Geçen yaz, bir hizmet olarak fidye yazılımı (RaaS) grubu REvil, kayıtlara geçen en etkili fidye yazılımı saldırılarından birini başlatmak için Kaseya’nın yazılımındaki bir güvenlik açığından yararlandı. Europol o yıl grubun yedi üyesini tutukladı ve ABD’nin harekete geçme taleplerinin ardından Rusya, Ocak ayında 14 tutuklama ile aynı şeyi yaptı.
Ancak Rusya’nın tutuklanmasından iki hafta sonra kötü amaçlı yazılım araştırma firması ReversingLabs, REvil implantlarının sayısının gerçekten arttığını söylüyor. Bu makale, gelişen bir RaaS tehdit ortamının neden ve nasıl bir adım önünde olunacağını araştırıyor.
RaaS: Başarısız Olamayacak Kadar Büyük?
RaaS iş modeli, giderek daha fazla yerleşik ve profesyonel suç çeteleri tarafından desteklenmektedir. A son fidye yazılımı raporu FBI, CISA, NCSC, ACSC ve NSA tarafından ortaklaşa yayınlanan RaaS ağlarının karmaşıklığını vurguladı; birlikte çalıştıkları geliştiriciler, bağlı kuruluşlar ve serbest çalışanlar; ve siber saldırıları belirli gruplara veya bireylere atfetmenin zorluğu. Bu ağdan tutuklamalar yoluyla bir kişiyi – ya da aslında 20 üyeyi – çekmenin etkisi küçük görünüyor. İş modeli, inanılmaz derecede kârlı kalmaya devam ederken bozulmaya karşı dirençlidir.
Aynı zamanda, çetelerin kullandığı taktikler, teknikler ve prosedürler (TTP’ler) sürekli değişiyor, bütün gruplar ortadan kayboluyor ve ardından yeni başlıklar altında yeniden ortaya çıkıyor.
Bunun yaptığı şey, suçluların bir yandan siber savunma ekiplerinin önünde dururken diğer yandan kolluk kuvvetlerinden kurtulmasına izin vermektir. Geleneksel güvenlik araçları, geçmiş saldırıların kuralları ve imzaları etrafında tasarlanmıştır ve bu nedenle, RaaS tehdit aktörleri tarafından kullanılan yeni ve gelişen TTP’leri ele almakta başarısız olurlar.
Bu sorunun önüne geçmenin bir yolu var. AI teknolojisi, dijital çevresi için neyin “normal” olduğunu anladığı ve sonuç olarak bu normdan sapan ince davranışları tespit ettiği için yeni tehditlere tepki verebilir. Otomatik AI güvenlik yazılımının 2021 yazında bir REvil fidye yazılımı saldırısına ışık tutmasını sağlayan bu yaklaşımdı. İşte olanlar.
Vahşi doğada REvil
Saldırı, pandeminin başlangıcından bu yana siber suçlular arasında daha popüler hale gelen bir sektör olan bir sağlık ve sosyal bakım kuruluşunu hedef aldı.
Saldırgan, uzak bir çalışanın dizüstü bilgisayarı aracılığıyla erişim elde etti ve ardından bir şirket sunucusuna meşru bir uzak masaüstü protokolü (RDP) bağlantısı kullanarak ayrıcalıklarını yükseltti. Saldırgan, bu yeni kimlik bilgilerinin yetkisiyle, verileri çalmak ve bunları REvil kontrollü altyapıya sızdırmak için yaygın erişimini kullanarak çok sayıda başka dahili cihaza erişebildi.
Hedeflenen bu kuruluş, dijital ortamında yapay zeka destekli güvenlik araçları kullandığından, güvenliği ihlal edilmiş dizüstü bilgisayar ve dijital ortamındaki diğer tüm uç nokta cihazları üzerinde tam bir görünürlük elde etti ve kuruluş hemen uyarıldı.
Bu kuruluş, tehdit tespiti için yapay zekayı kullanıma sunmaya karar verdiğinde, karar yapay zeka yanıtını etkinleştirmemek ve izlemede tutmaktı. AI yanıt verecek şekilde yapılandırılmadığından saldırı durdurulmadı. İki hafta sonra saldırgan, kuruluşun en hassas verilerini buldu.
Öldürme Zincirini İzlemek
Bu saldırı, gelişmiş araçlar ve yüksek derecede sabır kullanılarak gerçekleştirildi. Tehdit aktörleri, saldırının aşamalarını birbirinden ayırarak, genel yörüngesini bir insan ekibinin tanımlamasını çok daha zor hale getirdi. Bu, genellikle bir saldırının farklı aşamalarını çeşitli çete üyeleri ve bağlı kuruluşlar arasında bölen RaaS grupları için yaygın bir yaklaşımdır.
Kullanımı “arazide yaşamakSaldırganların, hedef kuruluş tarafından kötü niyetli eylemler gerçekleştirmek için düzenli olarak kullanılan meşru programları kötüye kullandığı teknikler, geleneksel güvenlik araçlarının dikkatinden kaçınmalarına da yardımcı oldu.
AI sistemi, saldırının komuta ve kontrol (C2) için kullandığı olağandışı dış bağlantılar dahil olmak üzere saldırı zincirinin her adımını algıladı ve inceleme için tutarlı bir güvenlik olayı oluşturdu. Güvenlik ekibi, harekete geçmek ve iyileştirme çabalarını başlatmak için bilgilerden yararlanabildi.
Siber suçlu çeteleri şekilsiz ve sürekli değişiyor ve bir hizmet olarak fidye yazılımının iş modeli, en yeni saldırı araçlarının çok geniş bir alana yayılmasını sağlıyor. Bu nedenle, bireysel tutuklamaların daha hızlı ve daha sık fidye yazılımı saldırıları eğilimi üzerinde önemli bir etkisi olması olası değildir.
Bu, her büyüklükteki kuruluşun bir sonraki saldırı dalgasına karşı savunmak için doğru korumalara sahip olmasının önemini vurgulamaktadır. Bu RaaS çetelerinin gelişmişlik düzeyini aşan teknolojiyi benimsemek, kârlılıklarına saldırmanın en kesin yoludur. Bireysel tehdit aktörleri etkili bir şekilde hedef alınamayacak kadar çoktur; Saldırılar, yalnızca siber tehditlerin tespitinde değil, aynı zamanda yanıt olarak da AI benimsenerek etkisiz hale getirilmelidir.