Clop fidye yazılımı çetesi, GoAnywhere MFT yönetici konsollarında sıfır günü istismar eden bir saldırı dalgasının sorumluluğunu üstlendi.
Yarı aktif bir fidye yazılımı grubu, GoAywhere MFT’deki sıfır gün güvenlik açığından yararlanan bir dizi saldırının arkasında olduğunu iddia etti.
Rus bağlantılı Clop fidye yazılımı grubu, halka açık internetten erişilebilen açıktaki GoAnywhere MFT yönetim konsollarını kullanarak özel sistemlere uzaktan saldırabildiğini söylüyor. BleepingComputer, grubun erişim elde ettiğini ve en az 130 kuruluşun GoAnywhere sunucularından veri çaldığını iddia ettiğini bildirdi.
Clop’un kurbanlarından biri, ABD’de bir Fortune 500 sağlık hizmetleri sağlayıcısı olan Community Health Systems (CHS) idi. Kısa bir süre önce Menkul Kıymetler ve Borsa Komisyonu’na (SEC) bir Form 8-K sunarak sisteminin güvenliğinin ihlal edildiğini ve korunan sağlık bilgileri (PHI) ve belirli hastaların kişisel bilgileri (PI) dahil olmak üzere şirket verilerinin ifşa edildiğini duyurdu. CHS, etkilenen bireylerin belirli sayısını açıklamadı.
Acil durum yamasının yayınlanmasından bu yana Fortra, saldırganların saldırı sırasında bazı MFTaaS örneklerini de ihlal ettiğini ortaya çıkardı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda, federal kuruluşların iki hafta içinde düzeltmesi gereken yazılım kusurlarının bir listesi olan Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna CVE-2023-0669’u ekledi. Yama uygulamalarına öncelik vermelerine yardımcı olmak için federal olmayan kuruluşların da başvurması yararlıdır.
Neyse ki, geçen haftadan beri bir acil durum yaması (7.1.2) mevcut.
Yamanın yanı sıra, GoAnywhere müşterilerinin şunları yapması da teşvik edilir:
- Ana şifreleme anahtarını döndürün.
- Kimlik bilgilerini sıfırlayın.
- Denetim günlüklerini inceleyin ve şüpheli yönetici veya kullanıcı hesaplarını silin.
- Portalına giderek, teknisyenlere [email protected] adresinden e-posta göndererek veya 402-944-4242 numaralı telefondan arayarak Fortra desteğiyle iletişime geçin.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği kullanan Malwarebytes EDR gibi Uç Nokta Algılama ve Yanıt yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- Bir olay müdahale planı yazın. Bir fidye yazılımı saldırısından sonraki dönem kaotik olabilir. Bir salgını nasıl izole edeceğinizi, paydaşlarla nasıl iletişim kuracağınızı ve sistemlerinizi nasıl geri yükleyeceğinizi özetleyen bir plan yapın.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.