ABD’deki birçok sektördeki kuruluşları hedef alan fidye yazılımı saldırılarının faillerinin İranlı siber aktörler olduğu tespit edildi.
Bu açıklama, Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Savunma Bakanlığı Siber Suç Merkezi (DC3) tarafından yayınlanan ortak Siber Güvenlik Danışma Bülteni’nden geliyor.
Tehdit Grubunun Arka Planı
Pioneer Kitten, Fox Kitten ve son zamanlarda “xplfinder” gibi çeşitli isimlerle bilinen İranlı tehdit grubu 2017’den beri faaliyet gösteriyor.
Bu siber aktörlerin, okullar, belediye yönetimleri, finans kurumları ve sağlık tesisleri de dahil olmak üzere ABD’deki kuruluşları hedef alan bilgisayar ağı saldırıları düzenleme geçmişi var.
FBI’ın analizi, grubun faaliyetlerinin devlet destekli siber operasyonlarla uyumlu olduğunu, çabalarının önemli bir kısmının fidye yazılımı saldırılarını etkinleştirmeye odaklandığını gösteriyor.
İranlı siber saldırganlar, kurbanların ağlarına ilk erişimi elde etmek için kamuya açık uygulamalardaki ve ağ cihazlarındaki güvenlik açıklarından yararlandı.
Web kabukları dağıtmak, oturum açma kimlik bilgilerini yakalamak ve kalıcı erişimi sürdürmek için arka kapılar oluşturmak gibi gelişmiş teknikler kullandıkları gözlemlendi.
İçeri girdikten sonra bu aktörler, fidye yazılımı operasyonlarını yürütmek için NoEscape, Ransomhouse ve ALPHV (BlackCat) gibi gruplar da dahil olmak üzere fidye yazılımı iştirakçileriyle iş birliği yapıyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
İşbirliği, fidye yazılımı iştirakçilerine tehlikeye atılmış ağlara erişim sağlamayı, kurban ağlarının kilitlenmesine yardımcı olmayı ve gasp taktikleri konusunda strateji geliştirmeyi içeriyor.
Karşılığında İranlı aktörler fidye ödemelerinden pay alıyor. Bu ortaklık, teknik uzmanlık ve stratejik ittifaklardan yararlanarak siber suçlara yönelik sofistike ve koordineli bir yaklaşımı vurguluyor.
ABD Kuruluşları Üzerindeki Etkisi
Bu fidye yazılımı saldırıları, eğitim, finans, sağlık ve yerel yönetim birimleri de dahil olmak üzere çeşitli sektörleri etkileyerek önemli boyutlara ulaştı.
Danışma yazısında, grubun faaliyetlerinin yalnızca ABD ile sınırlı olmadığı, İsrail, Azerbaycan ve Birleşik Arap Emirlikleri gibi ülkelerdeki örgütleri de hedef aldığı uyarısı yapıldı.
Bu saldırıların kurbanları genellikle ciddi operasyonel kesintilerle, mali kayıplarla ve hassas verilerin ifşa edilmesiyle karşı karşıya kalmaktadır.
Tavsiyede, bu saldırıların etkisini azaltmak ve daha fazla istismarı önlemek için yetkililere derhal bildirimde bulunulması ve onlarla işbirliği yapılmasının önemi vurgulanıyor.
Azaltma Stratejileri ve Öneriler
Bu tehdide yanıt olarak FBI ve CISA, kuruluşların siber güvenlik savunmalarını güçlendirmelerini önerdi.
Temel önlemler şunlardır:
- Yama Yönetimi: Kuruluşların, İranlı aktörlerin istismar ettiği CVE-2024-3400 ve CVE-2022-1388 gibi bilinen güvenlik açıklarına yönelik yama ve güvenlik önlemlerini uygulamaları önemle rica olunur.
- Ağ İzleme: Olağandışı trafik düzenleri veya yetkisiz erişim girişimleri gibi tehlike göstergelerine karşı ağ günlüklerini düzenli olarak inceleyin.
- Kimlik GüvenliğiKimlik bilgisi hırsızlığına ve kötüye kullanımına karşı koruma sağlamak için çok faktörlü kimlik doğrulama da dahil olmak üzere kimlik doğrulama mekanizmalarını güçlendirin.
- Olay Bildirimi: Koordineli bir yanıt ve soruşturmayı kolaylaştırmak için şüpheli veya kötü niyetli herhangi bir faaliyeti derhal FBI veya CISA’ya bildirin.
Tavsiyede, kuruluşların siber güvenlik çalışmalarında dikkatli ve proaktif olmaları gerektiğinin kritik önemi vurgulanıyor.
Önerilen bu uygulamaları hayata geçirerek kuruluşlar, devlet destekli siber aktörlerin gelişen taktiklerine karşı daha iyi savunma sağlayabilirler.
İran Siber TehdidiSonuç olarak, İran siber aktörlerinin oluşturduğu devam eden tehdit, siber suçla mücadelede güçlü siber güvenlik önlemlerinin ve uluslararası iş birliğinin önemini vurgulamaktadır.
Bu aktörler taktiklerini uyarlamaya ve geliştirmeye devam ederken, kuruluşların çevik kalmaları ve ortaya çıkan tehditlere yanıt vermeye hazır olmaları gerekir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial