Bir bulut veri yönetimi şirketi olan Rubrik, Clop’un kötü şöhretli bir GoAnywhere kusurundan yararlandığını ortaya çıkardı.
Bulut veri yönetimi konusunda uzmanlaşmış bir siber güvenlik şirketi olan Rubrik, bazı sistemlerine Clop fidye yazılımı grubu tarafından sızıldığını ortaya çıkardı. Rubrik, Clop tarafından GoAnywhere dosya aktarım yazılımındaki rezil bir sıfır gün güvenlik açığı aracılığıyla saldıran birçok şirketten biridir.
CEO’su Michael Mestrovich’e göre saldırı Şubat ayında başladı. Salı günü yayınlanan bir blog gönderisinde, “GoAnywhere güvenlik açığının bir sonucu olarak, üretim dışı BT test ortamlarımızdan birinde sınırlı miktarda bilgiye yetkisiz erişim tespit ettik” dedi. Mestrovich, “üçüncü taraf adli tıp uzmanlarının yardımıyla yürütülen mevcut soruşturmamıza göre, yetkisiz erişim, herhangi bir Rubrik ürünü aracılığıyla müşterilerimiz adına güvence altına aldığımız hiçbir veriyi İÇERMEZ” iddiasındadır.
Saldırganların, müşteri ve ortak şirket adları, iş iletişim bilgileri ve Rubrik distribütörlerinden bazı satın alma siparişleri dahil olmak üzere dahili satış verilerini ele geçirdiğini de ortaya çıkardı. Mestrovich’e göre, Rubrik tarafından kullanılan üçüncü taraf müfettişler, Sosyal Güvenlik Numaraları (SSN’ler), mali hesaplar ve ödeme kartı numaraları gibi hiçbir kişisel bilginin tehlikeye atılmadığını doğruladı.
CVE-2023-0669 olarak izlenen GoAnywhere güvenlik açığı, Yüksek önem derecesine sahiptir ve her federal bilgi sisteminin acilen yama yapması gereken, aktif olarak yararlanılan güvenlik açıklarının bir listesi olan CISA’nın Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna dahil edilmiştir. Katalog, yama uygulamalarını önceliklendirmeye çalışan BT yöneticileri için önemli bir gidilecek listedir.
Rubrik’e yapılan saldırı, bir acil durum yaması mevcut olmadan önce gerçekleşti.
Clop, GoAnywhere güvenlik açığı sayesinde verilerini çaldığı 130 kuruluştan çekinmedi. Geçen hafta çete, kurbanlara şantaj e-postaları göndermeye ve bunları kendi sızıntı sitesine eklemeye başladı. Bilinen kurbanlar arasında Rubrik, Hatch Bank ve Community Health Systems (CHS) yer alır.
GoAnywhere kullanan kuruluşlar güvenlik düzeltme ekini hemen indirmelidir. Fortra ayrıca, şirketin müşteri portalı aracılığıyla erişilebilen danışma belgesinde teknik bir hafifletme sağladı.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE