Microsoft Çarşamba günü, Uç Nokta için Microsoft Defender’daki kullanıcı sınırlama özelliğinin, Haziran 2023’ün başlarında bilinmeyen bir endüstriyel kuruluşu hedef alan Akira fidye yazılımı aktörleri tarafından yapılan “büyük ölçekli uzaktan şifreleme girişimini” engellemeye yardımcı olduğunu söyledi.
Teknoloji devinin tehdit istihbarat ekibi, operatörü Storm-1567 olarak takip ediyor.
Saldırıda, savunmadan kaçınma taktiği olarak Uç Nokta için Microsoft Defender’a dahil edilmemiş cihazlardan yararlanılırken, aynı zamanda güvenliği ihlal edilmiş bir kullanıcı hesabı kullanılarak cihazların şifrelenmesinden önce bir dizi keşif ve yanal hareket etkinliği gerçekleştirildi.
Ancak yeni otomatik saldırı engelleme özelliği, ihlal edilen hesapların “ağdaki uç noktalara ve diğer kaynaklara erişmesinin engellenmesi, saldırganların hesabın Active Directory durumuna veya ayrıcalık düzeyine bakılmaksızın yatay olarak hareket etme kabiliyetinin sınırlanması” anlamına geliyordu.
Başka bir deyişle amaç, tüm gelen ve giden iletişimi kesmek ve insan tarafından gerçekleştirilen saldırıların ağdaki diğer cihazlara erişimini yasaklamaktır.
Redmond ayrıca, kurumsal uç nokta güvenlik platformunun, Ağustos 2023’te bir tıbbi araştırma laboratuvarına yönelik yanal hareket girişimlerini bozduğunu ve saldırganın, takip eylemleri için varsayılan alan adı yöneticisi hesabının şifresini sıfırladığını söyledi.
Microsoft, “Yüksek ayrıcalıklara sahip kullanıcı hesapları, saldırganlar için tartışmasız en önemli varlıklardır” dedi. “Geleneksel çözümler kullanan ortamlarda güvenliği ihlal edilmiş etki alanı yönetici düzeyindeki hesaplar, saldırganlara Active Directory’ye erişim sağlar ve geleneksel güvenlik mekanizmalarını bozabilir.”
“Bu nedenle, güvenliği ihlal edilmiş bu kullanıcı hesaplarının tanımlanması ve kontrol altına alınması, saldırganlar ilk erişimi elde etse bile saldırıların ilerlemesini önler.”