Bir fidye yazılımı saldırısının kurbanı, ağına erişimi yeniden sağlamak için ödeme yaptı, ancak siber suçlular pazarlığın sonuna kadar yaşayamadı.
Olay, mesela Barracuda Networks’teki siber güvenlik araştırmacıları tarafından açıklananAğustos 2021’de BlackMatter fidye yazılımı grubundan bilgisayar korsanlarının adsız bir şirketteki tek bir kurbanın hesabını ele geçirmek için bir kimlik avı e-postası kullandığında ortaya çıktı.
Bu ilk giriş noktasından, saldırganlar altyapıda yanal olarak hareket ederek ağa erişimlerini genişletebildiler ve sonunda bilgisayar korsanlığı araçları kurabilecekleri ve hassas verileri çalabilecekleri noktaya ulaştılar.
Saldırganlar fark edilmez
Hassas verileri çalmak, fidye yazılımı saldırılarının yaygın bir parçası haline geldi. Suçlular, paranın gönderilmemesi durumunda ifşa etmekle tehdit ederek, onları gasp girişimlerinin bir parçası olarak kullanıyor.
Saldırganların en az birkaç hafta ağa erişimi vardı, görünüşe göre sistemler şifrelenmeden ve bitcoin olarak fidye talep edilmeden önce farkedilmedi.
Siber güvenlik ajansları, ağların şifrelenmesine rağmen kurbanların şifre çözme anahtarı için fidye talep etmemesi gerektiği konusunda uyarıyor, çünkü bu yalnızca bilgisayar korsanlarına bu saldırıların etkili olduğunu gösteriyor.
Buna rağmen, kimliği belirsiz kuruluş, asıl talebin yarısının ödenmesi için pazarlık yaptıktan sonra fidyeyi ödemeyi seçti. Ancak şirket şantaj taleplerine boyun eğmiş olsa da, BlackMatter Grubu birkaç hafta sonra yine de verileri sızdırdı – siber suçlulara asla güvenilmemesi gerektiğini gösteren bir ders.
Barracuda siber güvenlik görevlileri, tuzağa düşürülen şirketin virüslü sistemleri izole etmesine, onları tekrar çevrimiçi duruma getirmesine ve yedeklerden geri yüklemesine yardımcı oldu. Bir ağ denetiminden sonra hesaplara çok faktörlü kimlik doğrulama (MFA) uygulandı ve bu güvenlik eksikliğinin saldırganların hesaplara erişim kazanmasına ve hesaplara erişmesine izin verdiğini düşündürdü.
Kilit sektörlerde saldırılar artıyor
Olaydan birkaç ay sonra BlackMatter, hizmet olarak fidye yazılımı kullananların LockBit’e geçmelerini tavsiye ederek kapatıldığını duyurdu.
Barracuda’nın raporuna göre, fidye yazılımı saldırıları artıyor ve sağlık, eğitim ve yerel yönetim de dahil olmak üzere kilit sektörleri hedef alan saldırıların sayısı iki katından fazla. Araştırmacılar ayrıca, kritik altyapıya yönelik kaydedilen fidye yazılımı saldırılarının sayısının geçen yıl dört katına çıktığını bildiriyor. Ancak rapor, iyimser olmak için nedenler olduğunu gösteriyor.
Rapor, “İyi haber şu ki, yüksek profilli saldırılara ilişkin analizimizde, daha az kurbanın fidye ödediğini ve daha fazla şirketin, özellikle kritik altyapıya yönelik saldırılarda daha iyi savunmalar nedeniyle yerlerini koruduğunu gördük” diyor.
Kuruluşlar, MFA’yı uygulamaya ek olarak ağlarını fidye yazılımlarına ve siber saldırılara karşı korumak için ağ segmentasyonu uygulamak, saldırganların kimlik avı e-postalarında bunlardan yararlanmalarını önlemek için makroları devre dışı bırakmak ve yedeklerin çevrimdışı depolanmasını sağlamak gibi başka adımlar da atabilir.
Ayrıca, saldırganların hesaplara ve ağlara erişmek için bilinen güvenlik açıklarını hedeflemesini önlemek için kuruluşların güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları önerilir.
Kaynak : ZDNet.com