BlackBasta fidye yazılımı grubu, silah üreticisi Rheinmetall’e yönelik bir siber saldırıyı sızıntı sitesinde üstlendi.
19 Mayıs 2023 Cuma günü, Alman silah üreticisi Rheinmetall, özel sektördeki yan kuruluşlarından birinde bir siber olayı kabul etti. BlackBasta fidye yazılımı grubu, sızıntı sitesi aracılığıyla saldırının sorumluluğunu üstlendi.
Rheinmetall’in ana faaliyetleri otomobil endüstrisi ve silah üretimi olup, kendisini dünyanın en büyük askeri araç ve mühimmat üreticilerinden biri olarak tanımlamaktadır.
Şirket, saldırının silah bölümündeki üretimi etkilemediğini söyledi, ancak Alman medyası saldırının bir yan kuruluşla sınırlı olmadığını bildirdi.
Köln savcılığının Siber Suçlar Merkezi ve İrtibat Noktası (ZAC NRW) sözcüsü, akşamın erken saatlerinde meydana gelen bir olayla ilgili bilgileri doğruladı. Soruşturmanın halen devam ettiği göz önüne alındığında, saldırının ciddiyeti hakkında bilgi veremediler.
BlackBasta’nın büyük ölçüde Rusça konuşulan bir ülkede konuşlandırıldığına inanılsa da, Rusya ile Ukrayna arasında devam eden çatışmaya rağmen saldırının silah endüstrisine yönelik olması pek olası değil. BlackBasta’nın temel amacı finansal açıdan çekici hedefler bulmaktır. Almanya’daki fidye yazılımıyla ilgili raporumuzda da belirttiğimiz gibi, geçen yıl Black Basta Almanya’daki hedefleri beğendi ve orada Birleşik Krallık veya Fransa’dakinden çok daha sık saldırılar düzenledi.
Yalnızca önde gelen küresel fidye yazılımı tehdidi olan LockBit, geçen yıl Almanya’da daha fazla bilinen saldırıya sahip.
BlackBasta, çalışma şekli açısından diğer fidye yazılımı gruplarından çok farklı değildir. Diğerlerine benzer şekilde, çetenin saldırıları sıklıkla kimlik avı saldırıları yoluyla kazanılan ilk erişimle başlar. Tipik bir saldırı, bir zip dosyasında kötü amaçlı bir belge içeren bir e-posta ile başlayabilir. Ayıklamanın ardından belge, arka kapı erişimi oluşturmak ve bir komut ve kontrol sunucusuna şifreli bir bağlantı kuran SystemBC’yi dağıtmak için Qakbot bankacılık truva atını yükler. Oradan, ağ keşfi ve ek araçlar dağıtmak için CobaltStrike kurulur.
Bugünlerde fidye yazılımı grupları için kapsayıcı eğilim olduğu gibi, Black Basta’nın birincil hedefi, kurbanlarına sızdırma tehdidini elinde tutabilmek için verileri çalmak. Veriler genellikle belirli dosyaları filtreleyen ve bir bulut hizmetine kopyalayan komut satırı programı Rclone kullanılarak çalınır. Veriler kopyalandıktan sonra, fidye yazılımı dosyaları şifreler ve onlara “.basta” uzantısını verir, birim gölge kopyalarını siler ve etkilenen cihazlarda readme.txt adlı bir fidye notu sunar. Black Basta kullanan saldırganlar, fidye yazılımlarını çalıştırmadan önce kurbanın ağında iki ila üç gün aktif olabilir.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE