Şirket açıklamasına nazaran, birinci olarak 2019’da ortaya çıkan REvil (diğer ismiyle Sodinokibi), hizmet olarak fidye yazılımı (RaaS) operatörleri ortasında en üretken olanı. Vurdukları amaçlar ve rekor fidye yazılımı çıkarları nedeniyle son birkaç ayda çok sayıda manşete husus oldular.
Son taarruzda REVil, Yönetilen Hizmet Sağlayıcılar (MSP’ler) için BT İdare Yazılımı sağlayan bir şirkete bulaştı ve dünya çapında çok sayıda şirketi tesiri altına aldı. Saldırganlar, PowerShell scripti aracılığıyla makûs niyetli bir yük dağıttı ve bu da muhtemelen MSP sağlayıcısının yazılımı aracılığıyla çalıştırıldı.
Bu komut evrakı Microsoft Defender for Endpoint müdafaa özelliklerini devre dışı bıraktıktan sonra yasal bir Microsoft binary evrakı, Microsoft Defender tahlilinin eski bir sürümü ve REvil fidye yazılımı içeren berbat emelli kitaplık içeren makûs maksatlı bir yürütülebilir evrakın kodunu çözdü. Saldırganlar yükleyicideki bu bileşen kombinasyonunu kullanarak DLL yandan yükleme tekniğinden yararlandı ve birden çok kuruluşa birebir anda saldırdı.
Tehdit İstihbarat Servisi’ni kullanan Kaspersky, 22 ülkede 5 binden fazla hücum teşebbüsü gözlemledi. Bunlar ortasında en çok etkilenenler; İtalya (yüzde 45,2 kayıtlı akın girişimi), ABD (yüzde 25,91), Kolombiya (yüzde 14,83), Almanya (yüzde 3,21) ve Meksika oldu (yüzde 2.21).
Açıklamada görüşlerine yer verilen Kaspersky Tehdit Keşif Lideri Vladimir Kuskov, “Fidye yazılımı çeteleri ve bağlı olduğu kuruluşlar, Colonial Pipeline, JBS ve o vakitten beri farklı ülkelerdeki öbür birçok kuruluşa yapılan yüksek profilli hücumların akabinde oyunu büyütmeye devam ediyor. Bu sefer REvil operatörleri dünya çapında binlerce yönetilen işletmeye MSP’ler aracılığıyla büyük bir atak gerçekleştirdi. Bu hadise, tedarikçiler ve ortakları dahil olmak üzere tüm kademelerde uygun siber güvenlik ölçümlerinin ve tahlillerinin uygulanmasının ne kadar kıymetli olduğunu bir kere daha gösteriyor.” tabirlerini kullandı.
Kaspersky bu tehdide karşı muhafaza sağlıyor ve şu isimlerle tespit ediyor:
“UDS:DangerousObject.Multi.Generic. Trojan-Ransom.Win32.Gen.gen. Trojan-Ransom.Win32.Sodin.gen. Trojan-Ransom.Win32.Convagent.gen. PDM:Trojan.Win32.Generic (with Behavior Detection)“
PAROLANIZ HER VAKİT GÜÇLÜ OLSUN
Kaspersky, kuruluşları çağdaş fidye yazılımı taarruzlarından korumak için şunları öneriyor:
“Kötü gayeli hareketleri geri alabilen, berbata kullanım tedbire, davranış algılama ve düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business üzere emniyetli bir uç nokta güvenlik tahlili kullanın. KESB ayrıyeten siber hatalılar tarafından kaldırılmasını engelleyebilecek savunma sistemlerine da sahiptir.
Uzak masaüstü hizmetlerini (RDP gibi) gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her vakit güçlü parolalar kullanın. Uzaktan çalışanlara erişim sağlayan ve ağınızda ağ geçidi vazifesi gören ticari VPN tahlilleri için mevcut yamaları çabucak yükleyin. Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit şimdiki tutun.
Savunma stratejinizde yanal hareketleri ve internete data sızmasını tespit etmeye odaklayın. Siber hatalıların temaslarını tespit etmek için giden trafiğe bilhassa dikkat edin. Dataları tertipli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere süratli bir formda erişebildiğinizden emin olun. Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerini kullanın.
Saldırganlar en son gayelerine ulaşmadan evvel, taarruzun erken etaplarında tespit edilip durdurulmasına yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahlilleri kullanın. Kurumsal etrafınızı koruyun ve çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform’da sağlananlar üzere özel eğitim kursları bu hususta yardımcı olabilir. Fidye yazılımı hücumlarından nasıl korunacağınıza dair fiyatsız bir ders burada mevcuttur.”
Haber7
