizasyonları tehlikeye atmaya devam ediyor.
Tehdidin kapsamı
Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile işbirliği içinde yayınlanan Alert, Ghost’un güvenlik açıklarına odaklanmasını vurgular:
- Patched Fortinet Güvenlik Aletleri
- Adobe ColdFusion Web Uygulama Sunucuları
- Proxyshell saldırı zinciri güvenlik açıklarına maruz kalan Microsoft Exchange sunucuları
Bu güvenlik açıkları, hayaletin sistemleri ihlal etmesini, fidye yazılımı dağıtmasını ve mağdurlardan finansal ödemeler talep etmesini sağlar.
FBI, CISA ve MS-ISAC, grubun hedeflerinin kritik altyapı, sağlık tesisleri, eğitim kurumları, hükümet ağları, dini kuruluşlar, teknoloji firmaları, imalat şirketleri ve küçük ve orta ölçekli işletmeleri içerdiğini vurguladı.
Hayalet Fidye Yazılımı: Taktikler, Teknikler ve Prosedürler (TTPS)
Hayalet aktörler, tespitten kaçınmak ve ilişkilendirmeyi karmaşıklaştırmak için çeşitli stratejiler geliştirdiler. Fidye yazılımı yürütülebilir yüklerini sık sık döndürür, fidye not metinlerini değiştirir, şifrelenmiş dosyalar için dosya uzantılarını değiştirir ve birden çok fidye e -posta adresi kullanırlar.
Sonuç olarak, siber güvenlik uzmanları, Ghost, Cring, Crypt3R, Phantom, Strike, Merhaba, Wickrme, Hsharada ve Rapture dahil olmak üzere zaman içinde grupla farklı isimleri ilişkilendirmiştir.
Sömürü ve saldırı yöntemleri
Hayalet fidye yazılımı aktörleri, genellikle yamaların uygulanmadığı sistemlerde iyi bilinen ortak güvenlik açıklarından ve maruziyetlerinden (CVES) yararlanmak için halka açık koda güvenir. Aktif olarak sömürdükleri güvenlik açıklarından bazıları şunlardır:
- Fortinet Fortios (CVE-2018-13379)
- Adobe Coldfusion (CVE-2010-2861, CVE-2009-3960)
- Microsoft SharePoint (CVE-2019-0604)
- Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)-Proxyshell saldırı zinciri güvenlik açıkları
Erişim kazandıktan sonra, hayalet aktörler, kurban ağlarına kendilerini implante etmek için Cobalt Strike Beacon kötü amaçlı yazılım gibi kötü amaçlı araçlar kullanırlar. Genellikle Web mermilerini tehlikeye atılmış sunuculara yüklerler, Windows komut istemi ve PowerShell’i daha fazla saldırı yürütmek için kullanırlar.
Kalıcılık ve ayrıcalık artışı
Hayalet aktörler, fidye yazılımlarını dağıtmadan önce genellikle bir kurbanın ağında sadece birkaç gün geçirirken, yeni yerel ve alan hesapları oluşturma, mevcut hesap şifrelerini değiştirme ve ek web mermileri dağıtma gözlemlenmiştir.
Ayrıcalıkları artırmak için, sistem konfigürasyonlarındaki zayıflıklardan yararlanırlar ve Sharpzerologon, Sharpgpppass, Badpotato ve Godpotato gibi halka açık araçları kullanırlar. Sistem kullanıcısını taklit ederek, kötü amaçlı yazılımlarını yüksek ayrıcalıklarla çalıştırabilir ve maksimum bozulmaya neden olmalarına izin verebilirler.
Etki ve finansal motivasyon
Hayalet’in birincil hedefi finansal kazançtır. Fidye talepleri çok çeşitlidir, bazen yüz binlerce dolara ulaşmıştır. Bununla birlikte, hayalet aktörler, ağlar arasında yanal hareketi kısıtlayan sertleştirilmiş güvenlik sistemleriyle karşılaştıklarında girişimleri terk etme eğilimindedir.
Hayalet fidye yazılımı saldırılarının etkisi duruma göre farklılık gösterir. Bazı kuruluşlar veri şifreleme ve operasyonel aksamalar yaşarken, sağlam yedekleme ve kurtarma çözümlerine sahip diğerleri fidye ödemeden operasyonları geri yüklemeyi başarmıştır.
Önerilen azaltma
FBI, CISA ve MS-ISAC, kuruluşları hayalet fidye yazılımı saldırılarıyla ilişkili riskleri azaltmak için aşağıdaki adımları atmaya teşvik ediyor:
1. Düzenli sistem yedeklemelerini uygulayın
- Çevrimdışı depolanan veya kaynak sistemlerinden bölümlü bilinen iyi yedeklemeleri koruyun.
- Yedekleme çözümlerinin potansiyel olarak tehlikeye atılan ağ cihazları tarafından değiştirilemeyeceğinden veya şifrelenemediğinden emin olun.
2. Yama bilinen güvenlik açıkları
- İşletim sistemlerine, yazılıma ve ürün yazılımına zamanında güvenlik güncellemeleri uygulayın.
- Hayalet tarafından aktif olarak sömürülen yamalama güvenlik açıklarına öncelik ver:
- CVE-2018-13379 (Fortinet Fortios)
- CVE-2010-2861, CVE-2009-3960 (Adobe Coldfusion)
- CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange-Proxyshell)
3. Segment ağları yanal hareketi kısıtlamak
- Kritik varlıkları ağın daha az hassas kısımlarından ayırın.
- Güvenli olarak yapılandırılmış VPN’ler veya güvenlik duvarları aracılığıyla temel hizmetlere erişimi sınırlayın.
4. Çok faktörlü kimlik doğrulamayı zorla (MFA)
- Ayrıcalıklı hesaplar ve e-posta hizmetleri için kimlik avına dayanıklı MFA gerektirir.
- Kimlik doğrulama mekanizmalarında yetkisiz değişiklikleri izleyin.
5. E -posta Güvenliğini Geliştirin
- Kimlik avı denemelerini engellemek için gelişmiş e -posta filtrelemesini dağıtın.
- E -posta sahtekarını önlemek için DMARC, DKIM ve SPF uygulayın.
6. Yetkisiz güç kullanımı için monitör
- Hayalet aktörler, kötü niyetli operasyonlar için büyük ölçüde PowerShell’e güveniyor.
- PowerShell erişimini yalnızca temel kullanıcılara kısıtlayın.
- Komut dosyaları ve ağ trafiği için PowerShell izin vermeyi uygulayın.
7. Anormal ağ aktivitesini tanımlayın ve araştırın
- Olağandışı komutları, komut dosyalarını ve ağ trafik modellerini izleyin.
- Yetkisiz hesap değişikliklerini tespit etmek için düzenli taramalar yapın.
8. Kullanılmayan hizmetleri ve bağlantı noktalarını devre dışı bırakın
- RDP (3389), FTP (21) ve SMB (445) gibi gereksiz bağlantı noktalarını kapatın.
- Dahili hizmetlerin dış ağlara maruz kalmasını kısıtlayın.
Çözüm
Hayalet fidye yazılımı, dünya çapında kuruluşlar için kalıcı bir tehdit olmaya devam ediyor ve modası geçmiş yazılımlarda güvenlik açıkları açıldıkça saldırılar ortaya çıkıyor. Önerilen güvenlik önlemlerini uygulayarak, kuruluşlar bu finansal olarak motive olmuş siber suçlu grubuna mağdur olma olasılığını önemli ölçüde azaltabilir.
FBI, CISA ve MS-ISAC, Ghost’un faaliyetlerini izlemeye devam ediyor ve organizasyonları uyanık kalmaya, derhal yamaları uygulamaya ve gelişen fidye yazılımı tehditlerine karşı siber güvenlik savunmalarını desteklemeye teşvik ediyor.