MSI’a yapılan fidye yazılımı saldırısından sonra sızan veriler, Intel Boot Guard’ı atlamak için kullanılabilecek özel anahtarlar içerir.
7 Nisan 2023’te MSI (Micro-Star International), bilgi sistemlerinin bir kısmına yönelik bir siber saldırıyı doğrulayan bir bildiri yayınladı. Açıklama çok fazla somut bilgi vermese de şu pasaj önemlidir:
“MSI, kullanıcıların ürün yazılımı/BIOS güncellemelerini yalnızca resmi web sitesinden almalarını ve resmi web sitesi dışındaki kaynaklardan dosya kullanmamalarını istiyor.”
Mayıs ayındaki fidye yazılımı incelememizde belirttiğimiz gibi, Tayvanlı bilgisayar parçaları üreticisi MSI, fidye yazılımı çetesi Money Message’ın kurbanı oldu. Money Message, hem Windows hem de Linux sistemlerini hedefleyen yeni bir fidye yazılımıdır. Nisan ayında suçlular, çoğu ABD’de ve MSI dahil olmak üzere çeşitli sektörlerden en az 10 kurbanı vurmak için Money Message’ı kullandı.
Money Message çetesi, saldırı sırasında donanım yazılımı, kaynak kodu ve veritabanları dahil olmak üzere 1,5 TB veri çaldığını iddia etti.
BleepingComputer’ın izniyle görüntü
4 milyon dolarlık fidye talebi karşılanmayınca Money Message, veri sızıntısı sitesinde MSI verilerini sızdırmaya başladı.
BleepingComputer’a göre, bir Para Mesajı operatörü, bir MSI temsilcisiyle yaptığı sohbette şunları söyledi:
“Yöneticinize, bios geliştirmek için çerçeve de dahil olmak üzere MSI kaynak koduna sahip olduğumuzu ve ayrıca bu BIOS’un herhangi bir özel modülünde oturum açabilen ve bu bios ile PC’ye kurabilen özel anahtarlarımız olduğunu söyleyin.”
Araştırmacılar artık çalınan verilerin önemini çözmeye başlıyor.
Sızan veriler, bazıları Intel Boot Guard anahtarları gibi görünen özel anahtarlar içerir. İmza anahtarlarına sahip olmak, potansiyel olarak bir saldırganın Intel Önyükleme Korumasını atlayacak sahte üretici yazılımı güncellemeleri oluşturmasına olanak tanır. Intel Önyükleme Koruması, kişisel bilgisayarları sahte UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi) ürün yazılımı çalıştırmaya karşı korumayı amaçlayan donanım tabanlı bir teknolojidir.
Atlama, bir saldırgana bir sisteme tam erişim, güvenli verilere erişme veya bunları herhangi bir sayıda kötü amaçlı amaç için kullanma olanağı sağlayabilir. Önyükleme Koruması, UEFI Güvenli Önyükleme için Microsoft Windows gereksinimlerini karşılayan donanım tabanlı önyükleme bütünlüğünün önemli bir öğesidir. Güvenli Önyükleme, bilgisayarınızın yalnızca bilgisayar üreticisi tarafından güvenilen yazılım kullanılarak önyüklendiğinden emin olmanızı sağlayan bir UEFI seçeneğidir.
Binarly, aygıt yazılımı anahtarları sızdırılmış 57 MSI PC sisteminin ve Intel Boot Guard BPM/KM anahtarları sızdırılmış 166 sistemin bir listesini derledi. Bunların arasında Lenovo ve HP gibi ev isimleri var.
Satıcı web sitelerinden güncelleme
Vahşi doğada bu tür bir saldırı bulunmamasına ve Binarly, uzun ve ayrıntılı bir analizden sonra, “sızan Boot Guard anahtarlarının, yapı hatlarında hata ayıklamaya yönelik olduğunu ve büyük olasılıkla bu tür cihazları vahşi ortamda asla görmeyeceğiz” diyor. üretici yazılımı/BIOS güncellemelerini yalnızca resmi satıcının web sitelerinden edinme önerisi sağlamdır.
Ayrıca herhangi bir nedenle yeni aygıt yazılımına ihtiyacınız olduğunu iddia eden kimlik avı e-postalarına da dikkat edin. Muhtemelen kötü amaçlı yazılım yüklemeniz için sizi kandırmaya çalışan kaynaklardan geliyorlar. Bir PC kullanıcısı olarak bu olayla ilgili yapabileceğiniz pek bir şey yok ama ihtiyatlı olun. Herhangi bir gelişme olması veya daha fazla haber olması durumunda sizi burada bilgilendirmeye devam edeceğiz.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden bulaşmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE