Microsoft Teams fidye yazılımı sunuyor
Microsoft Teams tekrar manşetlerde yer alıyor ancak bu kez üretkenlik özellikleri nedeniyle değil. Sophos’taki güvenlik araştırmacıları, platformun özellikle vishing (sesli kimlik avı) ve e-posta bombardımanı yoluyla fidye yazılımı yaymak için kullanıldığına dair endişe verici kanıtlar ortaya çıkardı. Sophos’un Yönetilen Tespit ve Yanıt (MDR) ekibi, kurumsal ağlara sızmak için Microsoft Teams’teki güvenlik açıklarından yararlanan ve kurumsal güvenlik açısından önemli endişelere yol açan iki farklı fidye yazılımı dağıtım kampanyası tespit etti.
Saldırılar, STAC5143 ve STAC5777 olarak adlandırılan iki farklı siber suçlu grubuna atfediliyor. Bu grupların kötü amaçlı yazılım dağıtmak için çeşitli teknikler kullandığı gözlemlendi, ancak genel yaklaşım sosyal mühendislik ve Microsoft Teams içindeki yazılım açıklarından yararlanma etrafında dönüyor.
Stratejilerden biri, kısa bir süre içinde, genellikle bir saat içinde, bir ağı büyük bir spam e-posta seli ile bombalamayı içerir. Bu e-postalar genellikle, tıklandığında alıcının sistemine kötü amaçlı yazılım bulaştırmak için tasarlanmış kötü amaçlı bağlantılar içerir. İkinci taktik ise daha sinsidir; saldırganlar Microsoft’un BT destek personeli gibi davranırlar ve sesli kimlik avı çağrıları kullanarak mağdurları hassas bilgileri sağlamaları ve hatta kurumsal ağlarına uzaktan erişim sağlamaları için kandırırlar.
Her iki teknik de bir kuruluşun sistemlerini felce uğratmak için tasarlanmış dosya şifreleyen fidye yazılımı sunmayı amaçlıyor. Fidye yazılımı kurbanın ağına bulaştığında, işletim sistemi ayrıntıları gibi hayati sistem bilgilerini ve kimlik bilgileri, gizli dosyalar ve oturum açma bilgileri gibi değerli verileri toplar. Kötü amaçlı yazılım daha sonra tuş vuruşlarını izlemek, hassas verileri yakalamak ve bunları saldırganların uzak sunucularına geri göndermek için Win API İşlevlerini kullanır. Nihai amaç genellikle veri sızdırmaktır ve bu daha sonra gasp veya daha fazla istismar için kullanılabilir.
Bu olay, siber suçluların Microsoft, Amazon, DHL, FedEx ve diğerleri gibi güvenilir markaların kimliğine büründüğü kimlik avı kampanyalarının artan eğilimine katkıda bulunuyor. Geçtiğimiz yıl boyunca bu tehdit aktörleri, mağdurları cezbetmek için saygın şirketlerin adlarını kullanan iyi hazırlanmış, ikna edici e-postalara güvendiler. E-posta konu satırları değişse de kötü niyetli niyet aynı kalır: Kurbanlara kötü amaçlı yazılım bulaştırmak, hassas verileri çalmak ve sonuçta kurumsal ağların güvenliğini tehlikeye atmak.
Büyük Siber Güvenlik Tedarikçilerinin şifreleri darkweb’e sızdırıldı
Ayrı ama aynı derecede endişe verici bir gelişme olarak, büyük siber güvenlik satıcılarının çalışanlarına ait şifrelerin karanlık ağda sızdırıldığını ortaya koyan yeni bir rapor ortaya çıktı. Cyble Security tarafından yapılan araştırmalar, 14’ten fazla siber güvenlik şirketinin bu ihlalden etkilendiğini ve kimlik bilgilerinin muhtemelen bilgi hırsızı kötü amaçlı yazılım günlüklerinden çalındığını ortaya çıkardı.
Bu kimlik bilgileri yer altı forumlarında 10 ila 21 dolar gibi düşük fiyatlara satılıyor. Satın alınırsa saldırganlara bulut tabanlı yönetim araçları, Ar-Ge veritabanları, Okta, GitHub, AWS, Zoom ve SolarWinds gibi son derece hassas platformlara erişim sağlarlar. Etkilenen siber güvenlik sağlayıcıları arasında CrowdStrike, Exabeam, Fortinet, LogRhythm, McAfee, Palo Alto Networks, Qualys, Rapid7, SentinelOne, RSA Security, Sophos, Tenable, TrendMicro ve Zscaler gibi sektörün en önde gelen isimleri yer alıyor.
Bu sızıntının sonuçları oldukça önemli. Saldırganlar, dahili sistemlere ve bulut platformlarına erişim sayesinde savunmaları aşabilir, ayrıcalıkları artırabilir ve kritik verilere ve fikri mülkiyet haklarına erişim sağlayabilir. Bu tür kimlik bilgilerinin açığa çıkması, siber güvenlik sektörünün kendi içindeki zayıf noktaların altını çiziyor ve daha sıkı güvenlik önlemlerine ve daha gelişmiş tehdit tespit yeteneklerine yönelik aciliyeti daha da artırıyor.
Çözüm
Bu gelişmelerin her ikisi de (Microsoft Teams’in fidye yazılımını yaymak için kullanılması ve büyük siber güvenlik sağlayıcılarından kimlik bilgilerinin sızdırılması), siber saldırıların giderek daha karmaşık hale gelen doğasını vurguluyor. Kuruluşların, kimlik avı girişimlerine, fidye yazılımlarına ve diğer kötü amaçlı faaliyet biçimlerine karşı savunma sağlamak için gerekli güvenlik protokollerine sahip olduklarından emin olarak dikkatli olmaları gerekir. Siber güvenlik ortamı gelişmeye devam ettikçe, hem şirketlerin hem de bireylerin ortaya çıkan tehditler hakkında bilgi sahibi olması ve sistemlerini korumak için proaktif önlemler alması hayati önem taşıyor.
Daha fazla ayrıntı ortaya çıktıkça devam eden bu olaylarla ilgili daha fazla güncelleme için bizi takip etmeye devam edin.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu”nda 500.000’den fazla siber güvenlik profesyoneline katılın!