Çağdaş fidye yazılımı yaklaşımları, zati tehditlere yetişmekte zorlanan güvenlik operasyon merkezi ve BT gruplarının akınları tespit etmelerini ve müdahale etmelerini kıymetli ölçüde zorlaştırıyor. Bu bahis, sadece finansal ve kurumsal prestij için değil, tıpkı vakitte güvenlik takımlarının refahı için de büyük değer arz ediyor.
Raporu yorumlayan Trend Micro Siber Kabahat Araştırma Yöneticisi Bob McArdle, “Gelişmiş Kalıcı Tehdit (APT) kümeleri tarafından mükemmelleştirilmiş ve kanıtlanmış formüller kullanan çağdaş fidye yazılımı hücumları, son derece gayeli, uyarlanabilir ve sinsi bir halde gerçekleşiyor. Nefilim üzere kümeler, dataları çalarak ve değerli kurumsal sistemleri kilitleyerek, son derece kârlı global tertiplere şantaj yapmaya çalışıyor. En son raporumuz, süratle büyüyen yeraltı iktisadının nasıl çalıştığını anlamak ve Trend Micro Vision One üzere tahlillerin bu akınları önlemeye nasıl yardımcı olabileceğini öğrenmek isteyen herkesin okuması gereken bir kaynak” dedi.
Mart 2020 ile Ocak 2021 ortasında incelenen 16 fidye yazılımı kümesinden Conti, Doppelpaymer, Egregor ve REvil, tuzağa düşürdükleri işletme sayısı açısından başı çekerken, Cl0p ise 5 TB ile çevrimiçi olarak depolanan en büyük bilgi hırsızlığına imza attı.
Bilhassa 1 milyar dolar ve üzeri gelir elde eden işletmeleri maksat alan Nefilim kümesi ise en yüksek ortalama hata geliri elde eden küme oldu.
Rapor, Nefilim tarafından gerçekleştirilen atakların ekseriyetle aşağıdaki etaplardan oluştuğunu ortaya koyuyor:
* RDP yahut dışarıya açık öbür HTTP hizmetlerindeki güvenlik açıklarından yararlanılarak elde edilen kimlik bilgileriyle birinci erişim sağlanır.
* Sızma tamamlandıktan sonra, yanal hareketler ve legal yönetici araçları kullanılarak data hırsızlığı ve şifreleme için gaye alınacak pahalı sistemler bulunur.
Cobalt Strike, HTTP, HTTPS ve DNS üzere güvenlik duvarlarından geçebilen protokoller ile bir “eve çağrı” sistemi kurulur.
* Denetim ve Komuta Merkezi (C&C) sunucuları için sağlam barındırma hizmetleri kullanılır.
* Çalınan datalar, daha sonra işletmelere şantaj yapmak için TOR muhafazalı web sitelerinde yayınlanır. Nefilim geçtiğimiz yıl yaklaşık 2 TB bilgi yayınladı.
Kâfi ölçüde bilgi sızdırıldıktan sonra fidye yazılımı manuel olarak başlatılır.
Uzmanlar daha evvel, fidye yazılımı saldırganlarının zımnî kalırken sonuncu gayelerine ulaşmalarına yardımcı olmak için AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync üzere yasal araçları yaygın olarak kullandıklarına dair ikazlarda bulunmuştu. Bu durum, BT ortamının farklı kısımlarından olay günlüklerini inceleyen güvenlik analistlerinin büyük resmi görmesini ve atakları tespit etmesini zorlaştırıyor.
Hürriyet