ahmetbeyler
Active member
Çağdaş fidye yazılımı yaklaşımları, aslına bakarsan tehditlere yetişmekte zorlanan güvenlik operasyon merkezi ve BT takımlarının akınları tespit etmelerini ve müdahale etmelerini kıymetli ölçüde zorlaştırıyor. Bu husus, sırf finansal ve kurumsal prestij için değil, hem de güvenlik gruplarının refahı için de büyük kıymet arz ediyor.
Raporu yorumlayan Trend Micro Siber Kabahat Araştırma Yöneticisi Bob McArdle, “Gelişmiş Kalıcı Tehdit (APT) kümeleri tarafınca mükemmelleştirilmiş ve kanıtlanmış usuller kullanan çağdaş fidye yazılımı hücumları, son derece maksatlı, uyarlanabilir ve sinsi bir biçimde gerçekleşiyor. Nefilim üzere kümeler, bilgileri çalarak ve kıymetli kurumsal sistemleri kilitleyerek, son derece kârlı global tertiplere şantaj yapmaya çalışıyor. En son raporumuz, süratle büyüyen yeraltı iktisadının nasıl çalıştığını anlamak ve Trend Micro Vision One üzere tahlillerin bu hücumları önlemeye nasıl yardımcı olabileceğini öğrenmek isteyen her insanın okuması gereken bir kaynak” dedi.
Mart 2020 ile Ocak 2021 içinde incelenen 16 fidye yazılımı kümesinden Conti, Doppelpaymer, Egregor ve REvil, tuzağa düşürdükleri işletme sayısı açısından başı çekerken, Cl0p ise 5 TB ile çevrimiçi olarak depolanan en büyük data hırsızlığına imza attı.
Bilhassa 1 milyar dolar ve üzeri gelir elde eden işletmeleri amaç alan Nefilim kümesi ise en yüksek ortalama kabahat geliri elde eden küme oldu.
Rapor, Nefilim tarafınca gerçekleştirilen taarruzların ekseriyetle aşağıdaki evrelerden oluştuğunu ortaya koyuyor:
* RDP yahut dışarıya açık öbür HTTP hizmetlerindeki güvenlik açıklarından yararlanılarak elde edilen kimlik detaylarıyle birinci erişim sağlanır.
* Sızma tamamlandıktan daha sonra, yanal hareketler ve yasal yönetici araçları kullanılarak bilgi hırsızlığı ve şifreleme için amaç alınacak pahalı sistemler bulunur.
Cobalt Strike, HTTP, HTTPS ve DNS üzere güvenlik duvarlarından geçebilen protokoller ile bir “eve çağrı” sistemi kurulur.
* Denetim ve Komuta Merkezi (C&C) sunucuları için sağlam barındırma hizmetleri kullanılır.
* Çalınan datalar, çabucak sonrasında işletmelere şantaj yapmak için TOR muhafazalı web sitelerinde yayınlanır. Nefilim geçtiğimiz yıl yaklaşık 2 TB data yayınladı.
Kâfi ölçüde data sızdırıldıktan daha sonra fidye yazılımı manuel olarak başlatılır.
Uzmanlar daha evvel, fidye yazılımı saldırganlarının kapalı kalırken en son gayelerine ulaşmalarına yardımcı olmak için AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync üzere yasal araçları yaygın olarak kullandıklarına dair ihtarlarda bulunmuştu. Bu durum, BT ortamının farklı kısımlarından olay günlüklerini inceleyen güvenlik analistlerinin büyük resmi görmesini ve akınları tespit etmesini zorlaştırıyor.
Raporu yorumlayan Trend Micro Siber Kabahat Araştırma Yöneticisi Bob McArdle, “Gelişmiş Kalıcı Tehdit (APT) kümeleri tarafınca mükemmelleştirilmiş ve kanıtlanmış usuller kullanan çağdaş fidye yazılımı hücumları, son derece maksatlı, uyarlanabilir ve sinsi bir biçimde gerçekleşiyor. Nefilim üzere kümeler, bilgileri çalarak ve kıymetli kurumsal sistemleri kilitleyerek, son derece kârlı global tertiplere şantaj yapmaya çalışıyor. En son raporumuz, süratle büyüyen yeraltı iktisadının nasıl çalıştığını anlamak ve Trend Micro Vision One üzere tahlillerin bu hücumları önlemeye nasıl yardımcı olabileceğini öğrenmek isteyen her insanın okuması gereken bir kaynak” dedi.
Mart 2020 ile Ocak 2021 içinde incelenen 16 fidye yazılımı kümesinden Conti, Doppelpaymer, Egregor ve REvil, tuzağa düşürdükleri işletme sayısı açısından başı çekerken, Cl0p ise 5 TB ile çevrimiçi olarak depolanan en büyük data hırsızlığına imza attı.
Bilhassa 1 milyar dolar ve üzeri gelir elde eden işletmeleri amaç alan Nefilim kümesi ise en yüksek ortalama kabahat geliri elde eden küme oldu.
Rapor, Nefilim tarafınca gerçekleştirilen taarruzların ekseriyetle aşağıdaki evrelerden oluştuğunu ortaya koyuyor:
* RDP yahut dışarıya açık öbür HTTP hizmetlerindeki güvenlik açıklarından yararlanılarak elde edilen kimlik detaylarıyle birinci erişim sağlanır.
* Sızma tamamlandıktan daha sonra, yanal hareketler ve yasal yönetici araçları kullanılarak bilgi hırsızlığı ve şifreleme için amaç alınacak pahalı sistemler bulunur.
Cobalt Strike, HTTP, HTTPS ve DNS üzere güvenlik duvarlarından geçebilen protokoller ile bir “eve çağrı” sistemi kurulur.
* Denetim ve Komuta Merkezi (C&C) sunucuları için sağlam barındırma hizmetleri kullanılır.
* Çalınan datalar, çabucak sonrasında işletmelere şantaj yapmak için TOR muhafazalı web sitelerinde yayınlanır. Nefilim geçtiğimiz yıl yaklaşık 2 TB data yayınladı.
Kâfi ölçüde data sızdırıldıktan daha sonra fidye yazılımı manuel olarak başlatılır.
Uzmanlar daha evvel, fidye yazılımı saldırganlarının kapalı kalırken en son gayelerine ulaşmalarına yardımcı olmak için AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync üzere yasal araçları yaygın olarak kullandıklarına dair ihtarlarda bulunmuştu. Bu durum, BT ortamının farklı kısımlarından olay günlüklerini inceleyen güvenlik analistlerinin büyük resmi görmesini ve akınları tespit etmesini zorlaştırıyor.