Kaspersky'den "çok platformlu fidye yazılımları hız kazanıyor" tespiti
Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel:
- "Platformlar arası dilde yazılmış kötü amaçlı yazılımları dağıtan fidye yazılımı gruplarına artık alışkınız ancak bugünlerde siber suçlular, ortak saldırılar için düz programlama dillerinde yazılmış kötü amaçlı kodları ayarlamayı öğrendiler"
İSTANBUL - Kaspersky, kötü amaçlı yazılımlarını aynı anda farklı işletim sistemlerine uyarlamayı öğrenen, bu sayede daha fazla kuruluşa zarar veren yeni fidye yazılımı çeteleri keşfetti.
Şirket açıklamasına göre, çok platformlu fidye yazılımları hız kazanıyor. 2022 boyunca Kaspersky güvenlik araştırmacıları, fidye yazılımı gruplarının platformlar arası olanakları verimli şekilde kullandığına tanık oldu. Saldırganlar, kötü amaçlı yazılım kodlarını aynı anda birkaç işletim sistemine birden uyarlayarak mümkün olduğunca çok sisteme zarar vermeyi hedefliyor. Kaspersky, Luna veya BlackCat gibi Rust veya Golang çoklu platform dillerini kullanan grupları daha önce tanımlamıştı.
Söz konusu fidye yazılımı grupları, platformlar arası bir dilde yazılmamış olsa da aynı anda çeşitli işletim sistemlerini hedefleyebilen kötü amaçlı yazılımlar dağıtma peşinde. Bunlardan biri olan RedAlert grubu, Linux örneğinde tespit edildiği üzere düz C ile yazılmış kötü amaçlı yazılım kullanıyor ancak RedAlert tarafından geliştirilen kötü amaçlı yazılım ESXi ortamlarını da açıkça destekliyor. Ayrıca RedAlert, Tor web sitesi indirmek için bir şifre çözücü sunuyor. Bunun platformlar arası dilde yazılmış olup olmadığı konusunda fazladan veri mevcut değil. RedAlert'i diğer fidye yazılımı gruplarından ayıran bir diğer özellik, sadece Monero kripto para biriminde ödeme kabul etmesi ve bunun da parayı izlemeyi zorlaştırması. Suçlular açısından böyle bir yaklaşım makul olsa da Monero her ülkede ve her borsada kabul edilmiyor. Bu nedenle kurbanlar fidye ödemekte sorun yaşayabiliyor.
Temmuz 2022'de tespit edilen bir başka fidye yazılımı grubu, kötü amaçlı yazılımlarını hazırlamak için genel amaçlı bir programlama dili olan Delphi'yi kullanan ve bununla farklı sistemlerde genişleyen Monster. Bu grup, daha önce fidye yazılımı grupları tarafından hiç uygulanmamış bir bileşen olan grafik kullanıcı arabirimine (GUI) sahip. Siber suçlular, devam eden bir hedefli saldırı sırasında komut satırı üzerinden otomatik fidye yazılımı saldırıları da gerçekleştirdi. Kaspersky uzmanları tarafından keşfedilen örneğe göre, Monster fidye yazılımı yazarları grafik arayüzünü isteğe bağlı bir komut satırı parametresi olarak dahil etti.
Kaspersky tarafından yayınlanan rapor, Windows 7-11 arası sürümlere saldırmak için kullanılan sözde 1 günlük açıkları da kapsıyor. 1 günlük güvenlik açığı, genellikle zaten yama uygulanmış güvenlik açığından yararlanma anlamına geliyor ve etkilenen kuruluş içinde her zaman bir yama politikası sorunu ortaya çıkarıyor. Verilen örnek, bir saldırganın virüslü cihazda sistem ayrıcalıkları kazanmasına olanak tanıyan CVE-2022-24521 güvenlik açığıyla ilgiliydi. Saldırganlar, Nisan 2022'de keşfedilen güvenlik açığının ortaya çıkmasından sonra 2 hafta her iki açıktan da yararlanmanın yolunu keşfetti. Bu istismarlar çoklu Windows sürümlerini destekliyor. Bu, genellikle saldırganların ticari kuruluşları hedef aldığını gösteriyor. Ayrıca, her iki istismar da birçok hata ayıklama mesajı paylaşıyor. Tespit edilen bir vaka, APAC bölgesindeki bir perakende zincirine yönelik saldırıları içeriyordu. Bununla birlikte siber suçluların bu saldırıyla elde etmeye çalıştıkları şey hakkında net bir veri bulunmuyor.
Yazılımlarınızı her zaman güncel tutun
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, "Platformlar arası dilde yazılmış kötü amaçlı yazılımları dağıtan fidye yazılımı gruplarına artık alışkınız ancak bugünlerde siber suçlular, ortak saldırılar için düz programlama dillerinde yazılmış kötü amaçlı kodları ayarlamayı öğrendiler. Bu da güvenlik uzmanlarının fidye yazılımı girişimlerini tespit etme ve önleme yolları üzerinde daha fazla durmasına neden oldu. Burada şirketler tarafından uygulanan yama politikalarının sürekli olarak gözden geçirilmesinin ve güncellenmesinin önemine dikkati çekiyoruz." ifadelerini kullandı.
Kaspersky, kullanıcıların kendilerini ve işletmelerini fidye yazılımı saldırılarından korumaları için şunları öneriyor:
"Uzak masaüstü hizmetlerini (RDP gibi) mutlaka gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her zaman güçlü parolalar kullanın. Uzak çalışanlara erişim sağlayan ve ağınızda ağ geçidi görevi gören ticari VPN çözümleri için mevcut yamaları hemen uygulayın. Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm cihazlarda yazılımlarınızı her zaman güncel tutun. Savunma stratejinizi yanal hareketleri ve internete veri sızmasını tespit etmeye odaklayın. Siber suçluların bağlantılarını tespit etmek için giden trafiğe özellikle dikkat edin. Verilerinizi düzenli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklerinize hızlı bir şekilde erişebildiğinizden emin olun. Saldırganlar nihai hedeflerine ulaşmadan önce, saldırıyı erken aşamada belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response Expert ve Kaspersky Managed Detection and Response gibi çözümleri kullanın.
Kurumsal çevreyi korumak için çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform'da sağlananlar özel eğitim kursları bu konuda size yardımcı olabilir. Açıklardan yararlanma önleme, davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business gibi güvenilir bir uç nokta güvenlik çözümü kullanın. KESB ayrıca siber suçlular tarafından devre dışı bırakılmasını engelleyebilecek nefsi müdafaa mekanizmalarına da sahiptir. Tehdit aktörleri tarafından kullanılan gerçek TTP'lerden haberdar olmak için en son tehdit istihbaratı bilgilerini kullanın. Kaspersky Tehdit İstihbarat Portalı, Kaspersky TI'si için ortak erişim noktasıdır ve ekibimiz tarafından 25 yıldır toplanan siber saldırı verilerini ve öngörülerini sağlar."
İşletmelerin bu zor zamanlarda etkili savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber saldırılar ve tehditler hakkında bağımsız, sürekli güncellenen ve küresel kaynaklı bilgilere ücretsiz olarak erişim sağladığını da duyurdu.