Hassas verileri sızdırmak için yalnızca sızdıran paketlere ve bulut servis sağlayıcısının (CSP) güvenlik açıklarına güvenmek yerine, yeni bir bulut hedefleme fidye yazılımı ürünü, şifreleyicileri düşürmek ve kurbanların verilerini kilitlemek için korumasız Web uygulamalarından yararlanmayı hedefliyor.
SentinelOne’un bulut fidye yazılımı ortamının 2024’teki durumu hakkındaki yeni raporuna göre, PHP uygulamalarına odaklanmanın pivotu, CSP’lerin ortamlarını AWS’nin Anahtar Yönetimi Hizmeti gibi politikalarla destekleme konusunda elde ettiği başarıyı gösteriyor. CSP’ler artık neredeyse Verilerin silinebilmesi için bekleme süresi ve onay gerektiren politikalar sayesinde hiçbir veri gerçekten kaybolmaz. Bu korumaların bazıları için oldukça egzotik kötü amaçlı geçici çözümler mevcut ancak saldırılar, hizmet kontrol politikaları uygulanarak kolayca engellenebilir. rapor dedi ki.
Cloud Ransomware’in Web Uygulamalarına Yeni Bakışı
Bulut fidye yazılımı SentinelOne’a göre operatörler artan hacimlerdeki fırsatlar için Web uygulamalarını araştırmaya başladı.
SentinelOne’un raporunda “Web uygulamaları genellikle bulut hizmetleri aracılığıyla çalıştırılıyor” ifadesine yer verildi. “Daha minimal yapıları, bulut ortamlarını, uygulamaların yönetiminin daha kolay olduğu ve tam bir işletim sisteminde çalıştırmaktan daha az yapılandırma ve bakım gerektirdiği doğal bir barındırma noktası haline getiriyor. Ancak Web uygulamalarının kendisi gasp saldırılarına karşı savunmasızdır.”
Analiz, PHP uygulamalarına saldırmak için özel olarak geliştirilmiş yeni fidye yazılımı komut dosyalarını ortaya çıkardı; örneğin “Pandora” adlı bir Python komut dosyası ve Endonezya merkezli tehdit aktörü IndoSec grubuna atfedilen bir komut dosyası.
Raporda, “Pandora betiği, PHP sunucuları, Android ve Linux dahil olmak üzere çeşitli sistem türlerini hedeflemek için AES şifrelemesini kullanıyor” diye eklendi. “PHP fidye işlevleri, dosyaları OpenSSL kitaplığı aracılığıyla AES kullanarak şifreler. Pandora Python betiği Web sunucusunda çalışır ve PHP kod çıktısını, çalışma zamanında bağımsız değişken olarak sağlanan ve php’ye eklenen bir dosya adıyla pandora/Ransomware yoluna yazar. eklenti.”
Rapora göre, IndoSec tarafından geliştirilen PHP uygulamalarını hedef alan fidye komut dosyası, dosyaları yönetmek ve silmek için bir PHP arka kapısı kullanıyor. Dizinlerde arama yapar, okur ve ardından bir Web hizmetinin API’sini kullanarak dosya içeriğini kodlar.
Raporda, “Bu ilginç bir yaklaşım çünkü şifreleme, diğer birçok araç gibi yerel işlevsellik kullanmak yerine, uzak bir hizmet aracılığıyla sağlanıyor.” ifadesine yer verildi.
Veri Çalmak İçin Meşru Bulut Yerel İşlevlerini Kullanma
Raporda, saldırganların bu bulut hizmetlerini ihlal etmeye çalışmanın yanı sıra, çalınan verileri sızdırmak için bu bulut hizmetlerini nasıl kullanacaklarını da buldukları belirtildi. SentinelOne Eylül örneğini sunuyor Rhysdia Ve BianLian MEGAsync ve rclone gibi geçmişe yönelik sızma araçlarını terk eden ve bunun yerine verileri indirmek için Azure Depolama Gezgini’ni kullanan bulut fidye yazılımı saldırıları. Ertesi ay, LockBit fidye yazılımı grubu SentinelOne, Windows ve macOS sistemlerinden veri sızdırmak için Amazon’un S3 depolama alanı kullanılarak keşfedildiğini ekledi.
Bu trende uygun olarak SentinelOne araştırması, VirusTotal’da “RansomES” adını verdiği yeni bir Python komut dosyası tespit etti. Bu kod, bir Windows sistemine sızmak ve dosyanın .doc, .xls, .jpg, .png veya .txt dahil olmak üzere veri içerdiğini gösteren uzantılara sahip dosyaları aramak için tasarlanmıştır. Bu dosyalar tanımlandıktan sonra RansomES kodu, fidye yazılımı saldırganının bu dosyaları bir S3 depolama paketine veya bir FTP sitesine sızdırmasına ve yerel sürümleri şifrelemesine olanak tanır.
Raporda, “RansomES basit bir komut dosyasıdır ve bunun yaygın olarak kullanıldığına inanmıyoruz” denildi. “Yazar, bir İnternet bağlantısı kontrolü ekledi. WannaCry killswitch alanıBu da senaryonun bir araştırmacı veya tehdit istihbaratına ilgi duyan biri tarafından geliştirildiğini gösteriyor olabilir.”
Verileri Web uygulamasına karşı korumanın anahtarı bulut fidye yazılımı saldırıları Raporda, yanlış yapılandırmalara ve aşırı izin veren depolama paketlerine karşı koruma sağlamak için genel bulut ortamını değerlendirmek gerektiği sonucuna varıldı.
SentinelOne’a göre “Ek olarak, tüm yönetici hesaplarında MFA’nın zorunlu kılınması ve tüm bulut iş yükleri ve kaynaklarına karşı çalışma zamanı korumasının dağıtılması gibi iyi kimlik yönetimi uygulamalarını her zaman zorunlu kılın.”
