Siber güvenlik uzmanları, Trigona fidye yazılımını dağıtmak için zayıf güvenlikli MS-SQL sunucularından yararlanan yeni bir bilgisayar korsanlığı kampanyası tespit etti. (yeni sekmede açılır).
Güney Koreli AhnLab firmasından araştırmacılar, tehdit aktörlerinin internete açık Microsoft SQL sunucularını taradığını ve ardından kaba kuvvet veya sözlük saldırıları yoluyla bunlara erişmeye çalıştığını gözlemledi. Bu saldırılar, sunucuların basit, tahmin etmesi kolay parolalara sahip olması durumunda işe yarar ve bilgisayar korsanları, oturum açma sürecini otomatikleştirerek çok sayıda sunucuyu kolaylıkla ihlal edebilir.
Saldırganlar uç noktaya erişim sağladıktan sonra, araştırmacıların CLR Shell adını verdiği bir kötü amaçlı yazılım parçası yükleyecekler. Bu kötü amaçlı yazılım, Windows İkincil Oturum Açma Hizmeti’ndeki bir güvenlik açığı aracılığıyla sistem bilgilerini alır, güvenliği ihlal edilmiş hesabın yapılandırmasını değiştirir ve ayrıcalıkları LocalSystem’e yükseltir.
Yedekleri silme
Araştırmacılar, “CLR Shell, tehdit aktörlerinden komutlar alan ve web sunucularının WebShell’lerine benzer şekilde kötü niyetli davranışlar gerçekleştiren bir tür CLR derleme kötü amaçlı yazılımıdır” dedi.
Bir sonraki adım, Trigona fidye yazılımını dağıtmak için svcservice.exe kötü amaçlı yazılım damlalığını kullanmaktır. Bu adımda, cihazdaki tüm dosyalar şifrelenir ve kurbanlara saldırganlara nasıl ulaşacakları ve bir şifre çözme anahtarının serbest bırakılması için nasıl pazarlık yapacakları konusunda talimat veren bir fidye notu bırakılır. Araştırmacılar ayrıca Trigona’nın kurbanların sistemlerini yedekleme yoluyla kurtarmasını önlemek için sistem kurtarmayı devre dışı bıraktığını ve tüm Windows Birim Gölge kopyalarını sildiğini söyledi.
İşletmeler, sorunu çözmenin en basit ve en ucuz yolunun bu olduğunu düşünerek fidyeyi ödeme eğiliminde olsalar da, suç teşkil eden taleplere boyun eğmekten kaçınmaları gerektiği konusunda genel fikir birliği var. Rubrik Zero Labs’tan alınan son veriler, bir fidye yazılımı saldırısına uğrayan ve şifre çözücü için ödeme yapan tüm kuruluşların yalnızca %16’sının gerçekten tüm verilerini kurtarmayı başardığını ortaya çıkardı.
Fidyeyi ödemek aynı zamanda gelecekteki suç faaliyetlerini de finanse ediyor, bu da bilgisayar korsanlarının taleplerine boyun eğmemek için bir başka neden.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
