Uzaktan Erişim Truva Atı artık okulları fidye yazılımıyla hedefliyor

BlackBerry'deki araştırmacılar tarafından ChaChi olarak adlandırılan RAT, yakın zamanda odağını devlet kurumlarından ABD'deki okullara kaydırdı.

Truva atı

Resim: IvonneW, Getty Images/iStockPhoto

Uzaktan Erişim Truva Atı, fidye yazılımı saldırıları ile okulları ve üniversiteleri hedef alıyor. BlackBerry Tehdit Araştırma ve İstihbarat SPEAR ekibi tarafından vaftiz edilen ChaChi olan RAT, bir araştırmaya göre PYSA fidye yazılımı operatörleri tarafından kullanılıyor. BlackBerry tarafından yayınlanan rapor Çarşamba günü. Özellikle, ChaChi, Birleşik Krallık'ın yanı sıra ABD'deki K-12 okullarının ve yüksek öğrenim tesislerinin veri ihlallerinde keşfedildi.

GÖRMEK: Özel rapor: Siber güvenlik için kazanan bir strateji (ücretsiz PDF) (Teknik Cumhuriyeti)

ChaChi, kurbanlarını tehlikeye atmak için verileri sızdırmak, kimlik bilgilerini çalmak ve kötü amaçlı yazılım dağıtmak için tasarlanmıştır. RAT, bir dizi adım yoluyla bir kuruluşta bir yer edinir.

PowerShell komut dosyaları, virüsten koruma ve diğer güvenlik hizmetlerini kaldırmak veya devre dışı bırakmak için kullanılır. Hesap kimlik bilgileri, Windows Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti'nden bellek içeriği boşaltılarak yakalanır. Bağlantı noktası taraması, savunmasız veya açık bağlantı noktalarını aramak için kullanılır. ChaChi daha sonra bir hizmet olarak yüklenir.

Saldırganlar, Uzak Masaüstü Protokolü ve PsExec gibi araçları kullanarak ağ boyunca yanal hareket elde eder. Veriler muhtemelen ChaChi tarafından oluşturulan bir tünelden sızıyor. RAT daha sonra saldırganların Komuta ve Kontrol merkezi ile iletişim kurar.

BlackBerry, başlangıçta 2020'nin ilk yarısında çok fazla gürültü olmadan tespit edilen ChaChi'nin ilk çeşidinin Fransa'daki devlet kurumlarının ağlarına saldırmak için kullanıldığını ve CERT Fransa tarafından bir uzlaşma göstergesi olarak kabul edildiğini söyledi. PYSA ve ChaChi daha sonra 2021 başlarında eğitim kurumlarına odaklanmadan önce hedefleri sağlık kuruluşlarına ve özel şirketlere kaydırdı.

ChaChi, oldukça yeni bir programlama dili olan Golang olarak da bilinen Go ile yazılmıştır. Go hala yeni olduğundan, kodu analiz etmek zor olabilir ve güvenlik araştırmacıları için zorluklar yaratır.

Siber suçlular genellikle okulları hedef alır çünkü saldırıya hazır olduklarını bilirler. Okullar, sağlam güvenlik koruması için gerekli bütçelerden yoksun olabilir. Büyük kuruluşlar tarafından benimsenen sıkı güvenlik kontrollerini zorunlu olarak uygulayamazlar. Ve güvenli olmayabilecek harici cihazlardan ağlarına bağlanan öğrencilerle ve diğer insanlarla uğraşmak zorunda kalıyorlar.

BlackBerry Araştırma ve İstihbarat Başkan Yardımcısı Eric Milam TechRepublic'e verdiği demeçte, "COVID-19 salgınının bir yıl önce başlamasından bu yana siber güvenlik saldırılarının hacmi ve şiddeti arttı." "Bu, ChaChi ve PYSA'nın eğitim kurumlarına saldırmak için COVID pandemisinden yararlanmak için odaklarını değiştirmesini içeriyor. Birçok üniversite, öğrenci grupları için bir ISP olarak hareket etmek zorunda kalıyor, bu da hangi sınırlar ve izleme konusunda kısıtlı oldukları için bir karmaşıklık katmanı ekliyor. seçenekler diğer kuruluşlara kıyasla yerine konulabilir."

Öneriler

Okulları ve üniversiteleri siber saldırılardan korumak için Milam birkaç tavsiye sunuyor.

  • Kullanıcı antremanı. Tehditle insan düzeyinde mücadele etmek için kimlik avı saldırıları ve e-postalardaki şüpheli bağlantılar ve ekler hakkında kullanıcı farkındalığı eğitimi düzenleyin.
  • sistemlerinizi güncelleyin. Teknolojik düzeyde, işletim sistemlerinizi ve uygulamalarınızı yamaladığınızdan ve uç nokta koruma teknolojisi uyguladığınızdan emin olun.
  • İzleme ve denetleme. Üniversite ortamının daha hassas alanları için, uç nokta ve ağ etkinliğinin denetimini, günlüğe kaydedilmesini ve izlenmesini ayarlayın. Ayrıca, kritik hesap kimlik bilgilerinin kullanımını izleyin.
  • Zayıflıkları kontrol edin. Güvenlik açığı değerlendirmelerinin ve ayrıntılı sızma testinin çalıştırılması, azaltılması gereken kritik güvenlik açıklarının izlenmesine yardımcı olabilir.

Milam, "Buradaki ana odak, bir ortamı uygun bir düzeyde güvence altına almanın ve herhangi bir anormalliği belirlemek için doğru kontrol ve dengeleri kurmanın ne kadar hayati olduğuna odaklanmaktır." Dedi.

Milam, "Güvenli bir dahili altyapı oluşturduysanız, ağın belirli bölgelerine nispeten serbest erişime izin verilmesi gerekse bile, diğer kritik kaynaklara erişim engellenir" dedi. "Erişim noktasında bir ihlalle mücadele etmek zor olsa da, kuruluşlar sistemleri tehlikeye atmayı çok daha zor ve saldırıya uğradığında daha fazla savunulabilir ve saldırılar başarılı olduğunda esnek ve kurtarılabilir hale getirmek için adımlar atabilir."

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*