Cisco Talos Fidye Yazılımı Hücumlarının 70’inin Kolay kolay Satın Alınabilen Siber Kabahat Araçlarından Kaynaklandığını Tespit Escort Bayan Etti
Deep Web ortamlarında satın alınabilen ve Commodity Trojan Ticari Truva Atı olarak da bilinen fidye yazılımı atakları yama ve uç nokta güvenlik açıkları olan sistemlere karşı tesirli oluyor 2020’nin sonundan 2021’in başına kadar bu hücum aktörleri, eğitim, sıhhat, güç ve kamu hizmetleri, devlet kurumları ve çok daha fazlasını amaç aldı. Cisco Talos Incidence Response, Hafnium’dan kaynaklanan Microsoft Exchange güvenlik açıklarının yer aldığı giderek artan olaylara, şirketlerin yaygın bir biçimde kullanıma sunulan SolarWinds’e farkında olmadan truva atı bulaşmış güncellemeler indirdiği çeşitli olaylara müdahale etti.
CISCO Bayan escort Talos Incident Response CTIR üst üste yedinci çeyrekte de tekrar fidye yazılımlarının en yaygın tehdit olduğunu tespit etti Kasım 2020 ile Ocak 2021 ortasında bu çeşidin en yaygın örnekleri ise escort Ryuk ve Vatet oldu Cisco Talos ayrıyeten Egregor ve WastedLocker varyantlarının da dünya genelinde çeşitli kuruluşları maksat almaya devam ettiğini belirledi
Önceki çeyreğin bilakis bu fidye yazılımı akınlarının büyük çoğunluğu eskort ticari truva atı doküman belgeleri gönderen Zloader BazarLoader ve IcedID üzere kimlik avı uygulamalarından faydalanıyordu Son çeyrekte fidye yazılımı hücumlarının yaklaşık yüzde 70’inde ticari truva atı yazılımları kullanıldı Bilgisayar korsanları eskort bayan ayrıyeten Cobalt Strike üzere ticari araçlar Bloodhound üzere açık kaynaklı erişim sonrası korsanlık araçları ve PowerShell üzere kurbanın sisteminde esasen bulunan araçlardan faydalandı
Fidye yazılımlarının dallar genelinde başa çıkması güç bir siber güvenlik tehdidi olmaya devam ettiğini söz eden Cisco Orta Doğu ve Afrika Bölgesi Siber Güvenlik Yöneticisi Fady Younes, şunları söyledi: “Ticari truva atları kelam konusu olduğunda, süratli ve tesirli sonuçlar için alınıp satılabilen taarruzlardan bahsediyoruz. Kimi durumlarda fiyatsız indirilen truva atları dahi oluyor. Kolay kimlik avı e-postaları yoluyla bilgisayar korsanları ağlara sızabiliyor, istihbarat toplayabiliyor ve bunun sonucunda uzun vadeli ziyanlar verebiliyor. Paket halinde sunulan bu siber kabahat araçlarının kolaylıkla ulaşılabilir olmasının yanında, daha az tecrübeli saldırganların dahi kullanabilir olduğunun göz önünde bulundurulması gerekiyor. Hasebiyle şirketlerin, çalışanlarını kuşkulu e-postaları nasıl tespit edip başka bireyleri uyarabilecekleri konusunda daima bilgilendirmesi gerekiyor. Karar vericilerin bir sorumluluğu da kapsamlı yamalar uygulama ve uç noktaları muhafaza üzere siber güvenlik tedbirleriyle tesirli bir savunma sınırı oluşturarak BT sistemlerinin güvenliğini sağlamaktan da sorumlu.”
CTIR şirketlerin truva atı bulaşmış güncellemeleri farkında olmadan SolarWinds’in yaygın kullanılan Orion yazılımına indirdiği vaka müdahaleleriyle de karşılaştı Bu müdahalelerden sadece birinde sistemin ele geçirilmesinden sonraki post compromise aksiyonlar kullanılmıştı
Buna uygun olarak Microsoft Exchange Server’da dört güvenlik açığı açıkladı ve Hafnium isminde bir tehdit aktörünün bu güvenlik açıklarını kullanarak çeşitli şirketleri amaç alan web kabukları attığını bildirdi Kısa müddet sonra APT’lerden kripto para madenciliği kümelerine kadar öbür tehdit aktörleri de bu güvenlik açıklarından faydalanarak on binlerce şirketin faaliyetlerini etkiledi CTIR Microsoft Exchange güvenlik açıklarının kullanıldığı giderek artan sayıda olaya müdahale ediyor
Saldırı aktörleri ise bugüne dek işletme idaresi inşaat eğitim güç ve kamu hizmetleri cümbüş finans devlet kurumları sıhhat endüstriyel dağıtım hukuk üretim ve teknoloji başta olmak üzere çeşitli dallara taarruzlar gerçekleştirdi
Saldırganların en sık gayesi olan bölüm sıhhat kesimi olurken bu durum sıhhat kuruluşlarını amaç aldığı bilinen Vatet isimli makûs emelli yazılımının kullanımındaki artışı da kısmen açıklıyor CTIR başlangıçta belli bir eyaletteki hastaneyle bağlı bölgesel hastanelerin taarruza uğradığı ve bilhassa etkilenen kuruluşa etkin VPN irtibatının olması durumunda sonraki hücumlar için sıçrama tahtası fonksiyonu görebildiği potansiyel bir örüntü tespit etti Saldırganların sıhhat kesimine saldırmasının nedenlerinden birinin de mağdur olan sıhhat kuruluşlarının COVID 19 periyodunda hizmetlerini sağlamaya mümkün olduğunca süratli bir biçimde devam etmek istemesi olduğu görülüyor
Kaynak BHA Beyaz Haber Ajansı
