Nefilim Ransomware, özellikle yıllık geliri 1 milyar doların üzerinde olan kurbanları hedef alıyor. Trend Micro araştırması, modern fidye yazılımlarına yönelik en başarılı tehdit gruplarından birini analiz ediyor.
Dünyanın önde gelen siber güvenlik çözüm sağlayıcılarından biri olan Trend Micro, Nefilim fidye yazılımı grubu hakkında, modern fidye yazılımı saldırılarının nasıl çalıştığına dair derinlemesine bilgiler sağlayan bir vaka çalışması yayınladı. Çalışma, fidye yazılımı gruplarının nasıl geliştiğine, yeraltında nasıl faaliyet gösterdiğine ve gelişmiş tespit ve müdahale platformlarının savunmalarına nasıl katkıda bulunduğuna dair değerli bir arka plan sağlıyor.
Modern fidye yazılımı aileleri nasıl çalışır?
Modern fidye yazılımı ailelerinin işleyiş şekli, halihazırda aşırı yük altında olan güvenlik operasyonları merkezi (SOC) ve BT güvenlik ekipleri için siber saldırıların tespit edilmesini ve bunlara yanıt verilmesini önemli ölçüde zorlaştırıyor. Bu sadece iş başarısı ve şirket itibarı için değil, aynı zamanda SOC ekiplerinin stres düzeyleri açısından da çok önemlidir.
“Modern fidye yazılımı saldırıları, APT (Gelişmiş Kalıcı Tehdit) grupları tarafından halihazırda mükemmelleştirilmiş kanıtlanmış yaklaşımları kullanan, son derece hedefli, uyarlanabilir ve gizlidir. Nefilim gibi gruplar, verileri çalarak ve önemli sistemleri kilitleyerek son derece kârlı, küresel şirketlere şantaj yapmaya çalışıyor," diye açıklıyor Trend Micro İş Danışmanı Richard Werner. "En son çalışmamız, sektörde hızla büyüyen bu gölge ekonomisini ve genişletilmiş algılama ve yanıt (XDR) çözümlerinin bununla mücadeleye nasıl yardımcı olabileceğini tam olarak anlamak isteyen herkesin mutlaka okuması gereken bir eser."
Mikroskop altında: 16 fidye yazılımı grubu
Mart 2020'den Ocak 2021'e kadar incelenen 16 fidye yazılımı grubu arasında Conti, Doppelpaymer, Egregor ve REvil, risk altındaki kurban sayısı açısından liderler oldu. Cl0p, 5 terabayt (TB) ile çevrimiçi olarak en çok çalınan veriye sahipti.
Ancak Nefilim, yıllık satışı XNUMX milyar doların üzerinde olan şirketlere sıkı bir şekilde odaklandığı için gasptan elde edilen en yüksek ortalama geliri elde etti.
Trend Micro'nun çalışmasının gösterdiği gibi, bir Nefilim saldırısı genellikle aşağıdaki aşamalardan oluşur:
- Açığa çıkan Uzak Masaüstü Protokolü (RDP) hizmetlerinde veya dışarıya yönelik diğer HTTP hizmetlerinde zayıf kimlik bilgilerini kötüye kullanan başlatma erişimi.
- İzinsiz giriş sonrası meşru yanal hareket yönetici araçları, veri hırsızlığı ve şifrelemeye yönelik değerli sistemleri belirlemek için kullanılır.
- Cobalt Strike ve her türlü güvenlik duvarından geçebilen HTTP, HTTPS, DNS gibi protokoller kullanılarak “evi arama sistemi” kuruluyor.
- C&C sunucuları için özel olarak güvenli, "kurşun geçirmez" hizmetler kullanılır.
- Kurbanlara şantaj yapmak için veriler okunuyor ve Tor korumalı web sitelerinde yayınlanıyor. Geçen yıl Nefilim yaklaşık iki terabayt veri yayınladı.
- Yeterli veri olduğunda fidye yazılımı bileşeni manuel olarak tetiklenir.
Trend Micro, fidye yazılımı saldırganlarının fark edilmeden hedeflerine ulaşmalarına olanak tanıyan AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync gibi yasal araçların yaygın kullanımı konusunda zaten uyarıda bulunmuştu. Bu, ortamın farklı yerlerinden olay günlüklerine bakan SOC analistlerinin üst düzey bağlantıları ve saldırıları görmesini zorlaştırabilir.
SOC analistleri için zorluk
Trend Micro Vision One, tehdit aktörlerine yönelik arka kapı olmadığından emin olmak için uç noktalardan e-postaya, sunuculara ve bulut iş yüklerine kadar birden fazla katmandaki şüpheli davranışları izler ve ilişkilendirir. Bu, olaylar durumunda daha hızlı tepki süreleri sağlar. Ekipler genellikle saldırıları şirket üzerinde ciddi bir etki yaratmadan önce durdurabilirler.
“Modern Fidye Yazılımının Çifte Gasp Taktikleri ve İşletmelerin Bunlara Karşı Nasıl Korunacağı” başlıklı raporun tamamına Trend Micro'dan ulaşılabilir.
TrendMicro.com'da daha fazlası
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.