Soru: İlk erişim aracılarının ağlarımıza erişimi isteyen fidye yazılımı aktörlerine satmasını nasıl önleyebiliriz?
Ram Elboim, Sygnia CEO’su: Fidye yazılımı devam ettikçe Siber tehdit olarak büyümekSiber suç grupları arasındaki yeni uzmanlaşma onlara verimlilik konusunda avantaj sağladı. En hızlı büyüyen uzmanlık alanlarından biri, kurban ağlarına erişim sağlama işini dış kaynaklardan sağlayan operatörleri içermektedir. ilk erişim aracıları (IAB’ler).
Fidye yazılımı saldırısının başlangıcında, saldırganın hedeflenen kuruluşun ağına ilk erişime ihtiyacı vardır ve bu noktada IAB’ler devreye girer. IAB’ler genellikle kimlik avı veya spam kampanyaları yoluyla kuruluşlara sistematik olarak erişim sağlayan daha düşük seviyeli, fırsatçı tehdit aktörleri olma eğilimindedir. – ve ardından bu erişimi yeraltı forumlarında, hizmet olarak fidye yazılımı (RaaS) bağlı kuruluşları da dahil olmak üzere diğer aktörlere satabilirsiniz. Aktif kalabilmek için sürekli olarak kuruluşlara daha fazla erişime ihtiyaç duyan bağlı kuruluşlar, bu erişimi sağlamak için IAB’lere giderek daha fazla güveniyor.
Hizmet olarak erişim olarak da bilinen IAB’lerin sunduğu hazır erişim, fidye yazılımı ekosisteminin ayrılmaz bir parçası haline geldi. IAB’ler, fidye yazılımı gruplarının sızma için ihtiyaç duyduğu ilk bilgileri sağlar; böylece operatörler daha geniş bir kurban yelpazesini hızlı bir şekilde hedefleyebilir, ağlarına erişebilir ve bir saldırı başlatmak için yeterli kontrolü elde edene kadar yanal hareket edebilir. Bu, fidye yazılımının büyümesini hızlandırmaya yardımcı olan, siber suçların sürdürülmesine yönelik etkili bir modeldir.
IAB’ler Nasıl Erişim Kazanır?
IAB’ler genellikle, çoğunlukla sanal özel ağlar (VPN’ler) veya Uzak Masaüstü Protokolü (RDP) teknolojisi aracılığıyla ağ erişimi elde etmenin en kolay yolunu sağlar. Tehdit aktörleri bazı özellikleri istismar edebilir. birçok VPN güvenlik açığı Araştırmacıların son yıllarda keşfettiği veya açık RDP bağlantı noktaları için bir ağı tarayıp oturum açma bilgilerini elde etmek için çeşitli teknikleri takip edebildikleri.
Genel olarak Dark Web’de satışa sunulan erişim türlerinin yaklaşık üçte ikisi, kurbanların ağlarına doğrudan bağlantı sağlayan RDP ve VPN hesaplarından oluşuyor. Grup-IB’nin “Yüksek Teknoloji Suç Raporu.” Citrix erişimi, çeşitli Web panelleri (içerik yönetim sistemleri veya bulut çözümleri gibi) ve güvenliği ihlal edilmiş sunuculardaki Web kabukları daha az yaygındır. Sızan e-posta kimlik bilgileri veya bilgi hırsızlarının günlükleri de oldukça popüler, yüksek oranda erişilebilir ve ucuzdur.
Fidye yazılımı operatörleri, hedeflenen ağlara sızmak amacıyla kimlik bilgileri satın almak için Dark Web’i kullanıyor. Group-IB, 2021 ile 2022 arasında ilk erişim tekliflerinin iki katından fazla arttığını, IAB sayısının ise neredeyse %50 arttığını tespit etti. Kurumsal erişim fiyatları sadece birkaç dolardan başlayabilir ve yüksek değerli hedefler için yüzbinlerce dolara kadar çıkabilir.
Karanlık piyasa kimlik bilgilerinin çoğalması, dünya çapındaki sektörler arası kuruluşlar için büyük bir risk oluşturmaktadır. Tehditlerin ister düşük rütbeli bireysel bilgisayar korsanlarından, ister yüksek vasıflı siber suç operasyonlarından kaynaklansın, kuruluşların erişim korumalarını güçlendirmeleri gerekiyor.
Çalınan Kimlik Bilgileri Tehditini Ortaya Çıkarma
IAB’ler ve RaaS bağlı kuruluşları, saldırılarını başlatmak için hedeflenen her kuruluşa yalnızca bir giriş noktasına ihtiyaç duyar ve bu onlara belirgin bir avantaj sağlar. Herhangi bir çalışan, kimlik avı dolandırıcılığı, bilgi hırsızlığı dağıtımı veya başka yollarla farkında olmadan bu tehdit aktörlerine ihtiyaç duydukları erişimi sağlayabilir. Bazı durumlarda tehdit aktörleri, bir çalışanın ofis iş istasyonu yerine ev bilgisayarına erişim sağlayabilir ve bunu şirketin ağına girmek için kullanabilir. Bu, tehdidin azaltılmasını çok zor bir görev haline getiriyor. Ancak bir kuruluşun atabileceği etkili adımlar vardır.
Saldırının temel nedeninin erişim bilgilerinin çalınması olduğu düzinelerce fidye yazılımı olayı gözlemledik. Ancak bu olayların büyük bir bölümünde tehdit istihbarat ekibimiz, sosyal medya kanallarını, Dark Web forumlarını ve yer altı pazarlarını izleyerek sızdırılan bu kimlik bilgilerinin bazılarını tespit etti.
Böyle bir olayda, bir müşteri en önemli fidye yazılımı gruplarından biri tarafından gasp saldırısına uğradı. Tehdit istihbaratı ekibimiz, soruşturmayı başlatırken, kötü amaçlı bir Telegram kanalında kurbanın kimlik bilgilerine yönelik bir sorgu tespit etti; bu kanalda aktörler, sızdırılan verileri talep edebilir ve bir bot aracılığıyla anında yanıt alabilir. Daha sonra, saldırganın bu ağa erişimine ilişkin ilk kanıtın, talebin gönderilmesinden yalnızca birkaç gün sonra tespit edildiğini öğrendik.
Yine bir fidye yazılımı saldırısıyla ilgili başka bir olayda, tehdit istihbarat ekibimiz Rusya pazarında sunulan ve kurbanın varlıklarına giriş bilgilerini içeren birkaç bilgi hırsızlığı günlüğü tespit etti. Ekip bu günlükleri satın alıp analiz ettikten sonra, üçüncü taraf bir satıcının çalışanına ait sızdırılmış kimlik bilgilerini çıkardı. Olay müdahale ekibi daha sonra bunun ilk erişimin temel nedeni olduğunu tespit etti.
Kimlik Bilgilerinin Güvenliği Tehlikesinin Azaltılması
Bu erişim verilerinin erken tespiti, eğer sızdırılan kimlik bilgileri hızlı bir şekilde tespit edilip etkisiz hale getirilseydi, bu saldırıların en azından bir kısmını önleyebilirdi. Ağ kimliklerinin kötüye kullanılmasına karşı koruma sağladığı kanıtlanmış adımlardan başlayarak, kimlik bilgilerinin tehlikeye atılmasını azaltmaya yönelik bazı karşı önlemler mevcuttur:
-
Kuruluş genelinde çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın. Anlık bildirimlere bağlam ekleyerek, kod gerektirerek veya TOTP (zamana dayalı tek kullanımlık parola) ya da Fast Identity Online (FIDO) gibi alternatif yöntemler sunarak MFA yorulma risklerini azaltın.
-
Kurumsal hizmetlere yalnızca kurumsal olarak yönetilen uç noktalardan veya ağlardan erişime izin verin.
-
Kurumsal hesaplarda kişisel şifrelerin tekrar kullanılmasını önlemek için çalışanları yönlendirin. Parolaları yönetmelerine yardımcı olmak için onlara kurumsal bir parola kasası sağlamayı düşünün.
-
Kurumsal varlıklara oturum açma girişimlerinde anormallikleri sağlayın ve tespit edin. Bu, Microsoft Entra ID ve Okta gibi kimlik sağlayıcıların yerleşik özelliklerinden yararlanılarak gerçekleştirilebilir.
-
SSO’nun uygulanması önemle tavsiye edilir. SSO sağlayıcıları genellikle daha fazla güvenlik özelliğine sahip olacak, ancak bunların kimlik bilgilerinin sızdırılması riskine bağlı olması gerekmiyor.
Kuruluşlar ayrıca, sızdırılan çalışan kimlik bilgilerinin yanı sıra, erişimi üçüncü taraf bağlantısı ve paylaşılan varlıklar yoluyla artırılabilecek iş ortaklarının kimlik bilgilerine karşı Karanlık Web ve Açık Web’i sürekli olarak izlemelidir. Ayrıca, bilgi hırsızlarının ele geçirilen kimlik bilgilerinden çalınan günlüklerinin belirtilerini ve çalışanları veya iş ortaklarını ilgilendiren verileri de araştırmalıdırlar.
Kuruluşlar satılık kimlik bilgileri bulduğunda, bunları IAB’lerin artık erişim için kullanamayacağı şekilde değiştirebilirler. Kimlik bilgileri değiştirilemiyorsa kuruluşlar en azından erişim girişimlerini tespit edip engelleyebilir.
IAB’ler, bir saldırının ilk adımı olan erişim elde etme konusunu ele alarak fidye yazılımının büyümesine olanak sağlıyor. Kullanıcı kimliklerini güvence altına almak için adımlar atan kuruluşlar, IAB’lerin bu saldırılarda başarılı olmasını engelleyebilir.