Microsoft Çarşamba günü, Microsoft Defender for Endpoint’teki kullanıcı sınırlama özelliğinin, Haziran 2023’ün başlarında bilinmeyen bir endüstriyel kuruluşu hedef alan Akira fidye yazılımı aktörleri tarafından yapılan “büyük ölçekli uzaktan şifreleme girişimini” engellemeye yardımcı olduğunu söyledi.
Teknoloji devinin tehdit istihbarat ekibi, operatörü Storm-1567 olarak takip ediyor.
Saldırıda, savunmadan kaçınma taktiği olarak Uç Nokta için Microsoft Defender’a dahil edilmemiş cihazlardan yararlanılırken, aynı zamanda güvenliği ihlal edilmiş bir kullanıcı hesabı kullanılarak cihazların şifrelenmesinden önce bir dizi keşif ve yanal hareket etkinliği gerçekleştirildi.
Ama yeni otomatik saldırı engelleme yeteneği Bu, ihlal edilen hesapların “ağdaki uç noktalara ve diğer kaynaklara erişiminin engellenmesi, hesabın Active Directory durumuna veya ayrıcalık düzeyine bakılmaksızın saldırganların yanal hareket etme kabiliyetinin sınırlanması” anlamına geliyordu.
Başka bir deyişle amaç, tüm gelen ve giden iletişimi kesmek ve insan tarafından gerçekleştirilen saldırıların ağdaki diğer cihazlara erişmesini yasaklamaktır.
Redmond ayrıca, kurumsal uç nokta güvenlik platformunun, Ağustos 2023’te bir tıbbi araştırma laboratuvarına yönelik yanal hareket girişimlerini bozduğunu ve saldırganın, takip eylemleri için varsayılan bir alan adı yöneticisi hesabının şifresini sıfırladığını söyledi.
Microsoft, “Yüksek ayrıcalıklara sahip kullanıcı hesapları, saldırganlar için tartışmasız en önemli varlıklardır” dedi söz konusu. “Geleneksel çözümler kullanan ortamlarda güvenliği ihlal edilmiş etki alanı yönetici düzeyindeki hesaplar, saldırganlara Active Directory’ye erişim sağlar ve geleneksel güvenlik mekanizmalarını bozabilir.”
“Bu nedenle, güvenliği ihlal edilmiş bu kullanıcı hesaplarının tanımlanması ve kontrol altına alınması, saldırganlar ilk erişimi elde etse bile saldırıların ilerlemesini önler.”