LockBit fidye yazılımı bağlı kuruluşları, kötü amaçlı yazılımı dağıtırken yakalandı (yeni sekmede açılır) Güvenliği ihlal edilmiş Microsoft Exchange sunucuları aracılığıyla, birden çok kaynak onayladı.
Sorun ilk olarak Güney Koreli siber güvenlik şirketi AhnLab tarafından tespit edildi. Geçen yaz, müşterilerinden birine ait iki sunucuya LockBit 3.0 bulaştı. Rapora göre, saldırganlar önce web kabuğunu dağıttı, ardından bir hafta sonra ayrıcalıkları Active Directory yöneticisine yükseltti, yaklaşık 1,3 TB veri çaldı ve ağda barındırılan şifreli sistemler.
Saldırı teoride basit görünse de, tehdit aktörlerinin ilk etapta sunuculara nasıl erişmeyi başardığı konusunda bazı anlaşmazlıklar var.
Yeni sıfır gün mü?
AhnLab, sıfır gün açığından yararlanıldığına inanıyor gibi görünüyor: “Microsoft Exchange Server güvenlik açığı geçmişine bakıldığında, uzaktan kod yürütme güvenlik açığı 16 Aralık 2021’de (CVE-2022-21969), ayrıcalık yükseltme güvenlik açığı Şubat ayında açıklandı. 2022 ve en son güvenlik açığı 27 Haziran’daydı.”
AhnLab raporunda, “Yani, Mayıs ayından sonra açıklanan güvenlik açıkları arasında, uzaktan komutlar veya dosya oluşturma ile ilgili herhangi bir güvenlik açığı bildirilmemiştir” dedi.
“Dolayısıyla, WebShell’in 21 Temmuz’da oluşturulduğu düşünülürse, saldırganın açıklanmayan bir sıfır gün güvenlik açığı kullanması bekleniyor.”
Güvenlik İşleri Benekli siber güvenlik uzmanı Kevin Beaumont, sıfır günün olası bir olasılık olmadığını söyleyerek tartışmaya ağırlık verdi:
“Bu raporda LockBit fidye yazılımı hakkında çok şey oluyor (yeni sekmede açılır)ve ben sıfır gün olduğuna ikna olmadım (raporda hiçbir kanıt yok), ancak göz önünde bulundurulması gereken bir gün” diye tweet attı.
Bir başka güvenlik araştırmacısı Will Dormann da raporun yeni bir sıfır güne işaret etmediğini vurguladı: “Şimdiye kadar sayfanın yalnızca tercüme edilmiş bir versiyonunu gözden geçirdim, ancak bunun farklı bir güvenlik açığı olduğuna dair hangi kanıtlar sağlandı?” ekledi.
Aracılığıyla Güvenlik İşleri (yeni sekmede açılır)