Odak noktasında KOBİ'ler: Sophos, LockBit fidye yazılımı hakkındaki son çalışmasını sunuyor. İki teknik öne çıkıyor: birincisi, saldırıya uğramış ağlardaki belirli vergi ve muhasebe yazılımlarına fidye yazılımı bulaştırmak için otomatik araçlar kullanmak ve ikincisi, kendinizi gizlemek için PowerShell dosyalarını yeniden adlandırmak.
Sophos'ta kıdemli tehdit araştırmacısı olan Sean Gallagher, "LockBit saldırganları, gelecek vaat eden hedefleri belirlemek için otomatik saldırı araçlarını kullanır" diye özetliyor. Analiz, suçluların, saldırıya uğramış ağlarda vergi ve muhasebe yazılımları da dahil olmak üzere belirli iş uygulamalarını aramak için PowerShell araçlarını nasıl kullandığını ortaya koyuyor. Bu arama tarafından oluşturulan bir parmak izi, anahtar kelime ölçütleriyle eşleşirse, araçlar, LockBit saldırısını başlatmak da dahil olmak üzere bir dizi görevi otomatik olarak gerçekleştirir.
Yeni saldırı yöntemleri belirlendi
Araştırmacılar ayrıca LockBit'in tespitten kaçmasına izin veren bir dizi yeni saldırı vektörü tanımlayabildiler. Bu, PowerShell dosyalarını yeniden adlandırmayı ve komut ve kontrol iletişimi için uzak bir Google Dokümanı kullanmayı içerir. Saldırıların son derece otomatik doğası nedeniyle, fidye yazılımı bir kez başlatıldıktan sonra beş dakika içinde ağ genelinde yayılabilir ve aynı anda etkinlik günlüklerini silebilir.
LockBit saldırganları, kurban olarak özellikle küçük şirketleri hedefler
Gallagher, "LockBit'in belirli iş uygulamalarına ve anahtar kelimelere olan ilgisi, saldırganların kurbanlara ödeme yapmaları için büyük ölçüde baskı yapmak amacıyla küçük işletmeler için değerli olan sistemleri (mali verileri depolayan ve günlük işlemleri yürüten sistemler) açıkça belirlemek istediklerini gösteriyor" dedi. . "Fidye yazılımlarının çalışırken iş uygulamalarını dondurduğunu gördük, ancak saldırganlar ilk kez potansiyel hedefleri belirlemek için otomatikleştirilmiş bir yaklaşımla belirli uygulama türlerini aradılar."
LockBit fidye yazılımı grubu, Ryuk gibi fidye yazılımı gruplarını takip ediyor
"LockBit çetesi, Ryuk da dahil olmak üzere diğer siber gangster gruplarını takip ediyor gibi görünüyor. Sophos kısa süre önce bu grubun Cobalt Strike kullandığını öğrendi. Bunlar, saldırıları otomatikleştirmek ve hızlandırmak için sızma testi için geliştirilmiş uyarlanmış araçlardır. Bu durumda, PowerShell betikleri, saldırganların özellikle değerli veriler içeren uygulamaları barındıran sistemleri belirlemesine yardımcı olur. Bu şekilde, ödeme yapma olasılığı daha düşük olan kurbanlarla zamanlarını boşa harcamak istemiyorlar.”
Meşru araçların kötüye kullanımı ve kötü amaçlı yazılıma karşı korumanın değiştirilmesi
LockBit saldırganları, faaliyetlerini normal, otomatikleştirilmiş yönetim görevleri gibi göstererek ve meşru araçlar kullanarak gizlemeye çalışır: örneğin, suçlular Windows komut dosyası bileşenlerinin gizlenmiş kopyalarını oluşturur ve ardından bunları başlatmak için Windows Görev Zamanlayıcı'yı kullanır. Ek olarak, yerleşik kötü amaçlı yazılımdan korumayı artık çalışamayacak şekilde değiştirirler.
"Bu tür fidye yazılımı saldırılarına karşı savunma yapmanın tek yolu, tüm sistemlerde kötü amaçlı yazılımdan korumanın tutarlı bir şekilde uygulanmasıyla çok katmanlı bir savunmadır. Hizmetler korumasız bırakılırsa veya yanlış yapılandırılırsa, saldırganlar bunları kolayca kullanabilir,” diye sözlerini tamamlıyor Gallagher.
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.