Conti fidye yazılımıyla beş gün yakından ve kişisel olarak ilgilenmek: Üç raporda Sophos, gerçek bir Conti fidye yazılımı saldırısının sürecini ve nasıl durdurulduğunu ayrıntılı olarak açıklıyor. Ayrıca BT yöneticileri için saldırı davranışı, teknik arka plan ve pratik ipuçları da dahildir.
Geçen yılın ortasından bu yana giderek daha fazla yaramazlık yapan Conti fidye yazılımı saldırıları, siber suçluların saldırılarını hedefli bir şekilde planlamak için modern ve gelişmiş teknolojiyi nasıl kullandığının ve böylece kurumsal ağlara başarıyla girme şanslarını büyük ölçüde artırdığının etkileyici bir örneğidir. Sophos Hızlı Müdahale ekibi, üç ayrıntılı raporda gerçek bir saldırıyı ve beş gün içinde nasıl geliştiğini anlatıyor: "Bu çok hızlı ve potansiyel olarak yıkıcı bir saldırıydı," diyor Sophos Hızlı Müdahale yöneticisi Peter Mackenzie. "Adli incelememiz sırasında, saldırganların güvenlik duvarındaki güvenlik açıklarından yararlanarak yalnızca 16 dakika içinde ağ güvenliğini aştığını ve etki alanı yönetim verilerine erişim elde ettiğini gördük. Bunun ardından saldırganlar, fidye yazılımı saldırısının belkemiğini oluşturacak sunuculara Cobalt Strike Ajanlarını yerleştirdi.”
Siber saldırgan klavyede yaşıyor
Bu saldırıyı özel kılan şey, siber suçluların bunu kendilerinin kontrol etmesi ve her şeyi otomatik bir rutine bırakmamasıydı. İnsan kontrollü bu saldırılarla, saldırganlar gerçek zamanlı olarak değişen durumlara uyum sağlayabilir ve tepki verebilir. Bu tür bir esneklikle, bu saldırıların başarı şansı daha yüksektir ve kurbanlar, yalnızca bir ilk saldırı girişimi algılanıp engellendiği için kendilerini güvende hissetmezler. Çünkü o zaman, aşağıdaki günlükte açıklanan gerçek bir Conti fidye yazılımı saldırısı gerçekleşir - neyse ki bu durumda mutlu sonla.
saldırı günü 1
Saldırganlar güvenlik duvarına nüfuz eder ve kurbanın iki sunucusundaki yönetici hesabını ele geçirmek için yalnızca 16 dakikaya ihtiyaç duyar. Ardından, bu saldırı kurban tarafından tespit edilip durdurulana kadar ilk sunucuya bir Kobalt Saldırı Ajanı yerleştirirler. Sadece 15 dakika sonra saldırganlar ikinci sunucuda eylemlerini tekrarlar ve bu saldırı fark edilmeden gider. Saldırganlar kapıya ayak basar basmaz kurbanın şirket ağına "gizlice sızar" ve üçüncü bir sunucuya bulaşır.
saldırı günü 2
Hiçbir saldırı faaliyeti kurban tarafından fark edilmez.
saldırı günü 3
Saldırganlar, potansiyel olarak ilginç bilgiler içeren dosya klasörlerini bulmak için yaklaşık on saat etrafa bakınır ve ele geçirilen üçüncü sunucuya fark edilmeden kurulan meşru açık kaynak yönetim aracı RClone'u kullanarak bunları çıkarır. Diğer şeylerin yanı sıra, finans, İK ve BT departmanlarından gelen veriler etkilenir.
saldırı günü 4
Saldırganlar, 1. Günden itibaren uç nokta ve sunucu yapısı hakkında öğrendiklerini kullanarak, fidye yazılımını test etmek için önce dördüncü bir sunucuya bir Cobalt Strike ajanı kurar. Başarı mesajından sonra, yaklaşık 300 cihaza Cobalt Strike yüklerler ve 40 dakika sonra Conti fidye yazılımını başlatırlar. Güvenliği ihlal edilmiş uç noktalar, kodu farklı komut ve kontrol adreslerinden yükler ve yürütür. Bununla ilgili haince şey: Sabit disklere hiçbir veri yazılmaz, ancak fidye yazılımı tespit edilmekten kaçınmak için doğrudan ana bellekte yürütülür. Fidye yazılımı daha sonra verileri üç saat boyunca şifrelemeye çalışır, ancak şaşırtma taktiklerine rağmen Sophos Intercept X ile korunan bilgisayarlarda engellenir. Saldırıya uğrayan şirket, Sophos uygulaması dışındaki internet bağlantısını keser, kritik altyapıyı kapatır ve iş süreçlerini durdurur. Sophos Rapid Response ekibi çağrılır, virüslü uç noktaları ve sunucuları belirler, çeşitli saldırı süreçlerini durdurur ve güvenliği ihlal edilmiş alanları geri yüklemeye başlar.
saldırı günü 5
Rapid Response Task Force tarafından yapılan son araştırma, güvenlik duvarı üzerinden ikinci bir olası veri hırsızlığı, ikinci bir güvenliği ihlal edilmiş hesap ve şüpheli RDP (Uzak Masaüstü Protokolü) trafiğini tespit ediyor. Aynı zamanda kurban, güvenli olmayan uç noktaları geri yükler ve kritik altyapıyı başlatır.
Hikayenin ahlaki
Bir fidye yazılımı saldırısında doğrudan ateş hattında bulunanlar genellikle BT yöneticileridir. Sabah işe gelen ve her şeyi bir fidye notuyla şifrelenmiş bulanlar onlar. Hızlı Müdahale Ekibinin deneyimine dayanarak Sophos, bir fidye yazılımı saldırısından sonraki zorlu ilk saatler ve günler ile en iyi şekilde başa çıkmak için bir eylem listesi geliştirdi.
- Siber suçluların ağlara erişmesini önlemek için İnternete Uzak Masaüstü Protokolünü (RDP) kapatın.
- RDP'ye erişim kesinlikle gerekliyse, bir VPN bağlantısı ile güvence altına alınmalıdır.
- Ağların 24/7 izlenmesi için uç nokta algılama ve yanıt (EDR) işlevleri ve yönetilen yanıt ekipleri dahil olmak üzere çok katmanlı güvenlik önlemleri, saldırıları önler ve siber saldırıların korunmasında ve tespit edilmesinde önemli bir rol oynar.
- Genellikle fidye yazılımı saldırılarından önce gelen bilinen önde gelen göstergelerin sürekli olarak izlenmesi.
- BT altyapısındaki ve şirketteki değişikliklerle sürekli güncellenmesi gereken bir olay müdahale planının oluşturulması.
- Çok fazla deneyime sahip dış uzmanlar mükemmel yardım sunabilir.
Sophos'tan üç Conti fidye yazılımı raporu
Üç Sophos raporunda, Conti fidye yazılımı saldırısı farklı açılardan anlatılıyor ve bir saldırı durumunda eylem için somut talimatlar veriliyor. İngilizce raporlar aşağıdaki bağlantılardan indirilebilir:
Bir Conti fidye yazılımı saldırısının zamanlaması:
Her Gün Bir Conti Ransomware Saldırısı
Conti fidye yazılımının kaçamak doğası hakkında SophosLabs teknik özeti:
Conti Ransomware: Doğası gereği Kaçamak
BT yöneticilerinin bir saldırıyla başa çıkması için 12 maddelik bir kontrol listesi içeren talimatlar:
Conti Fidye Yazılımına Uğradığınızda Neler Beklenmeli?
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.