Çirkin, slithery kafasını Ocak ayında tamamen geri getirmesine rağmen, meşhur Snake fidye yazılımı işletmeler için büyük bir yük olmaya devam ediyor. İşletmelerini çalışır durumda tutmak ve personelin uzaktan çalışmasını sağlamak için BT sistemlerine daha bağımlı kuruluşlar olduğunda, bu kötü niyetli BT bulaşmasını önleme ve işe geri dönme zamanı geldi.
Gerçek yılan tehdidi çoğundan daha tanıdık olsa da, Yılan Ransomware endüstriyel kontrol sistemi (ICS) operatörleri için endişelerini dile getirdi. Bu ekipler, şirketlerin madencilik, kamu hizmetleri ve imalat atma gibi çeşitli endüstrilerde dijital kalp atışlarını korumak için gereklidir.
Snake, kurbanlarını dosyalarını şifreleyerek zorla almayı ve organizasyonları bilgisayar korsanlarına tekrar ücretsiz sistemlere ödeme yapmaktan daha az seçenek bırakarak hedefliyor. İlk olarak Ocak 2020'de keşfedilen fidye yazılımı, 2019'da yayılan MegaCortex'e benzer.
İlk günden beri, Nozomi Networks Labs, Snake'in önünde kalmak için önemli endüstri kaynaklarından gelen bilgileri aktif olarak izliyor ve analiz ediyor ve Tehdit İstihbarat havuzumuza Snake fidye yazılımı imzaları ekledik.
Yazar hakkında
Michael Bailie endüstriyel siber güvenlik ve operasyonel teknoloji uzmanı Nozomi Networks için Yönetici Çözümleri Teslim ve Projeleridir (APAC).
Fidye yazılımı, analizi zorlaştırmak için gizleme (ICS ortamlarında tipik olarak bulunan süreçler şifreleme başlamadan öldürülür) anlamına gelir.
İlginç bir şekilde, Snake'in yayılmaya çalışmadığını, bunun yerine manuel yayılmaya dayandığını gördük. Etkilenecek yollar arasında kötü amaçlı e-posta ekleri ve eşleşmeyen veya kötü korunan hizmetlerin kullanılması sayılabilir. Özellikle e-postalar gittikçe daha sofistike hale geliyor ve birçok siber suçlu şirket CEO'larının e-postalarını başarıyla taklit edebilir ve genellikle patronu etkilemek veya hayal kırıklığına uğratmamak isteyen ironik bir şekilde hızlı bir şekilde yanıt vermeyi isteyebilir.
Bir Snake örneği kullanarak, fidye yazılımının ICS ortamlarında sıklıkla bulunan işlemlerle ilgili dizeler içerdiğini keşfettik. Daha fazla araştırmanın ardından, fidye yazılımının bir dizi işlemi öldürebileceğini ve daha sonra erişilebilir dosyaları şifrelemeye çalışabileceğini keşfettik.
Devam eden bir tehdit
Snake neden hala ayaklanma yapıyor basit: sistem yaması yok, bu nedenle barış ve sessizlik yok. Yılan, ICS ortamının derinliklerinden saldırdığından, yama yapmak pahalıdır ve birçok kuruluş, yükseltme gerekli olana kadar üzerinde durmaktadır.
Bunun nedenleri anlaşılabilir – maliyet ve karmaşıklık – olsa da, işletmelerin içinde bulunduğumuz nispeten yeni belirsizlik dünyasını düşünmeleri gerekebilir. Geçtiğimiz birkaç ay boyunca, spektrumun her iki ucunda da aşırı hava gördük, ülkeyi mahvetti, daha yakın zamanlarda yeni koronavirüs / COVID-19 salgını birçok işletmeyi durdurdu, kapanmalara neden oldu ve personeli uzaktan çalışmaya zorladı .
Hesaplamalar, salgının ekonomiden 34 milyar dolar sileceğini gösteriyor ve birçok işletme, personelin seyahat edememesi, olayların iptal edilmesi ve önemli ticaret yollarının kapatılmasıyla şimdiden etkisini hissediyor.
Neyse ki, sanal konferans ve sanal masaüstü yazılımı gibi teknoloji, birçok işletmenin bu belirsiz zamanlarda çalışmaya devam etmesini sağlıyor. Ancak bu teknolojiye olan artan güven, kritik altyapının Snake gibi fidye yazılımı saldırılarına karşı korunmasını sağlamak için siber güvenlik evinize sahip olmanın önemini arttırmaktadır.
Kesinti süresi ve siber suçlu faaliyetinin maliyeti zaten inanılmaz derecede yüksek ve tehdit aktörleri bunu biliyor. Fidye yazılımı bulaştıktan sonra, ödeme yapmaktan daha az seçeneğiniz kalır. Siber suçlular sistemlerinizin düşmesinin ne kadar maliyetli olduğunu biliyorsa, fiyatlarının artacağına bahse girebilirsiniz. Ve gerçekçi olarak, siz de ödersiniz.
Yılanı uzak tutmak
Snake'in agresif doğası, onu tespit etmek ve önlemek için birden fazla kontrolün olması gerektiği anlamına gelir.
Artık işletmelerin tehdidi ciddiye almaları ve özellikle aşağıdakiler gibi genel güvenlik yönergelerine uyduklarından emin olmaları gerekiyor:
- Posta içeriği tarama ve filtreleme
- Kimlik avına kurban gitmemek için kuruluş genelinde güvenlik bilinci
- Ağ altyapısına bir sağlık kontrolü uygulamak, doğru ağ ayrımı ve güvenlik duvarı politikalarının mevcut olmasını sağlamak
- Maliyetlere ve karmaşıklığa rağmen tüm cihazların ve hizmetlerin yamalı olduğundan emin olmak (bir saldırıya maruz kalırsanız işler çok daha maliyetli ve karmaşık hale gelecektir)
- Etkilenen dosyalara hızlı erişimi destekleyen esnek bir yedekleme ilkesi uygulayın
Eğitim, bu tür fidye yazılımları ve genel olarak siber güvenlik ile her zaman hayati önem taşır, bu nedenle işletmelerin, çalışanlar ve personel için sahte ve kötü amaçlı e-postaları daha iyi tanımlamalarına yardımcı olmak için sürekli güvenlik bilinci eğitimi eklemeleri gerekir.
Her zamanki spam filtreleri ve güvenlik duvarlarının yanı sıra, olağandışı davranışı tanımlamak için ICS ortamlarında anormallik algılama teknolojisinin yanı sıra potansiyel tehdit aktörleri hakkında ek bağlam ve görünürlük sağlamak için geleneksel tehdit algılama özelliklerini kullanmanızı öneririz.
Bağlı kalmak herhangi bir işletme için anahtardır ve çevreniz üzerinde gerçek bir görünürlük elde edememek ve korumak, Snake veya diğer siber saldırıların gazabını hissetmenin kesin bir yoludur. Bunu ihmal ederek işletmelerin zaten hissettikleri sıkıntılara eklemeyin.
Bir yanıt bırakın