Sodinokibi olarak da bilinen REvil, olgun ve yaygın olarak kullanılan bir hizmet olarak fidye yazılımı (RaaS) teklifidir. Sophos araştırmacıları, saldırganların bir REvil saldırısı gerçekleştirmek için en sık kullandıklarına inandıkları araçlara ve davranışlara baktı.
Suçlu müşteriler fidye yazılımını geliştiricilerden kiralayabilir ve kendi parametreleriyle kurbanlarının bilgisayarlarına yerleştirebilir. Bu nedenle, bir REvil fidye yazılımı saldırısının özel yaklaşımı ve etkisi, kötü amaçlı yazılımı kiralayan saldırganın araçlarına, davranışlarına, kaynaklarına ve becerilerine bağlı olarak oldukça değişkendir.
REvil fidye yazılımı gizli gizli
Sophos'ta Baş Araştırmacı olan Andrew Brandt şunları söylüyor: "Yalnızca birkaç yıldır ortalıkta dolaşan sıradan, günlük bir fidye yazılımı için REvil/Sodinokibi şimdiden ciddi hasara yol açmayı ve milyonlarca dolar fidye ödemesi talep etmeyi başarıyor. REvil/Sodinokibi'nin başarısı, kısmen hizmet olarak fidye yazılımı olarak her saldırının farklı olmasından kaynaklanıyor olabilir. Bu, savunucuların dikkat etmesi gereken kırmızı bayrakları fark etmesini zorlaştırabilir."
Makalede, SophosLabs ve Sophos Rapid Response ekibinden Sophos araştırmacıları, saldırganların bir REvil saldırısı gerçekleştirmek için en sık kullandıklarına inandıkları araçları ve davranışları açıklıyor. Raporun amacı, savunuculara tehdit oluşturan veya gelişen bir REvil fidye yazılımı saldırısını nasıl belirleyecekleri ve kuruluşlarını nasıl koruyacakları konusunda fikir vermektir.
REvil fidye yazılımı saldırı araçları
- VPN, Uzak Masaüstü Protokolleri (RDP), VNC gibi masaüstü uzaktan yönetim araçları ve hatta bazı bulut tabanlı yönetim sistemleri gibi iyi bilinen İnternet hizmetlerine yönelik kaba kuvvet saldırıları; Kötü amaçlı yazılım, kimlik avı yoluyla veya yalnızca hedefin ağında bulunan diğer kötü amaçlı yazılımlara eklenerek elde edilen kimlik bilgilerinin kötüye kullanılması.
- Bir etki alanı yöneticisinin kimlik bilgilerini almak için Mimikatz kullanarak kimlik bilgileri toplama ve ayrıcalık yükseltme.
- Yedeklemeleri devre dışı bırakarak veya silerek, güvenlik teknolojilerini devre dışı bırakmaya çalışarak ve şifreleme için hedef bilgisayarları belirleyerek fidye yazılımı salımı için zemin hazırlamak.
- Sophos araştırmacıları bunu incelenen REvil/Sodonokibi olaylarının yalnızca yarısında görmelerine rağmen, büyük miktarda veriyi dışarı sızdırmak için karşıya yüklemek. Veri hırsızlığı içeren vakalarda, yaklaşık dörtte üçü çalınan veriler için (geçici) bir depolama yeri olarak Mega.nz'yi kullandı.
- Uç nokta koruma araçlarını atlamak için verileri şifrelemeden önce bilgisayarı güvenli modda yeniden başlatma.
REvil/Sodinokibi fidye yazılımı saldırıları ve bunlara karşı nasıl korunulacağı hakkında daha fazla bilgi için SophosLabs Uncut makalesine bakın.
Azim ve yabancı tüyler
Sophos Rapid Response bulgularına göre, REvil fidye yazılımını dağıtan saldırganlar çok ısrarcı olabilir. Ekibin araştırdığı yakın tarihli bir REvil saldırısında, güvenliği ihlal edilmiş bir sunucudan toplanan veriler, beş dakikalık bir süre içinde dünyanın dört bir yanından 35.000 benzersiz IP adresinden kaynaklanan yaklaşık 349 başarısız oturum açma girişimi gösterdi. Ayrıca, Sophos araştırmacıları tarafından gözlemlenen en az iki REvil saldırısında, ilk giriş noktası, başka bir saldırganın önceki bir fidye yazılımı saldırısının geride bıraktığı bir araçtı.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.