olduğunu biliyor muydunuz? BlackCat fidye yazılımı grubu birkaç ay içinde 60’tan fazla organizasyonu başarıyla ihlal etti mi? Devlet, sağlık veya kamu hizmetleri – grup, herkesin bir hedef olduğunu ve milyonlara ulaşabilecek fidye talep edeceğini açıkça belirtti. Kendi araştırmamız, BlackCat siber grubunun Windows işletim sistemlerinde, Exchange sunucularında ve Güvenli Mobil Erişim ürünlerinde bulunan güvenlik açıklarından yararlanmayı tercih ettiğini gösteriyor. Taktiklerini ve saldırılarına karşı savunma yollarını parçalayalım.
BlackCat Kimdir?
BlackCat (AlphaV, AlphaVM, ALPHV, ALPHV-ng veya Noberus olarak da bilinir) fidye yazılımı sahnesinde nispeten yenidir, ancak ilk aktif aylarında hızla ün kazandı. Kasım 2021’de keşfedilen grup, karmaşıklığından dolayı korkulmuştu. Uzmanlar ve araştırmacılar, grubun Conti, DarkSide, Revil ve BlackMatter gibi diğer gelişmiş kalıcı tehdit (APT) gruplarıyla ilişkili olabileceğine inanıyor.
BlackCat: Kısa
BlackCat’in şu beş güvenlik açığından yararlanma bilgisine sahip olduğu gözlemlendi: CVE-2016-0099 (Yüksek), CVE-2019-7481 (Yüksek), CVE-2021-31207 (Yüksek), CVE-2021-34473 (Kritik), ve CVE-2021-34523 (Kritik). CVE-2021-34473 ve CVE-2021-34523, Microsoft Exchange Server’da bulunan kritik güvenlik açıklarıdır ve hemen düzeltilmesi gerekir.
CVE-2021-31207, CVE-2021-34473 ve CVE-2021-34523 yüksek önem puanlarına sahip olsalar da, güvenlik açığı zincirleme saldırılarında potansiyel kullanımları için yama çabalarında öncelikli olmalı ve bilinen birden çok tehdit aktörü ilişkilendirmesine sahip olmalıdır.
CVE-2019-7481, SonicWall SMA100 sürüm 9.0.0.3 ve önceki sürümlerini etkileyen bir SQL ekleme güvenlik açığıdır. Bu sürüm artık satıcı tarafından desteklenmediğinden, hemen sürüm yükseltmesi önerilir.
BlackCat Nasıl Çalışır?
BlackCat’in bir kuruluşun ağına girişi, çalınan erişim kimlik bilgilerini kullanarak başlar. Güvenlik ihlallerinin meydana geldiği hızda, her yıl kaç tane kimlik bilgisinin çalındığını veya kamuya sızdırıldığını ölçmek zordur, ancak yaklaşık olarak 20.000 (veya %50) 2021’deki güvenlik olaylarının çoğu çalınan kimlik bilgileriyle başlatıldı.
İlk erişim yapıldıktan sonra, BlackCat veya benzeri fidye yazılımı grupları sessizce bilgi toplar, tüm ağı eşler ve daha derin erişim için hesapları manipüle eder. Ardından, saldırının ilk aşamasında toplanan istihbarata dayalı olarak satıcıya özel fidye yazılımı oluşturulur ve güvenlik/yedekleme sistemleri devre dışı bırakılır veya beklendiği gibi çalışır gibi görünür hale getirilir. Son adım, fidye yazılımını yürütmek ve şüpheli olmayan kurbanlarına fidye notları bırakmaktır.
Önemli Özellikler
BlackCat’i diğer fidye yazılımı gruplarından ayıran şey, hedeflenen hedef için yüksek düzeyde uyarlanmış yürütülebilir dosyalar oluşturma yeteneğidir. katkıda bulunmak ortamlar arasında gelişmiş saldırı kalıpları için itibarına.
BlackCat, araçlarını daha fazla kararlılık ve entegrasyon olanakları sağlayan Rust programlama dili ile geliştirir. BlackCat, komut satırına dayalı ve insan tarafından çalıştırılan kodun avantajlarından yararlanarak daha yüksek düzeyde bir yapılandırma sağlar.
Fidye yazılımı daha sonra kurbanların verilerini dört tür şifreleme yöntemiyle şifreleyebilir. Kod, Linux ve Windows tabanlı sistemler de dahil olmak üzere farklı platformlarda dağıtılabilir.
BlackCat ayrıca hizmetlerini başkalarına satma veya yaygın olarak bir hizmet olarak fidye yazılımı olarak da bilinir. BlackCat, fidye yazılımını Rust programlama dili ile geliştiren bilinen ilk grup olmasına rağmen, kullanımı artık tehdit çevrelerinde yaygınlaşıyor. Grup ayrıca, kurbanlara daha küçük bir pencere ve hizmetlerinde uzun süreli hasarı ve kesintiyi önleme şansını azaltan hızlı veri şifrelemesiyle tanınır. Grubun halka açık sızıntı sitesi, kullanıcıların çalınan bilgi veritabanlarını kurban adı, şifre ve belge türüne göre aramasını kolaylaştırıyor.
Kuruluşlar BlackCat Saldırısını Nasıl Önleyebilir?
Fidye yazılımı grubu hızla tercih edilen bir hizmet olarak fidye yazılımı sağlayıcısı bugün birçok tehdit aktörü için. BlackCat’in tahribatının gerçek boyutu asla tam olarak bilinemese de, grubun karıştığı 60’tan fazla olay FBI’ı bir danışma grubun potansiyel tehlikesine karşı uyarı.
Bu bilgileri akılda tutarak, işletmelerin ve kuruluşların kendilerini bir fidye yazılımı saldırısından korumak için gerçekleştirebilecekleri bazı eylemler şunlardır.
- Güvenlik açıklarını yamalayın Bu makalenin başında listelenenler gibi, grup tarafından istismar edildiği bilinenler. Kullanılmayan ağ bağlantı noktalarının uygun şekilde korunduğundan emin olun.
- Çok faktörlü kimlik doğrulamayı dağıtın tüm kullanıcılar için tutarlı kimlik doğrulaması gerektirir ve parolaları rutin olarak yenileyin.
- Saldırı yüzeyi yönetimi taramalarını düzenli olarak gerçekleştirin sunucular, uygulamalar ve bulut bağlantılı dağıtımlar gibi kuruluş varlıkları içindeki riskleri belirlemek için.
- Profesyonel bir penetrasyon testi düşünün bilinmeyen riskleri bulmak için şirket ağlarının
- Ayrı yedekleme verilerini koruyun fidye yazılımı saldırısı durumunda kontaminasyonu önlemek için.
Tehdit ortamı değişse ve BlackCat’in yöntemleri zamanla uyum sağlasa da, kuruluşların ağlarını sürekli olarak izleme ve güvenlik açıklarını buna göre düzeltme sorumluluğu vardır. CVE-2016-0099 (Microsoft Windows’ta bulunur) gibi birçok güvenlik açığı yıllardır biliniyordu ve bugün hala istismar ediliyor. Fidye yazılımı grupları söz konusu olduğunda, onlara bir inç verin, bir mil alacaktır.