Fidye yazılımı grupları, kurbanların verilerini şifrelemek için kötü amaçlı yazılım dağıtan ve şifre çözme anahtarları için fidye ödemesi talep eden organize siber suç kuruluşlarıdır.
Fidye yazılımı gruplarının yükselişi, dünya çapında çeşitli sektörleri ve kritik altyapıyı etkileyen fidye yazılımı olaylarının artmasına neden oldu.
Microsoft’taki siber güvenlik araştırmacıları yakın zamanda “Storm-0501” fidye yazılımı grubunun hibrit bulut ortamlarına aktif olarak saldırdığını keşfetti.
Storm-0501 Bulut Ortamlarına Saldırmak
Storm-0501, çeşitli ‘ABD sektörleri’ ve ‘kritik altyapı’ genelinde “hibrit bulut ortamlarını” hedef alan karmaşık bir “çok aşamalı saldırı” başlatan, “mali motivasyonlu” bir tehdit grubudur.
Grup, şirket içi sistemlere ilk erişimi elde etmek için “Zoho ManageEngine”, “Citrix NetScaler” ve “ColdFusion 2016″daki güvenlik açıklarından yararlandı.
Daha sonra yanal hareket ve kimlik bilgisi için “Impacket’s SecretsDump” ve “Cobalt Strike” gibi araçları kullandılar.
Saldırganlar, “Microsoft Entra ID” (eski adıyla Azure AD) kimliklerini manipüle etmelerine olanak tanıyan “Microsoft Entra Connect Sync” hesaplarını ele geçirerek “şirket içi” ortamdan “bulut ortamlarına” geçtiler.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
‘Windows ikili dosyaları’ olarak gizlenen ‘Rclone’u kullanarak verileri sızdırdılar ve birden fazla fidye yazılımı çeşidini (“Hive”, “BlackCat” ve “LockBit” dağıttılar.
Microsoft tavsiyesi, Storm-0501’in taktiklerinin hibrit bulut kurulumlarında artan güvenlik zorluklarını vurguladığını ve hem şirket içi hem de bulut altyapılarında sağlam savunma ihtiyacını vurguladığını belirtiyor.
Bu grup “MFA’nın devre dışı bırakıldığı ve Genel Yönetici rollerine sahip hesapları” hedefler.
Saldırganlar kalıcı arka kapılar oluşturmak için çeşitli teknikler kullanıyor ve aşağıda bunlardan bahsettik: –
- Parola senkronizasyonundan yararlanma
- Bulut oturumunun ele geçirilmesi
- AADInternals PowerShell modülünden yararlanma
Yönetilen etki alanlarını birleştirilmiş etki alanlarına dönüştürebilir, SAML belirteçlerini değiştirebilir ve MFA’yı atlayabilirler.
Bazı durumlarda, tehdit aktörleri gelişmiş şifreleme kullanan Rust tabanlı bir tür olan “Ambargo fidye yazılımını” dağıtır ve Grup “Politika Nesneleri (GPO’lar)” ve “zamanlanmış görevler” aracılığıyla dağıtılır.
Fidye yazılımı dosyaları şifreler, uzantıları “.partial”, “.564ba1” veya “.embargo” olarak değiştirir ve çifte gasp taktiği kullanır.
Azaltmalar
Aşağıda tüm azaltımlardan bahsettik: –
- En az ayrıcalığı kullanın ve ayrıcalıklı hesapları denetleyin.
- Cihaz uyumluluğu ve güvenilir IP’ler için Koşullu Erişimi etkinleştirin.
- Entra ID senkronizasyon hesaplarını güvenilmeyen IP’lerden kısıtlayın.
- Kritik uygulamalar için kimlik avına dayanıklı kimlik doğrulamayı kullanın.
- Active Directory Federasyon Hizmetlerine yönelik en iyi uygulamaları izleyin.
- Azure AD güvenliğinin en iyi uygulamalarına bakın.
- Bulut Uygulamaları uyarıları için Defender’ı açın.
- Birleştirildiğinde Entra MFA’nın atlanmasını önleyin.
- Federasyon dışı alan adlarında oturum açmayı engelleyin.
- Riskli oturum açma işlemleri için Entra ID korumasını etkinleştirin.
- Hizmetleri güvence altına almak için kurcalamaya karşı korumayı kullanın.
- Onaylanmamış BT araçlarını AppLocker ile engelleyin.
- Ekstra koruma için EDR’yi blok modunda çalıştırın.
- Defender’da otomatik araştırmayı etkinleştirin.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin