Modern fidye yazılımları ve Nefilim'in nasıl para kazandığı hakkında bilmediğiniz 3 şey

Trend Micro vaka çalışması, yeni iş modelinin nasıl çalıştığını ve çok adımlı saldırıların nasıl ortaya çıktığını açıklıyor.

Soyut Kötü Amaçlı Yazılım Fidye yazılımı virüsü, ikili bit kırmızı arka planda tuş takımı ile dosyaları şifreledi. Vektör çizim siber suç ve siber güvenlik kavramı.

Resim: iStockphoto/güzel sahne

Fidye yazılımı saldırıları artık kötü niyetli profesyonel kalem test uzmanlarını, hizmet olarak erişim aracılarını ve anlaşmayı yapan fidye yazılımı sahiplerini içeren bir ekip çalışmasıdır. Trend Micro'nun yeni araştırmasına göre, kötü aktörler, belirli bir şirkete dayalı saldırılar ve hedefin ne kadar başarılı olduğuna bağlı olarak bir fidye ücreti tasarlamak için iş modelini modernize etti.

Şirketin yeni raporu, "Modern Fidye Yazılımlarının Çifte Gasp Taktikleri ve İşletmeleri Bunlara Karşı Nasıl Koruyabilirsiniz?," modern fidye yazılımı saldırısını ve bu evrimi gösteren bir tür kötü amaçlı yazılım olan Nefilim'i açıklıyor. Rapora göre Nefilim, milyarlarca dolarlık şirketlere saldırdı ve Ocak ayında 1.752 gigabayt veriyi sızdırdı. Trend Micro Research tarafından yazılan raporu yayınladı. Mayra Fuentes, Feike Hacquebord, Stephen Hilt, Ian Kenefick, Vladimir Kropotov, Robert McArdle, Fernando Mercês ve David Sancho.

GÖRMEK: Kimlik hırsızlığı koruma politikası (TechRepublic Premium)

Rapora göre, fidye yazılımı para kazanma şemaları iki nedenden dolayı değişti. Birincisi, kuruluşlar, kolay hedeflerin sayısını azaltan ve saldırganların daha hedefe yönelik bir yaklaşım kullanmasını gerektiren siber savunmada daha iyi hale geliyor. İkincisi, suçlular daha güçlü ve karmaşık saldırılar oluşturmak için yeni teknolojiler kullanıyorlar:

  • Siber suçlulara işlemeyi derinlemesine otomatikleştirme ve kurbanlar hakkında ek bilgi toplama yeteneği sağlayan makinelerin artan bilgi işlem gücü.
  • Mağdurların konumlarına, sektörlerine, şirket adlarına, büyüklüklerine ve gelirlerine göre kesin bir şekilde sınıflandırılmasına yardımcı olan genel ve özel veritabanlarının ve otomasyon araçlarının mevcudiyeti.
  • Kripto para birimleri ve kripto para birimi karıştırıcıları kullanarak anonimleştirilmiş yüksek hacimli sınır ötesi para transferlerini başlatma yeteneği.
  • Çeşitli siber suçlu grupları arasında güvenli, etkileşimli ve anonimleştirilmiş etkileşimlere ve artan işbirliğine olanak tanıyan iletişim platformlarının kapsamlı kullanımı.

İşte rapordaki modern fidye yazılımı saldırılarının üç özelliği ve Trend Micro'nun tüm bu özelliklere sahip bir kötü amaçlı yazılım ailesi olan Nefilim analizinin bir özeti.

Artık her şey kişiselleştirmeyle ilgili

Artık "püskürtme ve dua etme" taktiği daha az kullanışlı olduğundan, kötü oyuncular saldırıları kişiselleştiriyor. Bu, derin kurban profili oluşturma ve kurbana özel fidye fiyatlandırması anlamına gelir. Suçlular artık bir ağa sızma ve en yüksek değerli varlıkları aramak ve belirlemek için gerektiği kadar zaman harcama yeteneğine sahipler. Saldırgan artık çalışan sayısı, gelir rakamları ve sektör de dahil olmak üzere hedef hakkında çok daha fazla şey biliyor. Bu kişiselleştirme, saldırganların her kurban için olası fidye miktarlarını tahmin etmelerine de olanak tanır.

Modern fidye yazılımı işlemi, bu kişiselleştirilmiş saldırılara izin veren birkaç ek adıma sahiptir. Süreç, bir varlığın devralınmasıyla başlar ve varlık kategorizasyonuna ve ardından altyapının devralınmasına kadar ilerler. Trend Micro'nun araştırmasına göre, fidye yazılımı çeteleri saldırıyı kişiselleştirmek için şu adımları kullanıyor:

  1. Ağa alternatif erişimi düzenleyin
  2. En değerli varlıkları ve süreçleri belirleyin
  3. Değerli varlıkların, kurtarma prosedürlerinin ve yedeklerin kontrolünü elinize alın
  4. Verileri sızdırın

Raporun açıkladığı gibi "modern öncesi fidye yazılımı" saldırıları, daha sonra verileri şifreleyecek ve şifrelemeye dayalı olarak şirketleri zorlayacaktır. Modern fidye yazılımı süreci iki yeni adım ekliyor: Verileri ifşa etmeye ve ardından verileri ifşa etmeye dayalı olarak şirketleri gasp etmek.

Müzakereci, sızan kişiden daha küçük bir pay alır

Trend Micro araştırmacıları, modern fidye yazılımı saldırılarının yalnızca bir hacker grubunun işi olmadığını keşfetti; işbirliği yeni trend. Tüm saldırı zinciri, genellikle farklı saldırı aşamalarından sorumlu olan iki veya daha fazla grubu içerir.

Rapora göre, bir grup fidye yazılımının sahibi, diğeri ise güvenliği ihlal edilmiş altyapıyı kontrol ediyor ve kötü amaçlı yazılımı dağıtıyor. İki grup genellikle kârın 20/80 veya 30/70 oranında bölünmesini kabul eder:

"…..daha küçük kesinti fidye yazılımı sağlayan ve bir kurbanla pazarlık yapan gruba gider, kârın büyük kısmı ağ erişimini yöneten ve saldırının aktif aşamasını uygulayan gruba gider. Kârın çoğu gider ağ erişimi elde etmekten ve fidye yazılımı yükünü dağıtmaktan sorumlu bağlı kuruluşa."

Bazen sürece dahil olan ve "ayrıcalıkların yükseltilmesi, yanal hareket ve mağdur altyapısının tamamen devralınması" konusunda uzmanlaşmış taşeronlar bile vardır. Bu erişim uzmanları, bir saldırganın ne kadar erişim istediğine bağlı olarak "rastgele bir kurban varlığı için onlarca dolardan, kategorize edilmiş bir varlık için birkaç yüz hatta binlerce dolara kadar değişen ücretler talep eder; büyük bir organizasyonun altyapısına erişim beş ila beş kişiye mal olabilir." altı rakam."

Rapor yazarları ayrıca, bağlı kuruluş gruplarının, bu işbirliklerinin hayatta kalmasına yardımcı olan fidye yazılımı ortakları kadar titiz bir şekilde araştırılmadığına dikkat çekiyor.

Fidye, birçok para kazanma fırsatından biridir

Trend Micro'ya göre, bu ekibin siber suçlara yaklaşımının bir diğer unsuru, tek bir saldırıda genellikle "paralel para kazanma yaşam döngüleri" olmasıdır. Bu, sorunu tespit etmeyi ve bir saldırıdan kurtulmayı daha da zorlaştırır. "TTP'leri ayrı eşzamanlı saldırılara veya erişimi paylaşan ve güçlerini birleştiren aktörler arasında yakın işbirliği ile gerçekleştirilen bir sinyal saldırısına bağlayabilmek" için suç iş modellerini net bir şekilde anlamak için başka bir neden.

Trend Micro araştırmacıları, bir saldırıyla ilgili bildirimi kapatmadan önce, güvenlik ekiplerinin tüm kötü amaçlı yazılımların ortadan kalktığından emin olmak için tüm öldürme zincirini göz önünde bulundurmasını önerir. Varonis, siber öldürme zincirindeki sekiz adımı anlatıyor:

  1. Keşif
  2. izinsiz giriş
  3. sömürü
  4. Ayrıcalık yükseltme
  5. yanal hareket
  6. Gizleme/anti-adli tıp
  7. hizmet reddi
  8. sızma

Trend Micro, güvenlik ekiplerinin belirli bir kötü amaçlı yazılım parçasının öldürme zincirinde nereye oturduğunu görmek için güvenlik araştırmalarını okumasını önerir. Sıklıkla zincirin başlarında kullanılıyorsa, savunucular daha sonraki aşamaların konuşlandırıldığını ve araştırılması gerektiğini varsaymalıdır.

Nefilim fidye yazılımı saldırıları nasıl ortaya çıkıyor?

Trend Micro raporu, bu fidye yazılımı ailesini modern fidye yazılımlarına bir örnek olarak tanımlar. Saldırganlar önce ağda bir yer edinir, ardından en değerli verileri belirler ve ardından fidye yazılımı yükünü tetikler. Trend Micro, Nefilim'i ilk olarak Mart 2020'de tanımladı.

Trend Micro'nun araştırmasına göre Nefilim, Kuzey ve Güney Amerika, Avrupa, Asya ve Okyanusya'daki şirketlere saldırdı ve diğer fidye yazılımı gruplarından daha sık olarak milyarlarca dolarlık şirketleri hedef alıyor gibi görünüyor.

Grup, web sitesi üzerinde daha iyi kontrole sahip görünüyor ve hassas verileri uzun süreler boyunca sızdırma konusunda "özellikle kısır". Trend Micro araştırmacıları, Nefilim'in ilk erişim elde etmek için açık RDP hizmetlerini ve Cigrix Application Delivery Controller'daki bir güvenlik açığını kullandığını buldu. Bu noktada, saldırganlar, güvenliği ihlal edilmiş ağda bir varlık oluşturmak için aşağıdakiler de dahil olmak üzere çeşitli araçlar kullanır:

  • Bir Kobalt Strike işaretçisi
  • İşlem korsanı aracı
  • mimikatz
  • PsExec
  • Windows PowerShell'i
  • Kan Tazısı

Rapora göre, saldırganlar istedikleri verileri bulduktan sonra, çalınan bilgileri yüklemek ve sızdırmak için üç tür kurşun geçirmez barındırma hizmeti ve hızlı akış barındırma hizmeti kullanıyorlar.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*