banner52

Kaspersky'den "Cring fidye yazılımı endüstriyel hedeflere bulaşıyor" tespiti

- Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev:- "Saldırıya uğrayan kuruluşun ağında gerçekleştirilen keşif sonuçlarına göre, saldırganların şirketin operasyonlarına en büyük zararı vereceğine inandıkları sunucuları şifrelemeyi seçtiklerini gösteriyor"

EKONOMİ 19.04.2021, 11:04
Kaspersky'den

İSTANBUL (AA) - Kaspersky uzmanları tarafından saldırıya uğrayan kuruluşlardan birinde yürütülen bir araştırma, Cring fidye yazılımı saldırılarının VPN sunucularındaki bir güvenlik açığından yararlandığını ortaya çıkardı.

Kapersky açıklamasına göre, 2021'in başlarında tehdit aktörleri Cring fidye yazılımını kullanarak bir dizi saldırı gerçekleştirdi. Bu saldırılardan Swisscom CSIRT sırasında söz edilse de fidye yazılımının kuruluşun ağına nasıl bulaştığı belirsizliğini korudu. Bu saldırıların kurbanları arasında Avrupa ülkelerindeki endüstriyel işletmeler de yer alıyor. En az bir vakada fidye yazılımının saldırısı üretim tesisinin geçici olarak kapatılmasına neden oldu.

2019 yılında Fortigate VPN sunucularında CVE-2018-13379 güvenlik açığı ortaya çıkarıldı. Sorun giderildi ve düzeltildi, ancak tüm cihazlar güncellenmedi. 2020 sonbaharından itibaren de karanlık web forumlarında internete açık savunmasız cihazların IP adreslerini içeren hazır listeler dolaşmaya başladı. Bununla kimliği doğrulanmamış bir saldırgan, cihaza internet üzerinden bağlanabilir ve açık metin olarak saklanan kullanıcı adı ve şifreyi içeren oturum dosyalarına uzaktan erişebilir.

Kaspersky ICS CERT uzmanları tarafından yürütülen bir olay müdahalesi, Cring fidye yazılımı saldırıları serisinde saldırganların kurumun ağına erişim için CVE-2018-13379 güvenlik açığından yararlandığını ortaya çıkardı. Detaylı incelemeler, operasyonun ana aşamasından bir süre önce saldırganların VPN için çalınan kullanıcı kimlik bilgilerinin hala geçerli olduğundan emin olmak için VPN ağ geçidine test bağlantıları gerçekleştirdiğini gösterdi.

Saldırı günü kurumsal ağdaki ilk sisteme erişim sağlandıktan sonra, saldırganlar sisteme Mimikatz yardımcı programını yükledi. Yardımcı program, daha önce söz konusu sistemde oturum açan Windows kullanıcılarının hesap kimlik bilgilerini çalmak için kullanıldı. Saldırganlar daha sonra etki alanı yöneticisi hesabını ele geçirerek, yöneticinin tek kullanıcı hesabıyla ağdaki tüm sistemlere erişim haklarına sahip olduğu fark etti ve bunu kötüye kullanarak kuruluşun ağındaki diğer sistemlere yayılmaya başladı. Saldırganlar, keşif sürecinin ardından endüstriyel operasyonlar için değerli sistemlerin kontrolünü ele geçirip Cring fidye yazılımını indirerek çalıştırdı.

Uzmanlara göre saldırıya uğrayan sistemlerde kullanılan güvenlik çözümü için zamanında veri tabanı güncellemelerinin yapılmaması da çözümün tehdidi algılamasında ve engellemesinde önemli rol oynadı. Ayrıca antivirüs çözümünün bazı bileşenleri devre dışı bırakıldı ve koruma niteliği düşürüldü.



- "VPN Gateway aygıt yazılımını güncel tutun"


Açıklamada görüşlerine yer verilen Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, saldırının çeşitli ayrıntılarının, saldırganların hedeflenen organizasyonun altyapısını dikkatlice analiz ettiklerini ve keşif aşamasında toplanan bilgilere dayanarak kendi araç setlerini hazırladıklarını gösterdiğini belirterek, şunları kaydetti:

"Örneğin, Cring fidye yazılımının indirildiği kötü amaçlı yazılım için kullanılan ana sunucu, yalnızca birkaç Avrupa ülkesinden gelen isteklere yanıt verecek şekilde özelleştirilmişti. Saldırganların hazırladığı komut dosyaları kötü amaçlı yazılımın etkinliğini kurumun antivirüs çözümünün bir işleviymiş gibi gizledi, şifreleme için seçilen sistemlerde kullanılan veri tabanı sunucuları (Microsoft SQL Server) ve yedekleme sistemleri (Veeam) tarafından gerçekleştirilen işlemleri sonlandırdı. Saldırganların davranışlarına ilişkin yapılan analiz, saldırıya uğrayan kuruluşun ağında gerçekleştirilen keşif sonuçlarına göre, saldırganların şirketin operasyonlarına en büyük zararı vereceğine inandıkları sunucuları şifrelemeyi seçtiklerini gösteriyor."

Kaspersky uzmanları, sistemleri bu gibi tehditlerden korumak için şunları öneriyor:

"VPN Gateway aygıt yazılımını güncel tutun. Uç nokta koruma çözümlerini ve veritabanlarını en son sürümlerine güncelleyin. Tüm uç nokta koruma çözüm modüllerinin her zaman etkinleştirildiğinden emin olun. Aktif dizin ilkesiyle, kullanıcıların yalnızca operasyonel ihtiyaçlarının gerektirdiği sistemlerde oturum açmalarına izin verdiğinizden emin olun. Tesisler arasında VPN erişimini kısıtlayın ve operasyonel ihtiyaçlar için gerekli olmayan tüm bağlantı noktalarını kapatın. Yedekleme sistemini ayrılmış bir sunucuda yedek kopyaları depolayacak şekilde yapılandırın.

Kuruluşunuzun olası fidye yazılımı saldırılarına karşı direncini daha da artırmak için ağlarınızda uç nokta tehdit algılama ve yanıt odaklı güvenlik çözümleri uygulamayı düşünün. Profesyonel güvenlik uzmanlarından en üst düzey bilgi ve becerilere anında erişim sağlamak için yönetilen tespit ve müdahale hizmetlerini uyarlamak da iyi bir fikirdir. Endüstriyel sistemler için özel koruma kullanın. Kaspersky Industrial CyberSecurity, endüstriyel düğümleri korur ve OT ağını izleyerek kötü amaçlı etkinlikleri ortaya çıkarmasına ve durdurmasına olanak tanır."

Yorumlar (0)
17
parçalı az bulutlu
banner64
Namaz Vakti 14 Mayıs 2021
İmsak 03:53
Güneş 05:28
Öğle 12:43
İkindi 16:31
Akşam 19:48
Yatsı 21:16
Puan Durumu
Takımlar O P
1. Beşiktaş 39 81
2. Galatasaray 39 81
3. Fenerbahçe 39 79
4. Trabzonspor 39 68
5. Sivasspor 39 62
6. Hatayspor 39 61
7. Alanyaspor 39 57
8. Karagümrük 39 57
9. Gaziantep FK 39 55
10. Göztepe 39 51
11. Konyaspor 39 49
12. Rizespor 39 48
13. Kasımpaşa 39 46
14. Malatyaspor 39 45
15. Başakşehir 39 45
16. Antalyaspor 39 43
17. Kayserispor 39 41
18. Erzurumspor 40 40
19. Ankaragücü 39 38
20. Gençlerbirliği 39 38
21. Denizlispor 39 28
Takımlar O P
1. Adana Demirspor 34 70
2. Giresunspor 34 70
3. Samsunspor 34 70
4. İstanbulspor 34 64
5. Altay 34 63
6. Altınordu 34 60
7. Ankara Keçiörengücü 34 58
8. Ümraniye 34 51
9. Tuzlaspor 34 47
10. Bursaspor 34 46
11. Bandırmaspor 34 42
12. Boluspor 34 42
13. Balıkesirspor 34 35
14. Adanaspor 34 34
15. Menemenspor 34 34
16. Akhisar Bld.Spor 34 30
17. Ankaraspor 34 26
18. Eskişehirspor 34 8
Takımlar O P
1. Man City 35 80
2. M. United 36 70
3. Leicester City 36 66
4. Chelsea 36 64
5. Liverpool 35 60
6. West Ham 35 58
7. Tottenham 35 56
8. Everton 35 56
9. Arsenal 36 55
10. Leeds United 35 50
11. Aston Villa 35 49
12. Wolverhampton 35 45
13. Crystal Palace 35 41
14. Southampton 35 40
15. Burnley 35 39
16. Newcastle 35 39
17. Brighton 35 37
18. Fulham 35 27
19. West Bromwich 35 26
20. Sheffield United 35 17
Takımlar O P
1. Atletico Madrid 36 80
2. Real Madrid 36 78
3. Barcelona 36 76
4. Sevilla 36 74
5. Real Sociedad 36 56
6. Real Betis 36 55
7. Villarreal 36 55
8. Celta de Vigo 36 50
9. Athletic Bilbao 36 46
10. Granada 36 45
11. Osasuna 36 44
12. Cádiz 36 43
13. Levante 36 40
14. Valencia 36 39
15. Deportivo Alaves 36 35
16. Getafe 36 34
17. Huesca 36 33
18. Real Valladolid 36 31
19. Elche 36 30
20. Eibar 36 30