Microsoft Exchange Server güvenlik açıkları, fidye yazılımları 2021 baharında siber saldırı trendlerine öncülük ediyor

Cisco'nun Talos ekibi, olayların %35'inin 2021'in başlarında bildirilen Microsoft Exchange Server güvenlik açıklarına geri döndüğünü, ancak yeni fidye yazılımı ailelerinin de Emotet boşluğunu doldurduğunu söyledi.

<a href="https://www.techrepublic.com/a/hub/i/r/2018/09/11/9ff2d701-bd93-400f-91b8-22da1690216d/resize/770x/895f527f0a856b3eaa39b48334771ff1/istock-599477738.jpg " target="_blank" data-component="modalEnlargeImage" data-headline="

" data-credit="Rawpixel, Getty Images/iStockphoto">siber saldırı, veri ihlali

Rawpixel, Getty Images/iStockphoto

Cisco'nun Talos Intelligence Group, olay müdahale eğilimleri raporunu yayınladı. bahar 2021, ve Microsoft Exchange Server güvenlik açıklarını buldu 2021'in başlarında rapor edildi Son üç ayda en çok tespit edilen olay oldu.

Talos, şu anda bir yaması olan dört Exchange Server güvenlik açığının tüm olay araştırmalarının %35'ini oluşturduğunu söyledi. "Bir güvenlik açığı yakın zamanda ifşa edildiğinde, ciddi ve yaygın olduğunda, (biz) söz konusu güvenlik açıklarının dahil olduğu etkileşimlerde genellikle buna karşılık gelen bir artış göreceğiz."

Talos, yaygın Exchange Server saldırılarına ek olarak, "kalıcı ve büyüyen" bir fidye yazılımı tehdidi fark ettiğini söyledi. Emotet botnet'in Ocak ayında yayından kaldırılması, genellikle bir hizmet olarak fidye yazılımı saldırılarını başlatmak için kullanılırdı.

GÖRMEK: Güvenlik olayı yanıt politikası (TechRepublic Premium)

Talos, Fidye yazılımı aileleri MountLocker, Zeppelin ve Avaddon'ın 2021 baharında yeni tespit edildiğini ve hepsinin Emotet tarafından kullanılan bir hizmet olarak fidye yazılımı modeline uyduğunu söyledi. Kısacası, kolayca dağıtılan ve hızla kullanılabilen fidye yazılımı tehdidi ortadan kalkmıyor.

Fidye yazılımları tarafından hedeflenen bir dizi sektör var, ancak sağlık sektörü ilkbaharda, bir sonraki en çok hedeflenen eğitim ve teknolojiden yaklaşık dört kat daha fazla olayla öncülük etti. Talos, bunun 2021'in önceki çeyreğinde fark edilen talihsiz bir eğilimi sürdürdüğünü ve siber suçluların sağlık hizmetlerini hedef almaya devam ettiğini, çünkü COVID-19 salgınının hizmetleri mümkün olduğunca çabuk geri yüklemelerini zorunlu kıldığını ve böylece bir sağlık kuruluşunun şansını artırdığını söyledi. öder.

Talos, enerjisinin çoğunu Microsoft Exchange Server güvenlik açıkları üzerinde çalışmaya adadığını söyledi, ancak çoğunluğun herhangi bir sömürü sonrası kanıt olmaksızın yalnızca tarama girişimleri ve HTTP POST istekleriyle sonuçlandığını da bildirdi.

Talos, başarılı saldırıların olmamasının nedeninin, saldırının doğası olduğunu söyledi. istismarlardan biri, saldırganın istismardan başarıyla yararlanmak için geçerli bir yönetici hesabı kullanmasını gerektirir ve çoğu durumda denenen adresler geçerli değildi.

Geçerli oldukları durumlarda, web kabuklarının oluşturulması ve yazılması, olası kimlik bilgisi toplama ile ilişkili ProcDump gibi yardımcı programların kullanımı ve MakeCab (makecab) gibi yardımcı programlarla verilerin sıkıştırılması ve arşivlenmesi dahil olmak üzere olası kullanım sonrası faaliyetin kanıtı " .exe) veya WinRAR'ı olası sızma için sahneye koyabilir," dedi Talos.

İstismar sonrası faaliyetin düşük seviyesi, Talos'un, saldırganların, savunmasız Exchange Sunucularına yama uygulanmadan önce çok sayıda ağa hızlı ve ayrım gözetmeksizin erişim sağlamaya çalıştıkları sonucuna varmasına neden oldu.

GÖRMEK: Parolalar nasıl yönetilir: En iyi uygulamalar ve güvenlik ipuçları (ücretsiz PDF) (Teknoloji Cumhuriyeti)

Microsoft Exchange Sunucularına sahip kuruluşlar, kendilerini bu güvenlik açıklarından yararlanmaya karşı korumak için, aşağıdakileri yüklemek de dahil olmak üzere çeşitli adımlar atmalıdır. dört istismarı ele alan yamalar. Ayrıca, istismar amacıyla tahmin edilmesi kolay olduğundan, yönetici hesaplarında varsayılan yönetici adlarını kullanmamak da önemlidir.

Talos ayrıca tüm Exchange Server günlüklerinin tutulmasını önerir. Vakaların çoğu, yetersiz günlük kaydı nedeniyle bilinmeyen başlangıç ​​vektörleri kullandı.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*