ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), siber güvenlikle ilgili yeni bir danışma belgesi yayınladı. Bu danışma belgesi, Kuzey Kore fidye yazılımı operasyonlarında kullanılan TTP’lere ilişkin son gözlemlerin ayrıntılarını verir.
Bu operasyonlar, halk sağlığı ve diğer kritik altyapı sektörlerini hedef alarak, kötü niyetli aktörlerin oluşturduğu devam eden tehdide dikkat çekti.
Birkaç ajans konuyla ilgili bu raporu derledi ve ilgili ajanslar burada bulunabilir:-
- NSA
- FBI
- CISA
- BİZ
- HHS
- Kore Cumhuriyeti Ulusal İstihbarat Servisi ve Savunma Güvenlik Teşkilatı
Bu şekilde gasp edilen fonların Kuzey Kore Hükümeti’nin Ulusal Hedeflerini ve Önceliklerini desteklemek için kullanıldığına inanılıyor.
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre, Kuzey Koreli bilgisayar korsanları Güney Kore ve Amerika Birleşik Devletleri’ndeki sağlık sistemlerine saldırmak için yalnızca özel olarak geliştirilmiş fidye yazılımlarına güvenmekle kalmadı, aynı zamanda yaklaşık bir düzine farklı dosya şifreleme kötü amaçlı yazılım türü kullandı. .
Bu bilgiler, sağlık sektöründeki kuruluşların siber güvenlik önlemlerini artırmaları ve bu kötü niyetli aktörler tarafından kullanılan gelişen taktiklerin farkında olmaları için bir uyandırma çağrısı görevi görür.
Sağlık Hizmetlerini Hedef Alan Bilgisayar Korsanları
Kuzey Koreli tehdit aktörleri, siber saldırılar gerçekleştirmek için gerekli altyapıyı elde etmek için bir metodoloji geliştirdi. Bu, daha sonra yasa dışı yollarla kripto para birimi elde etmek için kullandıkları sahte kişiler ve hesaplar oluşturarak elde edilir.
Genellikle kazandıkları paranın izini sürmelerine yardımcı olabilecek yabancı aracılara güvenirler.
Siber suçlular, bilgisayar korsanlığı faaliyetleri gerçekleştirirken gerçek kökenlerini ve konumlarını gizlemenin yollarını bulmuşlardır. Bunu sanal özel ağlar (VPN’ler) ve sanal özel sunucular (VPS’ler) kullanarak veya etkinliklerini üçüncü taraf IP adresleri üzerinden yönlendirerek yaparlar.
Bu, müfettişlerin ve güvenlik personelinin saldırının kaynağının izini sürmesini ve arkasındaki kişi veya grupları belirlemesini zorlaştırıyor.
Bir hedef sistem veya ağdan ödün verme süreci, erişim elde etmek ve ayrıcalık düzeyini artırmak için çeşitli güvenlik açıklarından yararlanmayı içerir. Saldırganlar bu güvenlik açıklarından yararlanarak hedef ağa girebilir ve kötü amaçlı faaliyetlerini gerçekleştirebilir.
Yararlanılan kusurlar: –
Bir hedef ağa başarılı bir şekilde ilk erişim sağladıktan sonra, Kuzey Koreli bilgisayar korsanları bilgi toplamak ve ağ içindeki varlıklarını genişletmek için kapsamlı keşif ve yanal hareketler yürütürler. Bu, kabuk komutlarını yürüterek ve ek yükler dağıtarak gerçekleştirilir.
gözlemlenebilir TTP’ler
Aşağıda, güvenlik analistleri tarafından gözlemlenen tüm TTP’lerden bahsetmiştik: –
- Altyapı Edinin
- Kimliği Gizlemek
- VPN satın al
- VPS satın alın
- Erişim kazanmak
- Yanal Hareket Etme ve Keşif
- Çeşitli Fidye Yazılımı Araçları Kullanın
- Kripto Para Biriminde Fidye Talep Edin
Azaltmalar
Aşağıda, güvenlik uzmanları tarafından önerilen tüm azaltmalardan bahsettik: –
- Verilere erişimi sınırlandırmak için bağlantıların kimliğinin doğrulanması ve şifrelenmesi önemlidir.
- Dahili sistemlerde yönetici hesapları yerine standart kullanıcı hesaplarını en az ayrıcalık ilkesine uygun olarak kullanın.
- Zayıf veya gereksiz olan ağ cihazı yönetimi arabirimlerini devre dışı bırakın.
- Kriptografi kullanarak, saklanan verileri, görüntülendiğinde PAN değerini maskeleyerek ve okunamaz hale getirerek koruyun.
- Kişisel olarak tanımlanabilir bilgiler güvenli bir şekilde toplanmalı, saklanmalı ve işlenmelidir.
- Çok katmanlı bir ağ bölümleme stratejisi uygulanmalı ve uygulanmalıdır.
- Sonuç olarak kararsız davranmalarına neden olan bir uzlaşma olup olmadığını belirlemek için IoT cihazlarını izleyin.
- Yedeklemeler düzenli olarak yapılmalı ve verileri geri yükleme yeteneği düzenli olarak test edilmelidir.
- Siber olaylar için bir olay yanıtı ve iletişim planı geliştirilmeli, sürdürülmeli ve yürütülmelidir.
- Yapmanız gereken ilk şey, işletim sisteminin, yazılımın ve sabit yazılımın kullanıma sunulur sunulmaz güncellendiğinden emin olmaktır.
- RDP’yi veya kullandığınız diğer potansiyel olarak riskli hizmetleri güvenli hale getirin ve izleyin.
- Kullanıcılarınızı kimlik avının riskleri konusunda eğitin ve onlar için kimlik avı egzersizleri uygulayın.
- Mümkün olduğu kadar çok sayıda hizmetin kimlik avına dayanıklı MFA gerektirdiğinden emin olun
- Daima güçlü ve benzersiz parolalar kullanın.
- Yazılımın kurulabilmesi için yönetici kimlik bilgileri sağlanmalıdır.
- Yükseltilmiş veya yönetici ayrıcalıklarına sahip herhangi bir kullanıcı hesabının denetlenmekte olduğundan emin olun.
- Tüm ana bilgisayarlar, düzenli olarak güncellenen antivirüs ve kötü amaçlı yazılımdan koruma yazılımı ile donatılmalıdır.
- Her zaman güvenli bir ağ kullandığınızdan emin olun.
- Kuruluşun dışından e-postalar alırsanız, e-postaya bir başlık eklemeyi düşünün.
- CISA’nın tüm katılımcılara ücretsiz olarak sunulan Otomatik Gösterge Paylaşımı (AIS) programından yararlanın.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin