Kötü şöhretli WanTocry fidye yazılımı grubu, ağlara sızmak ve yaygın saldırıları başlatmak için yanlış yapılandırılmış Sunucu Mesaj Bloğu (SMB) hizmetlerinden yararlanır.
KOBİ’lerde zayıf kimlik bilgileri, modası geçmiş yazılım ve zayıf güvenlik konfigürasyonları gibi zayıf yönler, saldırganlara kamuya açık olan ağ sürücülerini ve NAS (ağa bağlı depolama) cihazlarını kullandıkları kolay bir giriş noktası sağlıyor.
İçeri girdikten sonra, siber suçlular ağlar boyunca yanal olarak hareket edebilir, ayrıcalıkları artırabilir ve kritik dosyaları, sakatlık kuruluşları şifreleyen kötü amaçlı yükler dağıtabilir.
Tehdit aktörleri, yetkisiz erişim elde etmek, yanal hareketi yürütmek ve fidye yazılımı yükleri dağıtmak için genellikle zayıf kimlik doğrulama, modası geçmiş yazılım veya varsayılan yapılandırmalar nedeniyle maruz kalan SMB hizmetlerinden yararlanır.
İçeri girdikten sonra, saldırganlar ağlar arasında yayılmak, kritik verileri şifrelemek ve operasyonları bozmak için EternalBlue gibi güvenlik açıklarından yararlanır. Bu gelişen tehditleri azaltmak için SMB hizmetlerinin uygun şekilde güvence altına alınması şarttır.
Aralık 2023’ten bu yana aktif olan WantTocry fidye yazılımı grubu, yakın zamanda operasyonlarını artırdı, ağlara sızmak, kritik dosyaları şifrelemek ve ağır fidye talep etmek için açıkta kalan SMB hizmetlerini kullandı. Saldırıları, basit yanlış yapılandırmaların nasıl felaket sonuçlarına yol açabileceğine dair korkunç bir hatırlatmadır.
Wantocry nasıl SMB güvenlik açıklarından yararlanır
WanTocry fidye yazılımı grubu, zayıf veya varsayılan kimlik bilgilerine sahip sistemleri tehlikeye atmak için kaba kuvvet tekniklerinden yararlanan iyi düzenlenmiş bir saldırı stratejisi kullanır.
Grup, SSH, FTP, RPC ve VNC gibi diğer ağ protokollerinin yanı sıra maruz kalan SMB hizmetlerini hedeflemek için bir milyondan fazla parola olan büyük bir veritabanı kullanır.
Bir ağın içine girdikten sonra, saldırganlar paylaşılan sürücüleri eşleştirir ve yapılandırır ve dosyaları yerel sistemlerde iz bırakmadan doğrudan ağ üzerinden şifreler. Bu yaklaşım sadece hasarı en üst düzeye çıkarmakla kalmaz, aynı zamanda tespit ve adli analizi de karmaşıklaştırır.
Mağdurlar, “.want_to_cry” uzantısını taşıyan şifreli dosyalar ve “! Want_to_cry.txt” başlıklı bir fidye notu ile bırakılır. Not, genellikle kurbanları telgraf veya Tox gibi şifreli mesajlaşma platformlarına yönlendiren ödeme ve iletişim bilgileri için talimatlar sunar.
Seqrite raporuna göre, bir saldırı tipik olarak keşifle başlar, saldırganlar genellikle TCP bağlantı noktası 445’te maruz kalan SMB bağlantı noktalarına sahip sistemler için interneti tararlar. Bir kez tanımlandıktan sonra, kaba bir saldırı saldırısı başlatırlar ve geniş bir saldırı başlatırlar. Şifrelerin Sözlüğü.
Bir sisteme başarıyla sızdıktan sonra, kritik verileri bulmak için paylaşılan kaynakları numaralandırarak ağ boyunca yanal olarak hareket ederler.
Son olarak, saldırganlar, paylaşılan sürücülerdeki dosyaları uzaktan şifreleyerek yüklerini yürütür ve yerel ayak izini geride bırakmaz.
SMB hizmetlerini yanlış yapılandırmanın ve uygun kimlik doğrulaması olmadan bunları internete maruz bırakmanın sonuçları şiddetli olabilir. Saldırganlar, hassas verilere erişmek ve bunları dışarı atmak için bu güvenlik açıklarından yararlanarak potansiyel ihlallere yol açabilir.
Fidye yazılımı saldırıları, kritik dosyaları şifreleyebilir ve ödeme yapmadan erişilemez hale getirebilir.
İyileşme çabaları önemli operasyonel aksamalara neden olabilir, bu da kesinti süresine, verimliliğe ve finansal kayıplara yol açabilir. Yüksek profilli bir saldırı, bir kuruluşun itibarına zarar verebilir, müşteri güvenini ve güvenini aşındırır.
SMB istismarlarına karşı koruma
Maruz kalan SMB hizmetlerinin ortaya koyduğu riskleri azaltmak için, siber güvenlik uzmanları aşağıdaki önlemleri önerir:
- Gereksiz SMB hizmetlerini devre dışı bırakın: SMB aktif olarak kullanılmıyorsa, saldırı yüzeyini azaltmak için kapatın.
- Güçlü kimlik doğrulaması uygulayın: SMB erişimi için karmaşık şifreler ve çok faktörlü kimlik doğrulama gerektirir.
- Kamu Erişimini Kısıtlayın: SMB bağlantı noktalarına harici erişimi engellemek için güvenlik duvarlarını kullanın (445 ve 139).
- Düzenli güncellemeler ve yama: Bilinen güvenlik açıklarını ele almak için tüm sistemlerin en son yazılım sürümlerini çalıştırdığından emin olun.
- Ağ Segmentasyonu: Bir ihlal durumunda fidye yazılımlarının yayılmasını sınırlamak için kritik sistemleri izole edin.
- Gelişmiş İzleme: Şüpheli faaliyetleri tanımlamak ve bunlara yanıt vermek için davranış tabanlı algılama araçlarını dağıtın.
WanTocry fidye yazılımı grubunun SMB güvenlik açıklarından yararlanması, kuruluşların siber güvenlik hijyeni önceliklendirmesi için kritik ihtiyacı vurgulamaktadır. Basit yanlış yapılandırmalar, saldırganların savunmaları atlamasını ve önemli hasar vermesini sağlayarak geniş kapsamlı sonuçlara sahip olabilir.
Fidye yazılımı saldırıları sofistike olarak arttıkça, SMB hizmetlerini güvence altına almak artık isteğe bağlı değil – bu bir zorunluluktur. Kuruluşlar, proaktif güvenlik önlemlerini benimseyerek ve bir uyanıklık kültürünü geliştirerek, verilerini, operasyonlarını ve itibarlarını sürekli fidye yazılımı tehdidinden koruyabilir.
Uzlaşma Göstergeleri (IOCS)
Organizasyonlar, WanTocry ile ilişkili aşağıdaki IOC’ler için uyanık olmalıdır:
- IP adresleri: 194[.]36[.]179[.]18, 194[.]36[.]178[.]133
- Tespit İmzası: HEUR: Trojan.win32.Encrsd (paylaşılan sürücü şifreleme etkinliği için).
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin