Sophos tarafından yönetilen tehdit müdahale ekibi, REvil fidye yazılımıyla kafa kafaya gidiyor. Belirli bir vaka, siber suçluların nasıl çalıştığını, Yönetilen Tehdit Müdahalesi (MTR) ekibinin nihayet nasıl galip geldiğini ve şirketlerin olaydan hangi dersleri alması gerektiğini gösteriyor.
Diğer birçok fidye yazılımı ailesi gibi, siber suçlular da mümkün olduğunca yüksek bir fidye talep etmek için verileri çalmak ve şifrelemek için REvil fidye yazılımını kullanır. Ancak REvil'i özel yapan şey, fidye yazılımının kullanıma sunulma şeklidir. Sanki normal bir işmiş gibi, yapımcılar "ürünlerini" kiralayabileceğiniz bir hizmet olarak sunarlar - bu size siber suçluların işinin milyonlar değerinde olduğuna dair iyi bir gösterge verir.
REvil saldırısı: 2 milyon dolar fidye
Şantajcıların iki milyondan fazla fidye talep ettiği bir medya şirketinin mevcut örneği, saldırının nasıl çalıştığını ve suçlulara nasıl etkili bir şekilde karşı konulabileceğini gösteriyor. 600/25 çalışma için 24 sunucu ve üç Active Directory alanı dahil olmak üzere ağa bağlı yaklaşık 7 cihazla bu şirket, COVID-19 dalgasından sonra günlük işlerinin çoğunu uzak ofislere taşımak zorunda kaldı. Harici iş istasyonları ağa bağlandı ve İnternet bağlantısı ayarlandı - gerekli gereksinimler açısından tüm iyi niyetli eylemler. Ama REvil saldırısına kapı araladı.
Ağa sızan suçlular, korumasız cihazlara ve diğer çevrimiçi sistemlere yöneldi, saldırı araçlarını kurdu ve bunları saldırıyı daha fazla cihaza yaymak için kullandı.
Hızlı Müdahale Gücü
Sophos Acil Müdahale Ekibi, olay mahallinde kapsamlı bir araştırma yapmak üzere çağrıldığında, REvil saldırganlarının halihazırda bir dizi hesabı ele geçirdiği ve korumasız bilgisayarlar arasında serbestçe hareket ettiği kısa sürede anlaşıldı. Uygulamalara daha yakından bakıldığında, 130 uç noktanın genellikle uzak ofisler için bir işbirliği aracı olarak kullanılan Screen Connect 130 yazılımıyla donatıldığı görüldü. Aslında şirketin bu kurulumlardan haberi yoktu, bu da saldırganların bu aracı diğer çeşitli programların yanı sıra suç işlemek amacıyla yüklediklerini öne sürüyor.
Doğrudan darbe değişimi
Saldırganlar ağın derinliklerine inmeye başladıkça, muhtemelen tespit edilip engelleneceklerini ve MTR ekibinin peşlerinde olduğunu biliyorlardı. Onları izlemek için davranışa dayalı algılama araçlarının kullanıldığını ve CryptoGuard'ın şifrelemeyi algılayıp engelleyeceğini biliyorlardı. Saldırganlar daha sonra fidye yazılımını orada çalıştırmak için diğer korumasız uç noktalara sızmaya çalıştı.
Medya şirketi, 24/7 sistem ve iletimleri sürdürmek için sunucuların çoğunu çevrimiçi tutmak zorunda olduğundan, MTR ekibi ile saldırgan arasındaki doğrudan darbe alış verişi normalden daha yoğun ve karmaşıktı. Sonunda acele azalmaya başladı. İkinci gün, ara sıra gelen saldırılar hala tespit edilirken, ana saldırı girişiminin sona erdiği ve başarısız olduğu açıktı. Bu savaşın galibi belliydi: MTR ekibi.
Bilanço ve Öngörüler
Önemli ölçüde daha kötü olabilirdi. BT güvenlik ekibi, hasarın çoğunlukla korumasız cihazlar ve alan adlarıyla sınırlı olduğunu tespit etti. Daha önce bir hava boşluğu (ağ güvenlik seçeneği) ile korunan çevrimiçi alan adı tamamen yok edildi ve yeniden oluşturulması gerekti ve çevrimiçi yedekler de silindi.İyi haber: Saldırganlar ağa girmeyi başarsa da şirket tamamen ele geçirilemedi. felçli ve fahiş bir fidye ödemek zorunda da değildi.
"Çoğu durumda, biz çağrıldığımızda saldırı zaten gerçekleşiyor. Sophos Rapid Response yöneticisi Peter Mackenzie, "Daha sonra, sonrasını kontrol altına almaya, etkisiz hale getirmeye ve soruşturmaya yardımcı olabiliriz" diyor. "Bu durumda bizden yardım istendi ve saldırının son aşaması ortaya çıkarken hazır bulunduk ve hem saldırganların ilk kararlılığını hem de ardından artan hayal kırıklığını görebildik. Ellerindeki her silahı bize karşı kullandılar ve ellerinden geldiğince çok yönden ateş ettiler."
Özellikle önemli iki bulgu
Birincisi risk yönetimi ile ilgilidir. Bir şirket, bu şirkette olduğu gibi, bir ağı hava boşlukludan çevrimiçine taşımak gibi bir ortamda değişiklik yaptığında, risk değişir. BT güvenlik ekipleri tarafından tanımlanması ve ortadan kaldırılması gereken yeni güvenlik açıkları ortaya çıkıyor.
İkinci bulgu ise veri koruma ile ilgili. Bu saldırıda ele geçirilen ilk hesap, BT ekibinin bir üyesine aitti. Tüm veriler silinmişti. Bu, aşağıdakiler gibi değerli bilgilerin olduğu anlamına gelir: B. Adli analiz ve soruşturma için kullanılabilecek orijinal izinsiz girişin ayrıntıları kayboldu. Ne kadar çok bilgi bozulmadan bırakılırsa, olanları anlamak ve bir daha olmayacağından emin olmak o kadar kolay olur.
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.