Küresel bir Yönetilen Tespit ve Yanıt (MDR) güvenlik hizmetleri sağlayıcısı olan eSentire, yakın zamanda gerçekleşen bir siber saldırı dalgasında, kötü şöhretli LockBit Fidye Yazılımı Çetesi’nin bağlı kuruluşları tarafından düzenlenen üç ayrı fidye yazılımı saldırısını engelledi.
Rusya bağlantılı bu suç grubu, hedef ağlara sızmak ve gizlice fidye yazılımı saldırıları gerçekleştirmek için Uzaktan İzleme ve Yönetim (RMM) araçlarını kullanarak giderek daha karmaşık hale gelen bir işleyiş tarzı benimsedi.
eSentire’ın zamanında müdahalesi, etkilenen kuruluşlar için önemli aksamaları ve mali kayıpları önledi.
Hizmet Olarak Fidye Yazılımı (RaaS) modeli altında faaliyet gösteren LockBit, 2019 sonlarında ortaya çıkmasından bu yana başta ABD’li kurbanlardan olmak üzere tahminen 91 milyon dolarlık fidye ödemesi toplayarak dünya çapında en endişe verici ve kârlı fidye yazılımı gruplarından biri haline geldi. .
Bu yıkıcı çete, SocGholish gibi tarayıcı tabanlı saldırılar, İnternet’e açık sunuculardan yararlanma ve geçerli kimlik bilgilerini çalma gibi çeşitli giriş yöntemleri kullanıyor.
Çeşitli saldırı türleri ve bunların nasıl önleneceği hakkında bilgi edinmek için Canlı DDoS Web Sitesi ve API Saldırı Simülasyonu web seminerine katılın.
Şimdi Katıl
LockBit’in ayırt edici özelliği, Arazide Yaşama taktiklerini ustaca kullanması, geleneksel kötü amaçlı yazılımlardan kaçınması ve hedef ortamlarda halihazırda mevcut olan meşru RMM araçlarını kullanmasıdır.
Bu yaklaşım, özellikle RMM araçlarına bulut aracılığıyla erişilebildiğinde, bunların karışmasını, tespitten kaçmasını ve ilişkilendirmeyi karmaşık hale getirmesini sağlar.
eSentire’ın Tehdit Müdahale Birimi (TRU), LockBit’in fidye yazılımı dağıtmayı amaçladığı üç farklı olayı ayrıntılı olarak açıkladı:
Bir MSP’ye Yönelik Saldırılar: LockBit üyeleri bir Yönetilen Hizmet Sağlayıcıyı (MSP) hedef alarak MSP’nin alt müşterilerine erişim sağladı ve fidye yazılımı dağıtmaya çalıştı.
Saldırganlar, kötü niyetli faaliyetlerini kolaylaştırmak için AnyDesk, Atera ve ConnectWise RMM gibi RMM araçlarını kullandı.
Ev Dekoru Üreticisi: Bu olayda LockBit bağlı kuruluşları, Windows hizmetlerini devre dışı bırakarak, PsExec gibi araçları kullanarak ve AnyDesk aracılığıyla kalıcılık sağlamaya çalışarak bir üretim şirketini sekteye uğrattı.
Depolama Malzemeleri Üreticisi: LockBit, fidye yazılımını depolama malzemeleri üreticisinin ağına yaymak için ConnectWise RMM’yi kurdu. Hedefin halihazırda bu RMM aracına sahip olmasına rağmen, saldırganlar şüpheyi en aza indirmek için kendi kopyalarını tanıttılar.
RMM araçlarını ele geçiren ve çalışanlara ve müşterilere fidye yazılımı saldırıları düzenleyen siber suçlulara karşı korunmak için kuruluşlara şunları yapmaları tavsiye edilir:
- RMM erişimi için iki faktörlü kimlik doğrulamayı ve güçlü, benzersiz parolaları uygulayın.
- Güvenilir IP’ler için Erişim Kontrol Listelerini (ACL’ler) zorunlu kılın ve dolaşımdaki istemciler için VPN kullanımını teşvik edin.
- RMM sistem erişimi için istemci SSL sertifikalarını göz önünde bulundurun.
- Kişiselleştirilmiş kimlik avı girişimlerini caydırmak için iş ilanlarında yazılım yığınlarını açığa çıkarırken dikkatli olun.
- RMM erişimi olan çalışanlar için kimlik avı farkındalığı eğitimi düzenleyin.
- BT ortamlarını korumak için 7/24 Yönetilen Tespit ve Yanıt çözümünden yararlanın.
- Yazılım uygulamaları ve üçüncü taraf araçlar için zamanında yama ve güncelleme yapılmasını sağlayın.
- Müşterileri siber güvenlik konusunda eğitin ve işbirliği içinde güvenlik politikaları oluşturun.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.