Sophos X-Ops, en son tehdit istihbaratı sonuçlarını sunar. BlackCat fidye yazılımı çetesi, Brute Ratel sızma testi aracını yeni bir saldırı aracı olarak kullanıyor. Saldırı serisi, siber suçluların yama uygulanmamış güvenlik duvarları ve VPN hizmetleri aracılığıyla dünya çapında bilgisayarlara nasıl bulaştığını gösteriyor.
Sophos X-Ops, yeni BlackCat Fidye Yazılımı Saldırıları Yalnızca Kötü Şansın Bir Yan Ürünü Değildir raporunda, fidye yazılımı çetesinin saldırı araçları cephaneliğine Brute Ratel sızma testi aracını eklediğini ortaya koyuyor. Makale, BlackCat'in dünya çapında çeşitli sektörlerde savunmasız ağlara ve sistemlere sızmak için yama uygulanmamış veya eski güvenlik duvarları ve VPN hizmetleri kullandığı bir dizi fidye yazılımı saldırısını açıklamaktadır.
Hizmet olarak fidye yazılımına sahip BlackCat
BlackCat fidye yazılımı ilk olarak Kasım 2021'de hizmet olarak fidye yazılımı alanında kendi kendini "lider" olarak ilan etti ve alışılmadık Rust programlama diliyle kısa sürede dikkatleri üzerine çekti. Aralık 2021 gibi erken bir tarihte, etkilenen şirketler, BlackCat ile en az beş saldırının soruşturulması için Sophos Rapid Response ile iletişime geçti. Bu olaylardan dördü, başlangıçta çeşitli güvenlik duvarı satıcılarının ürünlerindeki güvenlik açıklarından yararlanılarak etkilenmiştir. Bu güvenlik açıklarından biri 2018 yılına dayanıyor, diğeri ise geçen yıl keşfedildi. Siber suçlular ağa girdikten sonra bu güvenlik duvarlarında depolanan VPN kimlik bilgilerini ele geçirebildiler. Bu, yetkili kullanıcılar olarak oturum açmalarına ve ardından Uzak Masaüstü Protokolü'nü (RDP) kullanarak sistemlere gizlice girmelerine izin verdi.
Önceki BlackCat olaylarında olduğu gibi, saldırganlar ayrıca hedeflenen sistemlere uzaktan erişim için ek arka kapılar ve alternatif yollar oluşturmak için açık kaynaklı ve ticari olarak mevcut araçları kullandılar. Bunlar TeamViewer, nGrok, Cobalt Strike ve Brute Ratel'i içeriyordu.
İstismar sonrası C2 çerçevesi Brute Ratel
“Son BlackCat ve diğer saldırılarda, tehdit aktörlerinin çok verimli ve etkili bir şekilde çalıştığını gördük. Savunmasız güvenlik duvarlarına ve VPN'lere yapılan saldırılar gibi en iyi uygulamaları kullanırlar. Ancak güvenlik önlemlerinden kaçınma konusunda da çok yenilikçiydiler ve saldırılarını istismar sonrası daha yeni C2 çerçevesi Brute Ratel'e çevirdiler," diye açıklıyor Sophos'ta tehdit araştırması kıdemli yöneticisi Christopher Budd.
Net bir model olmadan saldırılar
Ancak saldırılarda net bir örüntü gözlemlenemedi. ABD, Avrupa ve Asya'da çeşitli endüstri segmentlerinde faaliyet gösteren büyük şirketlerde gerçekleşti. Ancak saldırıya uğrayan şirketlerin ortamlarında saldırganların işini kolaylaştıran bazı güvenlik açıkları bulunuyordu. Bunlar, artık en son güvenlik yamalarıyla güncellenemeyen eski sistemleri, VPN'ler için çok faktörlü kimlik doğrulama eksikliğini ve düz ağları (eş düğüm ağı) içeriyordu.
Budd, "Tüm bu saldırıların ortak paydası, bunların gerçekleştirilmesinin kolay olmasıdır" dedi. "Bir örnekte, aynı BlackCat saldırganları, fidye yazılımı piyasaya sürülmeden bir ay önce kripto madenciler kurdu. Son araştırmamız, en iyi güvenlik uygulamalarını takip etmenin önemini vurgulamaktadır. Saldırıları, hatta tek bir ağ üzerinde birden fazla saldırıyı bile önleyebilir ve engelleyebilirsiniz.”
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.