FBI geçtiğimiz günlerde, Haziran 2021’den bu yana kötü şöhretli Hive fidye yazılımı çetesi tarafından binlerce şirketin hedef alındığını iddia etti.
Bu süre zarfında, Hive fidye yazılımı çetesinin operatörleri toplamda yaklaşık 100 milyon $’ı gasp etti.
Hive çetesinin saldırı operasyonunun bir sonucu olarak, kurbanlar ağlarında daha fazla hasara neden olacak ek fidye yazılımı yüklerine maruz kalacaklar.
Kasım 2022 itibarıyla Hive fidye yazılımı aktörleri tarafından yaklaşık 100 milyon ABD doları tutarında fidye ödemesi toplandı ve bu yüklü miktarı dünya çapında 1.300’den fazla şirketten topladılar.
Ayrıca, mağdur örgütler, ağlarının yeniden kurulması için herhangi bir fidye ödemeden ağlarını eski haline getirdiklerinde, kovan aktörlerin bu örgütlerin ağlarına yeniden bulaştığı bilinmektedir.
Hedeflenen Kritik Kuruluş
Bir dizi kritik altyapı sektörüne ek olarak, çok çeşitli sektörlerden ve sektörlerden birçok kuruluş bu saldırının kurbanı olarak listelenmiştir. Aşağıdakiler de dahil olmak üzere kurban listesinde listelenen birkaç kurban var: –
- Devlet tesisleri
- İletişim
- Bilgi Teknolojisi
- Sağlık kuruluşları
- Halk Sağlığı (HPH) kuruluşları
Fidye Yazılım Çetesinin Hedef Aldığı Platformlar
Bu iki kuruluşla yayınlanan ortak bir danışma belgesi ile bağlantılı olarak bu konuda bir açıklama yapılmıştır:-
- Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)
- Sağlık ve İnsan Hizmetleri Departmanı (HHS)
FBI tarafından Hive fidye yazılımı saldırılarına ilişkin soruşturmasında yayınlanan ortak danışma belgesi, operatörler tarafından kullanılan Hive IOC’leri ve TTP’leri içerir.
Bir ağa sızmak için, ağı hedefleyen bağlı kuruluş, saldırının gerçekleşme şeklini belirler. Aktörler, kurbanların ağlarına erişim elde etmek için tek kimlik doğrulamasından yararlandı ve bunu yapmak için aşağıdaki ortamları kötüye kullandı: –
- Uzak Masaüstü Protokolü (RDP)
- Sanal özel ağlar (VPN’ler)
- Diğer uzak ağ bağlantısı protokolleri
Hive aktörlerinin MFA’yı atlatmayı ve bu şekilde FortiOS sunucularına erişmeyi başardığı durumlar olmuştur.
Microsoft Exchange sunucularındaki bir dizi güvenlik açığı da Hive aktörleri tarafından kurban ağlarına erişim elde etmek için kullanıldı.
- CVE-2021-31207 – Microsoft Exchange Server Güvenlik Özelliğini Atlama Güvenlik Açığı
- CVE-2021-34473 – Microsoft Exchange Sunucusunda Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2021-34523 – Microsoft Exchange Sunucusunda Ayrıcalık Arttırma Güvenlik Açığı
Ayrıca, Hive fidye yazılımının Windows dışında aşağıdaki platformlara da bulaşabileceği kaydedildi: –
- linux
- VMware ESXi
- Ücretsiz BSD
Tehdit aktörleri tarafından kullanılan fidye notu aşağıdadır: –
Azaltmalar
Kuruluşların FBI, CISA ve HHS tarafından önerilen şekilde bu azaltma önlemlerini izlemesi önerilir:-
- Ağın Hive aktörleri tarafından artık erişilebilir olmadığı doğrulanmalıdır.
- Bir işletim sistemi, yazılım ve üretici yazılımı güncellemesi yayınlandıktan sonra, onu hemen yüklemek önemlidir.
- Veriler düzenli olarak çevrimdışı olarak yedeklenmeli ve verilerin yedeklemeleri ve geri yüklemeleri düzenli olarak yapılmalıdır.
- Tüm yedekleme verilerini kaydetmeden önce şifrelemek önemlidir.
- PowerShell günlük kaydının etkinleştirildiğinden emin olun.
- Gelişmiş bir izleme aracı kurmanız önerilir.
- Enfekte olan sistemi izole etmek önemlidir.
- Kullanılmayan diğer tüm bilgisayarları veya cihazları kapatmalısınız.
- Veri kaybını önlemek için yedeklemeler güvenli hale getirilmelidir.
Azure Active Directory Güvenliği – Ücretsiz E-Kitap İndirin