AvosLocker fidye yazılımı çetesi, ABD’deki kritik altyapı sektörlerine yönelik saldırılarla ilişkilendirildi ve bunlardan bazıları Mayıs 2023 gibi yakın bir tarihte tespit edildi.
Bu, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından yayınlanan ve hizmet olarak fidye yazılımı (RaaS) operasyonunun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) detaylandıran yeni bir ortak siber güvenlik tavsiye belgesine göre ).
Ajanslar, “AvosLocker bağlı kuruluşları, meşru yazılım ve açık kaynaklı uzaktan sistem yönetim araçlarını kullanarak kuruluşların ağlarını tehlikeye atıyor” dedi. söz konusu. “AvosLocker bağlı kuruluşları daha sonra çalıntı verileri sızdırma ve/veya yayınlama tehdidiyle sızmaya dayalı veri gaspı taktiklerini kullanıyor.”
Fidye yazılımı türü ilk olarak 2021’in ortasında ortaya çıktı ve o zamandan beri, tespitten kaçınma önlemi olarak antivirüs korumasını devre dışı bırakmak için gelişmiş tekniklerden yararlandı. Windows, Linux ve VMware ESXi ortamlarını etkiler.
AvosLocker saldırılarının önemli bir özelliği, açık kaynaklı araçlara ve arazide yaşama (LotL) taktiklerine güvenilmesi ve atıf yapılmasına yol açabilecek hiçbir iz bırakmamasıdır. Ayrıca veri sızdırma için FileZilla ve Rclone gibi meşru yardımcı programların yanı sıra Chisel ve Ligolo gibi tünel açma araçları da kullanılır.
Komuta ve kontrol (C2), Cobalt Strike ve Sliver aracılığıyla gerçekleştirilir, Lazagne ve Mimikatz ise kimlik bilgileri hırsızlığı için kullanılır. Saldırılarda ayrıca yatay hareket, ayrıcalık yükseltme ve güvenlik yazılımını etkisiz hale getirmek için özel PowerShell ve Windows Batch komut dosyaları da kullanılıyor.
Ajanslar, “AvosLocker bağlı kuruluşları ağ erişimini sağlamak için özel web kabukları yüklediler ve kullandılar” dedi. Başka bir yeni bileşen, bir ağ izleme aracı gibi görünen ancak aslında tehdit aktörlerinin kurbanın ağının dışından ana bilgisayara bağlanmasına olanak tanıyan bir ters proxy işlevi gören NetMonitor.exe adlı yürütülebilir dosyadır.
CISA ve FBI, kritik altyapı kuruluşlarına, AvosLocker fidye yazılımı ve diğer fidye yazılımı olaylarının olasılığını ve etkisini azaltmak için gerekli hafifletici önlemleri uygulamalarını öneriyor.
Buna uygulama kontrollerinin benimsenmesi, RDP ve diğer uzak masaüstü hizmetlerinin kullanımının sınırlandırılması, PowerShell kullanımının kısıtlanması, kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın zorunlu kılınması, ağların bölümlere ayrılması, tüm sistemlerin güncel tutulması ve periyodik çevrimdışı yedeklemelerin sürdürülmesi dahildir.
Gelişme Mozilla olarak geliyor uyardı fidye yazılımı saldırılarından yararlanan kötü amaçlı reklam kampanyaları Bu, kullanıcıları Thunderbird’ün truva atı haline getirilmiş sürümlerini yüklemeleri için kandırır ve sonuçta dosya şifreleyen kötü amaçlı yazılımların ve IcedID gibi ticari amaçlı kötü amaçlı yazılım ailelerinin dağıtımına yol açar.
Secureworks’e göre, tehdit aktörleri ilk erişimden sonraki bir gün içinde fidye yazılımını hızla dağıtmaya yönelse de, 2023’teki fidye yazılımı saldırıları büyük bir artışa tanık oldu. Secureworks’e göre bu rakam, 2022’de 4,5 gün olan önceki ortalama bekleme süresinden düştü. .
Dahası, vakaların yüzde 10’undan fazlasında fidye yazılımı beş saat içinde dağıtıldı.
Secureworks Karşı Tehdit Birimi tehdit istihbaratından sorumlu başkan yardımcısı Don Smith, “Ortalama bekleme süresindeki azalmanın nedeni muhtemelen siber suçluların daha düşük bir tespit şansı istemesinden kaynaklanıyor” dedi. söz konusu.
“Sonuç olarak, tehdit aktörleri, önemli ölçüde daha karmaşık olan büyük, çok siteli, kurumsal çapta şifreleme olaylarından ziyade, daha basit ve uygulaması daha hızlı operasyonlara odaklanıyor. Ancak bu saldırılardan kaynaklanan risk hâlâ yüksek.”
Herkese açık uygulamaların, çalınan kimlik bilgilerinin, kullanıma hazır kötü amaçlı yazılımların ve harici uzaktan hizmetlerin kötüye kullanılması, fidye yazılımı saldırıları için en büyük üç ilk erişim vektörü olarak ortaya çıktı.
En son rehberliğe göre CISAuzak masaüstü protokolü (RDP), dosya aktarım protokolü (FTP), TELNET, Sunucu Mesaj Bloğu (SMB) ve Sanal Ağ Bilgi İşlem (VNC), olduğu bilinen yanlış yapılandırmalardan ve zayıflıklardan bazılarıdır. yaygın olarak silah haline getirilmiş fidye yazılımı kampanyalarında.
Yaraya tuz basmak için RaaS modeli ve sızdırılan fidye yazılımı kodunun hazır bulunması, acemi suçlular için bile giriş engelini azaltarak, bunu yasadışı kar elde etmek için kazançlı bir yol haline getirdi.
Smith, “Tanıdık isimleri hâlâ en aktif tehdit aktörleri olarak görsek de, birçok yeni ve çok aktif tehdit grubunun ortaya çıkışı kurban ve veri sızıntılarında önemli bir artışa neden oluyor” diye ekledi. “Yüksek profilli yayından kaldırma ve yaptırımlara rağmen, siber suçlular uyum sağlama konusunda ustadırlar ve bu nedenle tehdit hız kazanmaya devam ediyor.”
Microsoft, yıllık Dijital Savunma Raporunda, insanlar tarafından çalıştırılan fidye yazılımlarıyla karşılaşan kuruluşların yüzde 70’inin 500’den az çalışana sahip olduğunu ve tüm risklerin yüzde 80 ila 90’ının yönetilmeyen cihazlardan kaynaklandığını söyledi.
Şirket tarafından toplanan telemetri verileri, insan tarafından çalıştırılan fidye yazılımı saldırılarının Eylül 2022’den bu yana yüzde 200’den fazla arttığını gösteriyor. Magniber, LockBit, Hive ve BlackCat, tüm fidye yazılımı karşılaşmalarının neredeyse yüzde 65’ini oluşturdu.
Bunun da ötesinde, yakın zamanda insan tarafından gerçekleştirilen başarılı fidye yazılımı saldırılarının yaklaşık yüzde 16’sı hem şifrelemeyi hem de sızmayı içerirken, yüzde 13’ü yalnızca sızmayı kullandı.
Teknoloji devi, “Fidye yazılımı operatörleri aynı zamanda daha az yaygın olan yazılımlardaki güvenlik açıklarından giderek daha fazla yararlanıyor, bu da saldırılarını tahmin etmeyi ve onlara karşı savunma yapmayı zorlaştırıyor” dedi. “Bu, bütünsel bir güvenlik yaklaşımının önemini güçlendiriyor.”
Redmond ayrıca, insan tarafından çalıştırılan fidye yazılımı saldırıları sırasında uzaktan şifreleme kullanımında “keskin bir artış” gözlemlediğini ve bunun geçtiğimiz yıl ortalama yüzde 60’a tekabül ettiğini söyledi.
Microsoft, “Kurbanın cihazına kötü amaçlı dosyalar dağıtmak yerine, şifreleme uzaktan yapılıyor ve sistem işlemi şifrelemeyi gerçekleştiriyor, bu da süreç tabanlı iyileştirmeyi etkisiz kılıyor.” dedi. “Bu, saldırganların ayak izlerini daha da azaltmak için evrimleştiğinin bir işaretidir.”
