Hive kullanan bir fidye yazılımı saldırısının seyri, bir müşteri dağıtımı sırasında Varonis adli tıp ekibi tarafından araştırıldı. Siber suçluların saldırısı ve eylemleri bu şekilde belgelendi.
İlk olarak Haziran 2021'de keşfedilen Hive, siber suçlular tarafından dünya çapında sağlık tesislerine, kar amacı gütmeyen kuruluşlara, perakendecilere, kamu hizmetlerine ve diğer sektörlere saldırmak için hizmet olarak fidye yazılımı olarak kullanılıyor. En yaygın olarak, kurbanların cihazlarını tehlikeye atmak için yaygın fidye yazılımı taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) kullanırlar. Diğerlerinin yanı sıra, hedeflenen sistemlere sızmak için kötü amaçlı ekler, çalınan VPN kimlik bilgileri ve güvenlik açıkları içeren kimlik avı e-postaları kullanılır. Bir müşteri ziyareti sırasında Varonis adli tıp ekibi böyle bir saldırıyı araştırdı ve siber suçluların eylemlerini belgelemeyi başardı.
Aşama 1: ProxyShell ve WebShell
İlk olarak, saldırganlar Exchange sunucularının bilinen ProxyShell güvenlik açıklarından yararlandı ve ardından Exchange sunucusundaki herkesin erişebileceği bir dizine kötü amaçlı bir arka kapı komut dosyası (web kabuğu) yerleştirdi. Bu web betikleri daha sonra SİSTEM ayrıcalıklarına sahip güvenliği ihlal edilmiş sunucu aracılığıyla kötü amaçlı PowerShell kodunu çalıştırabilir.
Aşama 2: Kobalt Saldırısı
Kötü amaçlı PowerShell kodu, Cobalt Strike çerçevesine bağlı uzak bir Command & Control sunucusundan ek düzenleyiciler indirdi. Stager'lar dosya sistemine yazılmamış, bellekte yürütülmüştür.
3. Aşama: Mimikatz ve Hash Geçişi
Saldırganlar, SİSTEM ayrıcalıklarını kullanarak "kullanıcı" adlı yeni bir sistem yöneticisi oluşturdu ve Mimikatz'ı konuşlandırdıkları kimlik bilgileri dökümü aşamasına geçti. "logonPasswords" modülü kullanılarak, sistemde oturum açmış hesapların parolaları ve NTLM hash'leri çıkarılabilir ve sonuçlar yerel sistemdeki bir metin dosyasına kaydedilebilir. Saldırganlar, yöneticinin NTLM hash'ini ele geçirdikten sonra, ağdaki diğer kaynaklara yüksek düzeyde ayrıcalıklı erişim elde etmek için hash'i geçirme tekniğini kullandılar.
4. Aşama: Hassas bilgileri arayın
Ardından, saldırganlar ağ genelinde kapsamlı keşif faaliyetleri yürüttü. Adında "şifre" bulunan dosyaların aranmasının yanı sıra, ağ tarayıcıları da kullanıldı ve ağın IP adresleri ve cihaz adları toplandı, ardından yedekleme sunucularına ve diğer anahtar kaynaklara RDP'ler geldi.
5. Aşama: Fidye yazılımı dağıtımı
Son olarak, Windows.exe adlı Golang'da yazılmış özel bir kötü amaçlı yazılım yükü dağıtıldı ve farklı cihazlarda çalıştırıldı. Burada gölge kopyaların silinmesi, güvenlik ürünlerinin devre dışı bırakılması, Windows olay günlüklerinin silinmesi ve erişim haklarının kaldırılması gibi birçok işlem gerçekleştirildi. Bu şekilde, sorunsuz ve kapsamlı bir şifreleme işlemi garanti edildi. Şifreleme aşamasında bir fidye yazılımı talep notu da oluşturuldu.
Fidye yazılımı saldırılarında aşırı artış
Fidye yazılımı saldırıları son yıllarda önemli ölçüde arttı ve finansal motivasyona sahip siber suçluların tercih ettiği yöntem olmaya devam ediyor. Bir saldırının etkileri yıkıcı olabilir: Bir şirketin itibarına zarar verebilir, düzenli operasyonları kalıcı olarak aksatabilir ve GDPR kapsamında önemli para cezalarının yanı sıra hassas verilerin geçici, muhtemelen kalıcı kaybına yol açabilir.
Bu tür olayları tespit etmek ve bunlara yanıt vermek zor olabilse de, çoğu kötü amaçlı etkinlik doğru güvenlik araçları, yerinde olay müdahale planları ve yamalanan bilinen güvenlik açıkları ile önlenebilir. Bu nedenle Varonis adli tıp ekibi aşağıdaki eylemleri önermektedir:
- Exchange sunucusunu Microsoft tarafından sağlanan en son Exchange Toplu Güncelleştirmelerine (CU) ve Güvenlik Güncelleştirmelerine (SU) yamalayın.
- Karmaşık parolaların kullanımını zorunlu kılın ve kullanıcıların parolalarını düzenli olarak değiştirmelerini zorunlu kılın.
- Etki alanı hesaplarından yerel yönetici izinlerini iptal etmek için Microsoft LAPS çözümünü kullanın (en az ayrıcalık yaklaşımı). Periyodik olarak etkin olmayan kullanıcı hesaplarını kontrol edin ve kaldırın.
- SMBv1 kullanımını engelleyin ve karma geçiş saldırılarına karşı koruma sağlamak için SMB imzalamayı kullanın.
- Çalışanların, çalışmaları için gerçekten ihtiyaç duydukları dosyalara erişim haklarını sınırlayın.
- Politikalarınızı ihlal eden erişim kontrolü değişikliklerini otomatik olarak tespit edin ve önleyin.
- Çalışanlarınızı siber güvenlik ilkeleri konusunda eğitin. Düzenli bilinçlendirme eğitimleri kurum kültürünün temel bir parçası olmalıdır.
- Şirket ve müşteri bilgilerinin ve diğer önemli verilerin nasıl kullanılacağını ve korunacağını açıklayan temel güvenlik uygulamaları ve davranış kuralları oluşturun.
Varonis Hakkında 2005 yılında kuruluşundan bu yana Varonis, hem şirket içinde hem de bulutta depolanan kurumsal verileri güvenlik stratejisinin merkezine yerleştirerek çoğu BT güvenlik satıcısına farklı bir yaklaşım benimsemiştir: hassas dosyalar ve e-postalar, gizli müşteri, hasta ve hasta bilgileri Çalışan kayıtları, mali kayıtlar, stratejik ve ürün planları ve diğer fikri mülkiyet. Varonis Veri Güvenliği Platformu (DSP), verileri, hesap etkinliğini, telemetriyi ve kullanıcı davranışını analiz ederek içeriden gelen tehditleri ve siber saldırıları tespit eder, hassas, düzenlenmiş ve eskimiş verileri kilitleyerek veri güvenliği ihlallerini önler veya hafifletir ve sistemlerin güvenli durumunu korur verimli otomasyon yoluyla.,