Ekim 2023'te Britanya Kütüphanesi, Rhysida fidye yazılımı çetesi tarafından yıkıcı bir siber saldırıya uğradı.
170 milyondan fazla öğeden oluşan geniş bir depoya sahip olan kütüphane hâlâ kurtarma sürecinin derinliklerinde yer alıyor ancak yakın zamanda saldırıyı, saldırının etkisini, sonrasını ve öğrenilen dersleri anlatan on sekiz sayfalık bir siber olay incelemesi yayınladı. Rapor yararlı bilgilerle dolu ve çok daha küçük bir kuruluşta güvenlikten sorumlu olsanız bile okumaya değer.
Saldırı ve sonrasında yaşananlar, büyük oyun fidye yazılımının her ölçekteki kuruluş için önde gelen siber tehdit olmaya devam ettiğini ve açıkladığı taktiklerin, 2024 Kötü Amaçlı Yazılımların Durumu raporumuzun Büyük Oyun Fidye Yazılımı bölümünü okuyan herkese tanıdık geleceğini hatırlatıyor.
Fidye yazılımı 28 Ekim 2023'te başlatıldı ancak kütüphane, Rhysida grubunun sistemlerine bundan en az üç gün önce sızdığına inanıyor. Bu üç gün boyunca grup, kütüphanenin “düşmanca keşif” olarak adlandırdığı şeyi gerçekleştirdi ve 600 GB veriyi sızdırdı.
Raporda ayrıca çetenin veritabanlarını kopyalamak için “yerel hizmetleri nasıl ele geçirdiği” de anlatılıyor. Halihazırda kurbanın ağında bulunan araçları kullanmak (Living off the Land olarak bilinen bir teknik), fidye yazılımı çetelerinin saldırı hazırlığı yaparken tespit edilmekten kaçınmasını kolaylaştırır.
Ancak saldırıyla ilgili bilgi birikimini artıran veya bize kolayca gözden kaçan şeyleri hatırlatan bazı ayrıntılar var; bu nedenle rapordan, muhtemelen herhangi bir BT ekibi tarafından yararlı bir şekilde uygulanabilecek bazı dersler seçtim.
1. Karmaşıklık saldırganlara yardımcı oldu
Raporun sayfalarından fırlayan şeylerden biri de kütüphanenin karmaşık altyapısının saldırganlara nasıl yardım ettiği. Rapor, kütüphane ortamını “birçok eski sistemi de içeren alışılmadık derecede çeşitli ve karmaşık bir teknoloji alanı” olarak tanımlıyor. Yepyeni bir girişim için çalışmadığınız sürece, British Library kadar karmaşık olmasa bile, bu tanımda kendi şirket ağınızdan bazılarını tanıma olasılığınız yüksektir.
Bu teknik borç, kütüphanenin güvenlik standartlarına uymasını engelledi, “saldırının etkisinin ciddiyetine katkıda bulundu” ve saldırganlara olması gerekenden daha geniş bir erişim olanağı sundu.
Hepsinden önemlisi, çok fazla karmaşıklık taşımanın kütüphanenin kendini toparlama yeteneği üzerinde yarattığı etkidir:
“Eski altyapıya olan bağımlılığımız, Kütüphanenin saldırıdan kurtulmak için ihtiyaç duyacağı sürenin uzunluğuna en büyük katkıyı sağlayan faktördür. Bu eski sistemlerin çoğu durumda yeni sürümlere taşınması, önemli ölçüde değiştirilmesi ve hatta sıfırdan yeniden oluşturulması gerekecektir; bunun nedeni, ya desteklenmemeleri ve bu nedenle yeniden satın alınamamaları ya da geri yüklenememeleri ya da modern sunucularda veya sistemlerde çalışamayacak olmalarıdır. modern güvenlik kontrolleriyle.”
Sonuç olarak şu sonuca varıyor: “Altyapıyı ve uygulamaları güncel tutarak saldırı vektörünün mümkün olduğunca azaltılmasını sağlama konusunda açık bir ders var.”
2. Uç nokta koruması önemlidir
Karmaşıklık konusu raporda tekrar tekrar ortaya çıkarken, yalnızca tek bir satırda ele alınan başka bir önemli bulgu daha var: etkili uç nokta korumasının önemi.
Kütüphaneye yapılan saldırı ne kadar yıkıcı olsa da daha kötüsü olabilirdi. Saldırı yalnızca kuruluşun sunucularını tehlikeye atmayı başardı, ancak masaüstü ve dizüstü bilgisayarlar, saldırıyı başarılı bir şekilde tespit eden ve önleyen daha modern bir “savunma yazılımı” çalıştırdıkları için bu durumdan kurtuldu.
“Farklı bir yazılım sistemi, dizüstü ve masaüstü bilgisayarlarımızda şifreleme saldırısının gerçekleştirilmesini başarılı bir şekilde tanımladı ve engelledi, ancak sunucu mülkündeki eski savunma yazılımı saldırıya karşı koyamadı.”
Bunun açık anlamı şu: Eğer masaüstü ve dizüstü bilgisayarlarda çalışan sistem aynı zamanda sunucularda da çalışıyor olsaydı, saldırı engellenirdi.
SIEM, EDR ve MDR gibi izleme teknolojileri ne kadar önemli hale gelse de, ister Windows, Mac veya Linux makineleri olsun, her uç nokta ve sunucunun, bunları gerçekleştirebilen yeni nesil bir antivirüs motoruna ihtiyaç duyduğu gerçeği bugün de her zaman olduğu gibi geçerliliğini koruyor. bilinen tehditleri tespit edip durdurun ve kötü amaçlı şifreleme gibi şüpheli davranışları engelleyin.
3. Fidye yazılımı 7/24 çalışır
Raporda ayrıca saldırıyı durdurmak için başka bir potansiyel fırsattan da bahsediliyor. Bu belgede “26 Ekim 2023 saat 01:15'te Kütüphanenin BT Güvenlik Yöneticisinin Kütüphane ağındaki olası kötü amaçlı faaliyetlere karşı nasıl uyarıldığı” anlatılmaktadır. BT yöneticisi harekete geçti, durumu izledi ve ertesi sabah olay tırmandı. Etkinlik günlüklerinin daha sonra yapılan ayrıntılı analizinde “açıkça kötü niyetli herhangi bir etkinlik tespit edilmedi.”
Saldırının ardından yapılan soruşturmalar, “25 Ekim 2023 Çarşamba günü saat 23:29'da Kütüphane ağında harici bir varlığın varlığının kanıtlarını tespit etti” ve “alışılmadık derecede yüksek miktarda veri trafiğinin (440 GB) 28 Ekim 2023 sabahı 1.30'da Kütüphane mülkünden ayrıldığını tespit etti” Ekim.” Bu, saldırganların “düşmanca keşiflerini” tespit etmek için daha fazla fırsat olduğunu gösteriyor.
Bunu, kütüphanedeki BT ekibini ikinci kez tahmin etmek için değil, fidye yazılımı çetelerinin nasıl çalıştığına dair önemli bir noktayı göstermek için vurguluyoruz. Görünen o ki, ilgili herkes olayı çok ciddiye aldı ve gerekli önlemleri aldı, biz de onlara sempati duyuyoruz.
Dikkatinizi çekmek istediğimiz şey, her üç olayın da gece yarısı meydana gelmiş olmasıdır.
Rhysida gibi gruplar izlerini kapatmak için önemli çabalar gösteriyor ve muhtemelen hedeflerinde personel sayısının en az olduğu zamanlarda çalışıyorlar. Ancak, ne kadar gizli olsalar bile, mesai saatleri dışında yaptıkları faaliyetler, yetenekli güvenlik personelinin onları tespit etmesi için fırsatlar yaratıyor. Savunmacıların sorunu, yetenekli güvenlik personelinin saldırganlarla aynı anda çalışması gerekmesidir.
Pek çok kuruluş için bunu başarmanın tek pratik yolu, Yönetilen Hizmet Sağlayıcısı veya Yönetilen Tespit ve Yanıt (MDR) gibi bir hizmettir.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN'ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR'yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri alma tekniği kullanan ThreatDown EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.