Trend Micro raporu, günümüzün en tehlikeli ve başarılı saldırı gruplarından birini mercek altına alıyor. Küresel siber güvenlik lideri Trend Micro Incorporated (TYO: 4704; TSE: 4704), Nefilim fidye yazılımı grubuna ilişkin modern fidye saldırılarının işleyişini gözler önüne seren bir rapor hazırladı. Rapor, fidye yazılımı gruplarının nasıl geliştiklerine, nasıl yakalanmadan çalıştıklarına, gelişmiş tehdit tespit ve müdahale platformlarının bu saldırıları durdurmaya nasıl yardımcı olacağına dair değerli bilgiler içeriyor.
Modern fidye yazılımı yaklaşımları, zaten tehditlere yetişmekte zorlanan güvenlik operasyon merkezi ve BT ekiplerinin saldırıları tespit etmelerini ve müdahale etmelerini önemli ölçüde zorlaştırıyor. Bu konu, yalnızca finansal ve kurumsal itibar için değil, aynı zamanda güvenlik ekiplerinin refahı için de büyük önem arz ediyor. “Modern Fidye Yazılımlarının Çifte Şantaj (Verileri Şifreleme ve Ele Geçirme) Taktikleri ve İşletmeler Bunlardan Nasıl Korunur” başlıklı raporu okumak için aşağıdaki bağlantıyı ziyaret edebilirsiniz:
Raporu yorumlayan Trend Micro Siber Suç Araştırma Direktörü Bob McArdle, “Gelişmiş Kalıcı Tehdit (APT) grupları tarafından mükemmelleştirilmiş ve kanıtlanmış yöntemler kullanan modern fidye yazılımı saldırıları, son derece hedefli, uyarlanabilir ve sinsi bir şekilde gerçekleşiyor. Nefilim gibi gruplar, verileri çalarak ve önemli kurumsal sistemleri kilitleyerek, son derece kârlı küresel organizasyonlara şantaj yapmaya çalışıyor. En son raporumuz, hızla büyüyen yeraltı ekonomisinin nasıl çalıştığını anlamak ve Trend Micro Vision One gibi çözümlerin bu saldırıları önlemeye nasıl yardımcı olabileceğini öğrenmek isteyen herkesin okuması gereken bir kaynak” dedi.
Mart 2020 ile Ocak 2021 arasında incelenen 16 fidye yazılımı grubundan Conti, Doppelpaymer, Egregor ve REvil, tuzağa düşürdükleri işletme sayısı açısından başı çekerken, Cl0p ise 5 TB ile çevrimiçi olarak depolanan en büyük veri hırsızlığına imza attı. Özellikle 1 milyar dolar ve üzeri gelir elde eden işletmeleri hedef alan Nefilim grubu ise en yüksek ortalama suç geliri elde eden grup oldu.
Rapor, Nefilim tarafından gerçekleştirilen saldırıların genellikle aşağıdaki aşamalardan oluştuğunu ortaya koyuyor:
- RDP veya dışarıya açık diğer HTTP hizmetlerindeki güvenlik açıklarından yararlanılarak elde edilen kimlik bilgileriyle ilk erişim sağlanır.
- Sızma tamamlandıktan sonra, yanal hareketler ve meşru yönetici araçları kullanılarak veri hırsızlığı ve şifreleme için hedef alınacak değerli sistemler bulunur.
- Cobalt Strike, HTTP, HTTPS ve DNS gibi güvenlik duvarlarından geçebilen protokoller ile bir “eve çağrı” sistemi kurulur.
- Kontrol ve Komuta Merkezi (C&C) sunucuları için dayanıklı barındırma hizmetleri kullanılır.
- Çalınan veriler, daha sonra işletmelere şantaj yapmak için TOR korumalı web sitelerinde yayınlanır. Nefilim geçtiğimiz yıl yaklaşık 2 TB veri yayınladı.
- Yeterli miktarda veri sızdırıldıktan sonra fidye yazılımı manuel olarak başlatılır.
Trend Micro daha önce, fidye yazılımı saldırganlarının gizli kalırken nihai hedeflerine ulaşmalarına yardımcı olmak için AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync gibi meşru araçları yaygın olarak kullandıklarına dair uyarılarda bulunmuştu. Bu durum, BT ortamının farklı bölümlerinden olay günlüklerini inceleyen güvenlik analistlerinin büyük resmi görmesini ve saldırıları tespit etmesini zorlaştırıyor.
Trend Micro Vision One, tehdit aktörlerinin saklanabilecekleri bir yer olmadığından emin olmak için birden çok katmanda (uç noktalar, e-postalar, sunucular ve bulut iş yükleri) şüpheli davranışları izliyor ve ilişkilendiriyor. Bu, olaylara müdahale sürelerinin hızlanmasını sağlıyor ve ekipler saldırıları işletmeler üzerinde ciddi bir etki yaratma şansı bulamadan durdurabiliyor.