Her fidye yazılımı saldırısı, güvenliği ihlal edilmiş bir uç nokta ile başlar ve bu amaçla tehdit aktörleri artık Microsoft Exchange sunucularına bakmaya başlamıştır. bir rapora göre (yeni sekmede açılır) Microsoft 365 Defender Threat Intelligence Team tarafından yayınlanan, en az bir yama uygulanmamış ve güvenlik açığı bulunan sunucu (yeni sekmede açılır) dolandırıcılar tarafından hedef alındı ve hedef ağa erişmek için kötüye kullanıldı.
Bir dayanak kazandıktan sonra, tehdit aktörleri etrafta gizlenerek ağın haritasını çıkardı, kimlik bilgilerini çaldı ve daha sonra bir çifte gasp saldırısında kullanılmak üzere verileri çıkardı.
Bu adımlar başarıyla tamamlandıktan sonra tehdit aktörü, BlackCat fidye yazılımını PsExec aracılığıyla dağıttı.
Potansiyel saldırganlar
Microsoft 365 Defender Tehdit İstihbarat Ekibi, “Bu tehdit aktörleri için ortak giriş vektörleri uzak masaüstü uygulamaları ve güvenliği ihlal edilmiş kimlik bilgilerini içerirken, bir tehdit aktörünün hedef ağ erişimi elde etmek için Exchange sunucusu güvenlik açıklarından yararlandığını da gördük” dedi.
Bunlar gerçek olsa da, şu anda spekülasyon alanında olan birkaç tane daha var, yani kötüye kullanılan güvenlik açıkları ve dahil olan tehdit aktörleri. BleeBilgisayar söz konusu Exchange sunucusu güvenlik açığının, ProxyLogon saldırıları için azaltma önlemleri öneren Mart 2021 güvenlik danışma belgesinde ele alındığına inanıyor.
Potansiyel tehdit aktörlerine gelince, listenin başında iki isim var: FIN12 ve DEV-0504. İlki, kötü amaçlı yazılım dağıtmakla tanınan, finansal olarak motive olmuş bir grup olsa da (yeni sekmede açılır) ve fidye yazılımı türleri geçmişte, ikincisi genellikle verileri çalmak için Stealbit kullanan bir bağlı kuruluş grubudur.
Microsoft, FIN12 hakkında “Bu grubun Mart 2022’den itibaren dağıtılmış yükler listesine BlackCat’i eklediğini gözlemledik” dedi. “Son kullanılan yüklerinden (Hive) BlackCat’e geçişlerinin, ikincisinin şifre çözme metodolojileri hakkındaki kamu söyleminden kaynaklandığından şüpheleniliyor.”
Fidye yazılımlarına karşı savunmak için Microsoft, işletmelerin uç noktalarını güncel tutmalarını ve ağlarını izlemelerini önerir. (yeni sekmede açılır) şüpheli trafik için. Güçlü bir siber güvenlik çözümü dağıtma (yeni sekmede açılır) her zaman hoş bir fikirdir.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)