Unutulmuş, yamalanmamış ve güncelliğini yitirmiş yazılımlar, siber suçlular için ideal bir giriş noktası sağlar. Bu, bir sunucuda 11 yıllık Adobe ColdFusion yazılımını kullanan bir fidye yazılımı saldırısında da geçerlidir.
Sophos, Cring Ransomware Exploits Ancient ColdFusion Server adlı özellikle karmaşık bir saldırıyı ortaya çıkardı. Cring fidye yazılımı operatörleri, Adobe ColdFusion yazılımının yama uygulanmamış 11 yıllık sürümünü çalıştıran bir sunucuyu hackledikten sonra kurbanlarına saldırdı. Kurban, bordro için elektronik tablolar ve muhasebe verileri toplamak ve bir dizi sanal makineyi barındırmak için sunucuyu kullandı. Saldırganlar dakikalar içinde web özellikli sunucuya girdi ve fidye yazılımını 79 saat sonra çalıştırdı.
Suçlular gelişmiş teknikler kullandı
Sophos soruşturması, saldırganların ilk adım olarak kurbanın web sitesini taramak için otomatik araçlar kullandığını ortaya çıkardı. Sunucuda yama uygulanmamış bir ColdFusion sürümünün çalıştığını öğrendikten sonra dakikalar içinde müdahale edebildiler. Bundan sonra, özellikle karmaşık örtbas etme teknikleri kullanırlar: kodu belleğe kodlamaya başlarlar ve izlerini, bozuk veriler veya silinmiş günlükler ve tehdit avcılarının araştırmalarında kullandıkları diğer eserler içeren dosyaların üzerine yazarak kapatırlar. Bilgisayar korsanları, kurcalamaya karşı koruma özelliği kapatıldığı için güvenlik ürünlerini de devre dışı bırakabildiler. Son olarak, "iyi bir anlaşma" olmazsa yayınlayacakları verileri sızdırdıklarına dair bir not yayınladılar.
Eski yazılım tehlikeli bir ağ geçididir
"Savunmasız ve eski yazılımları çalıştıran cihazlar, siber suçluların kurbanlarına giden en kolay yol olarak aradıkları ağ geçitleridir. Cring fidye yazılımı yeni değil ama nadir. İncelenen vakada, saldırının hedefi, yalnızca eski ve yamasız yazılıma sahip İnternet özellikli bir sunucunun saldırıya kapı açtığı bir hizmet şirketiydi. Şaşırtıcı olan, bu sunucunun günlük kullanımda olmasıdır. Genellikle en savunmasız cihazlar, yükseltme veya düzeltme eki uygulama sırasında unutulan veya gözden kaçan etkin olmayan aygıtlardır. Ancak durumu ne olursa olsun - aktif veya aktif değil - yama uygulanmamış, internet özellikli sunucular veya cihazlar, savunmasız giriş noktalarını tarayan siber suçlular için birincil hedeflerdir. Bu nedenle BT yöneticileri, tüm bağlı cihazların kesin bir envanterine sahip olmalı ve eski, kritik şirket sistemlerini genel ağa koymamalıdır. Sophos'un baş araştırmacısı Andrew Brandt, kuruluşların ağlarında bir yerlerde bu tür cihazlara sahip olmaları durumunda siber suçluların kendilerine çekileceğinden neredeyse emin olabilirler.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.