Sygnia’daki siber güvenlik uzmanları, sanallaştırılmış ortamları, özellikle de VMware ESXi altyapısını hedefleyen fidye yazılımı gruplarının geliştirmeyle ilgili olarak kullandığı stratejilerde dikkate değer bir değişiklik olduğunu fark etti.
Olay müdahale ekibi, tehdit aktörlerinin etkilerini en üst düzeye çıkarmak için sanallaştırma platformlarındaki yanlış yapılandırmalardan ve güvenlik açıklarından yararlanmasıyla bu saldırılarda istikrarlı bir artış olduğunu fark etti.
Sygnia’nın analizi, LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat ve Cheerscrypt gibi kötü şöhretli fidye yazılımı gruplarının bu saldırı vektörünü sıklıkla kullandığını ortaya koyuyor.
Bu tehdit aktörleri, hedeflenen sistemleri şifrelemeden önce veri sızmasına odaklanan yeni bir saldırı modelini benimsedi.
Bu fidye yazılımı saldırılarının işleyiş şekli, sanallaştırılmış ortama ilk erişimin sağlanmasını, ayrıcalıkların artırılmasını ve değerli verileri tanımlamak için kapsamlı keşif yapılmasını içerir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Tehdit aktörleri daha sonra bu verileri sızdırarak, hedeflenen kuruluşların itibarına ek zarar vermek için mevcut dosyaları şifrelemelerine ve çalınan bilgileri kamuya açık hale getirmelerine olanak tanır.
Bu saldırıların en endişe verici yönlerinden biri, tehdit aktörlerinin fidye yazılımı yürütme aşamasında gerçekleştirdiği benzersiz eylemlerdir.
Sygnia’nın araştırmaları, saldırganların şifreleme işlemini başlatmadan önce tüm sanal makineleri kapatarak ESXi dosya sisteminin ‘/vmfs/volumes’ klasörünü hedef aldığını ortaya çıkardı. Bu taktik maksimum aksama sağlar ve mağdurlar için kurtarma çabalarını daha zorlu hale getirir.
Bu, sanallaştırma altyapısının düzenli olarak yamalanmasını ve güncellenmesini, güçlü erişim kontrollerinin uygulanmasını, şüpheli etkinliklerin izlenmesini ve sağlam bir olay müdahale planının uygulamaya konulmasını içerir.
ESXi altyapısına yönelik bir fidye yazılımı saldırısı, bir kuruluşun varlığını tehdit edebilecek kapsamlı veri kaybı, operasyonel kesinti, mali hasar, veri hırsızlığı ve yasal ve itibar kaybıyla birlikte felaketle sonuçlanabilir.
Temel saldırı vektörleri yamalanmamış güvenlik açıkları, yanlış yapılandırmalar, kimlik avı, güvenliği ihlal edilmiş kimlik bilgileri ve güvenli olmayan iş yükleridir.
Kuruluşların, ESXi altyapılarını tehlikeye atan fidye yazılım riskini azaltmak için zamanında yama uygulama, sağlamlaştırma, ağ bölümleme, güçlü kimlik doğrulama ve iş yükü koruması dahil olmak üzere çok katmanlı bir güvenlik yaklaşımı benimsemesi gerekiyor.
Fidye yazılımı grupları taktiklerini uyarlamaya devam ettikçe, sanallaştırılmış ortamlara güvenen kuruluşların siber güvenlik çabalarında uyanık ve proaktif kalması çok önemli.
İşletmeler, en son tehditler hakkında bilgi sahibi olarak ve etkili savunma stratejileri uygulayarak, kritik varlıklarını daha iyi koruyabilir ve bu yıkıcı saldırıların kurbanı olma riskini en aza indirebilir.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın