Exchange Server'da Conti fidye yazılımıyla yapılan saldırılar devam ediyor ve giderek daha verimli hale geliyor. SophosLabs, siber suçluların bir saldırıda yedi arka kapı yerleştirdiğini keşfeder.
Conti fidye yazılımı ile Exchange Server'a yapılan son saldırılara ilişkin araştırmalar, siber suçluların sistemlere ProxyShell aracılığıyla eriştiklerini göstermiştir. Son birkaç aydır Microsoft Exchange'deki güvenlik açıkları için çeşitli kritik güncellemeler yayınlandı. ProxyShell, ProxyLogon saldırı yönteminin gelişmiş halidir. Son aylarda, istismar, ilk olarak Temmuz ayında ortaya çıkan yeni LockFile fidye yazılımını kullananlar da dahil olmak üzere, fidye yazılımı saldırganları tarafından en çok kullanılan araçlardan biri haline geldi.
Bu saldırı vektörüne ilişkin bilgi arttıkça, siber suçlular, fidye yazılımının başlatılmasından fidye yazılımının hedef ağlarda nihayet etkinleştirilmesine kadar geçen bekleme süresini haftalardan saatlere indirdi.
Hızlı "verimli" saldırılar
Conti fidye yazılımının geniş araç yelpazesi, saldırganlara birçok saldırı seçeneği sunar (Resim: Sophos).
Sophos tarafından gözlemlenen bir ProxyShell tabanlı saldırıda, Conti saldırganları kurbanın ağına erişmeyi ve bir dakikadan daha kısa sürede uzak bir web kabuğu kurmayı başardı. Üç dakika sonra, suçlular ikinci bir yedek web kabuğu kurdular. Yalnızca 30 dakika içinde ağdaki bilgisayarların, etki alanı denetleyicilerinin ve etki alanı yöneticilerinin tam bir listesine sahip oldular. Dört saat sonra Conti saldırganları, etki alanı yöneticisi hesaplarının kimlik bilgilerini ele geçirdi ve komutları uygulamaya başladı. Saldırganlar, ilk erişimden sonraki 48 saat içinde yaklaşık 1 terabayt veri sızdırdı. Beş gün sonra, özellikle her bilgisayardaki ayrı ağ paylaşımlarını hedefleyen Conti fidye yazılımını ağ genelinde serbest bıraktılar.
Kötü Miras: 7 arka kapı
İhlal sırasında, Conti saldırganları ağa en az yedi arka kapı kurdu: iki web kabuğu, Cobalt Strike ve dört ticari uzaktan erişim aracı (AnyDesk, Atera, Splashtop ve Remote Utilities). Erken kurulan web kabukları, esas olarak ilk erişim için kullanılıyordu; Cobalt Strike ve AnyDesk, saldırının geri kalanında kullandıkları birincil araçlardır.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.