[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
İtalya Ulusal Siber Güvenlik Ajansı ACN’nin iki yıl önce keşfedilen bir VMware güvenlik açığıyla ilgili haberi Şubat ayı başlarında çıktı. Pek çok kuruluş sorunu henüz düzeltmemişti ve ZCryptor adlı yeni bir fidye yazılımının kurbanı oldu. Kötü amaçlı yazılım, kullanıcıların dosyalarını şifreleyerek ve verilerin şifrelenmemesi için ödeme talep ederek İtalyan ve Avrupalı işletmeleri kasıp kavurdu.
ACN, VMware kullanıcılarını sistemlerinin mevcut en yeni güvenlik yamalarıyla yedeklendiğinden ve güncellendiğinden emin olmaya teşvik eder. Fidye yazılımlarının artmasıyla birlikte, işletmelerin verilerini ve uygulamalarını korumak için gerekli adımları atması çok önemlidir.
ESXiArgs fidye yazılımı saldırıları
Fidye yazılımı, bir kuruluşun dosyalarına, sistemlerine ve ağlarına erişimi kısıtlamak için kullanılan bir tür kötü amaçlı yazılım veya kötü amaçlı yazılımdır. Ama orada bitmiyor. Saldırganlar, krallığın anahtarları karşılığında genellikle kripto para birimi biçiminde büyük bir meblağ talep edeceklerdir.
Fidye yazılımının bir hedef sistemde yürütülmesinin birçok yolu vardır. Bu durumda, saldırgan VMware’in ESXi hipervizör koduna sızdı ve tüm sunucuları fidye için elinde tuttu. Raporlara göre, çoğu kurbanın tüm iş sistemlerine erişimi yeniden sağlaması gerekiyordu.
Bu saldırıların doğası, uzmanları bunun fidye yazılımı çetelerinin işi olmadığına ve daha küçük bir grup tehdit aktörü tarafından yürütüldüğüne inandırıyor. Ancak bu, hasarın daha az endişe verici olduğu anlamına gelmez.
Bilinen güvenlik açıklarından yararlanma
Bilgisayar korsanları, hafta sonu başlamadan önce bir Cuma öğleden sonra yalnızca yirmi dört saat içinde başardılar. Ama nasıl bu kadar hızlı çalışabildiler?
Yazılım geliştiricileri ve sağlayıcılar belirli güvenlik açıkları için düzeltmeler yayınlar yayınlamaz, tehdit aktörleri saldırı planlarına başlar. Neyse ki, ESXiArgs güvenlik açığı iki yıl önce yamalandı (CVE-2021-21974.)
Bu yamayı çalıştırmayan kuruluşlar, en son fidye yazılımının kurbanı olma riskiyle karşı karşıyadır. Ne yazık ki Florida Yüksek Mahkemesi, Georgia Teknoloji Enstitüsü, Rice Üniversitesi ve Macaristan ile Slovakya’daki birçok okul bu en yeni fidye yazılımı saldırısına maruz kaldı.
Etkilenen sistemler için CISA kılavuzu
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), dünya çapında ESXiArgs fidye yazılımı saldırılarından etkilenen kurtarma kılavuzu yayınladı:
- Tüm sunucuları hemen en son VMware ESXi sürümüne güncelleyin.
- Hipervizörü sağlamlaştırmak için Hizmet Konumu Protokolünü (SLP) devre dışı bırakın.
- ESXi hipervizörünün asla halka açık internete maruz kalmadığından emin olun.
CISA, etkilenmemiş sanal disklerden sanal makine meta verilerini yeniden oluşturmak için GitHub sayfasında bir komut dosyası da sunar.
Kuruluşlar bu saldırıdan ne öğrenebilir?
Herkesin başına gelebilir. Kötü amaçlı yazılım ve fidye yazılımı saldırıları, kuruluşları istismar etmenin popüler bir yoludur ve büyük veya küçük hiçbir işletme yasak değildir. Yazılım geliştirme endüstrisi, bireylerin ve kuruluşların çeşitli ihtiyaçlarını karşılamak için yeni uygulamalara yönelik sürekli artan talepten kaynaklanmaktadır.
Operasyonların sorunsuz çalışmasını sağlayan ortalama bir organizasyon. Her uygulama, sistemleri güvende tutmak için rutin bakım gerektirir ve güncellemeleri çalıştırmak, sistemleri fidye yazılımlarından korumada önemli bir rol oynar.
Bu saldırının bir diğer önemli çıkarımı, hayati sistemleri halka açık internetten uzak tutmaktır. Ona dokunan herhangi bir dosya, sistem veya uygulamaya yetenekli bilgisayar korsanları kolayca sızabilir. Ve VMware ESXi hala savunmasız olduğu için şirketler arayüzü dünyaya ifşa etmemelidir.
Yama yönetimi nasıl iyileştirilir ve fidye yazılımı saldırılarından nasıl kaçınılır?
Yama yönetiminin karmaşıklığına katkıda bulunan ve şirketlerin yolunda gitmesini zorlaştıran birkaç sorun vardır. Örneğin, yazılım hizmetlerinin sayısı arttıkça CVE’lerin sayısı da artar. Bu, saldırganlar bilinen güvenlik açıklarından nasıl yararlanacaklarını keşfetmeden önce yönetilecek, izlenecek ve çalıştırılacak daha fazla yama anlamına gelir.
Büyük miktarda yazılıma ek olarak, şirketlerin yönetmesi gereken büyük miktarda veri de vardır. Örneğin, şirketler sıradan ticari işlemler yoluyla karanlık veriler üretir. Daha fazla kuruluş başarılarını artırmak için veriye dayalı kararlar aldıkça kullanıcı davranışları, düzenlemeleri ve diğer veri kümeleri hızla artıyor.
Bu miktardaki veriyi işlemek ve incelemek çok zordur ve güvenlik açıklarını bilgisayar korsanlarının bunları istismar edebileceği yerlerde gizli bırakır. Görünürlük olmadan herhangi bir yama stratejisi etkisiz olacaktır. Eksiksiz görünürlük, ekiplerin güncellenmesi gereken varlıklara ve yazılımlara öncelik vermesini sağlar.
Bu yaygın yama yönetimi sorunlarının nasıl üstesinden gelineceği ve maliyetli fidye yazılımı saldırılarından nasıl kaçınılacağı aşağıda açıklanmıştır:
Her yamayı test edin
Yamalar, sistemlerinize eklenmeden önce. Yama, uygulamaların güvenli ve güncel kalmasını sağlamak için gereklidir, ancak bir şeyler ters giderse sorunlara neden olabilir. Yanlış yapılandırmalardan ve yarardan çok zarar verebilecek diğer sorunlardan kaçınmak için her yama test edilmelidir.
Yamaları en kısa sürede uygulayın
Yama yönetimi söz konusu olduğunda zaman yanınızda değil. Yamalar test edildikten sonra mümkün olan en kısa sürede uygulayın. Daha hızlı, daha iyi. Güncellemeler yayınlanır yayınlanmaz, bilgisayar korsanları yamayı çalıştırma şansı bulamadan önce sıkı çalışmaya başlarlar.
Kullanımdan kaldırılan cihaz ve uygulamaların aşamalı olarak kaldırılması
Bazen bir programı veya cihazı kullanımdan kaldırmaktan başka yapacak bir şey kalmaz. Yazılım kullanımdan kaldırıldığında, ek yamalar yayınlanmayacağından yeni güvenlik açıklarını bilmenin bir yolu yoktur. Ayrıca, güvenlik endişeleri nedeniyle genellikle aşamalı olarak kullanımdan kaldırıldığı için, güncelliğini yitirmiş yazılımlarda güvenlik bir sorun haline gelir. Ömrünün sonuna gelmiş tüm uygulama ve cihazlardan kurtulun.
Yama yönetimini otomatikleştirin
Yama yönetimini kolaylaştırmak için otomasyondan yararlanın. Her uygulamanın bakım programını takip etmek ve yazılımları düzenli olarak test etmek ve yama uygulamak zaman alıcıdır. Yama yönetimi otomasyonu veya yönetilen bir hizmet sağlayıcıyla ortaklık, uygulamaları ve uç noktaları güncel tutmanın en etkili yolu olabilir.
Son düşünceler
Fidye yazılımı saldırıları yakın zamanda ortadan kalkmayacak. İtalya’dan gelen en son fidye yazılımı uyarısı, iki yıl önce güncellenmiş olması gereken yamalı yazılımdan kaynaklanmaktadır. ESXiArgs fidye yazılımından etkilenebilecek işletmeler, hasarı önlemek ve kaybolabilecek verileri kurtarmak için CISA kılavuzunu izlemelidir.
Fidye yazılımı tehditlerini önlemenin en iyi yolu, yamaları ve güncellemeleri çalıştırırken proaktif olmaktır. Sistemleriniz için güvenli olduğundan emin olmak için her yamayı test edin, değişiklikleri mümkün olan en kısa sürede uygulayın, kullanımdan kaldırılan yazılımları değiştirin ve optimum verimlilik ve güvenlik için yama yönetimini otomatikleştirin.
reklam