Nefilim fidye yazılımı milyar dolar geliri olan işletmeleri hedef alıyor

Güncelleme Tarihi:

Nefilim fidye yazılımı milyar dolar geliri olan işletmeleri hedef alıyor
Oluşturulma Tarihi: Haziran 18, 2021 10:34

Nefilim fidye yazılımı grubuna ilişkin modern fidye saldırılarının işleyişini gözler önüne seren bir rapor hazırlandı. Rapor, fidye yazılımı gruplarının nasıl geliştiklerine, nasıl yakalanmadan çalıştıklarına, gelişmiş tehdit tespit ve müdahale platformlarının bu saldırıları durdurmaya nasıl yardımcı olacağına dair değerli bilgiler içeriyor.

Haberin Devamı

Modern fidye yazılımı yaklaşımları, zaten tehditlere yetişmekte zorlanan güvenlik operasyon merkezi ve BT ekiplerinin saldırıları tespit etmelerini ve müdahale etmelerini önemli ölçüde zorlaştırıyor. Bu konu, yalnızca finansal ve kurumsal itibar için değil, aynı zamanda güvenlik ekiplerinin refahı için de büyük önem arz ediyor.

Raporu yorumlayan Trend Micro Siber Suç Araştırma Direktörü Bob McArdle, “Gelişmiş Kalıcı Tehdit (APT) grupları tarafından mükemmelleştirilmiş ve kanıtlanmış yöntemler kullanan modern fidye yazılımı saldırıları, son derece hedefli, uyarlanabilir ve sinsi bir şekilde gerçekleşiyor. Nefilim gibi gruplar, verileri çalarak ve önemli kurumsal sistemleri kilitleyerek, son derece kârlı küresel organizasyonlara şantaj yapmaya çalışıyor. En son raporumuz, hızla büyüyen yeraltı ekonomisinin nasıl çalıştığını anlamak ve Trend Micro Vision One gibi çözümlerin bu saldırıları önlemeye nasıl yardımcı olabileceğini öğrenmek isteyen herkesin okuması gereken bir kaynak” dedi.

Haberin Devamı

Mart 2020 ile Ocak 2021 arasında incelenen 16 fidye yazılımı grubundan Conti, Doppelpaymer, Egregor ve REvil, tuzağa düşürdükleri işletme sayısı açısından başı çekerken, Cl0p ise 5 TB ile çevrimiçi olarak depolanan en büyük veri hırsızlığına imza attı.

Özellikle 1 milyar dolar ve üzeri gelir elde eden işletmeleri hedef alan Nefilim grubu ise en yüksek ortalama suç geliri elde eden grup oldu.

Rapor, Nefilim tarafından gerçekleştirilen saldırıların genellikle aşağıdaki aşamalardan oluştuğunu ortaya koyuyor:

* RDP veya dışarıya açık diğer HTTP hizmetlerindeki güvenlik açıklarından yararlanılarak elde edilen kimlik bilgileriyle ilk erişim sağlanır.

* Sızma tamamlandıktan sonra, yanal hareketler ve meşru yönetici araçları kullanılarak veri hırsızlığı ve şifreleme için hedef alınacak değerli sistemler bulunur.
Cobalt Strike, HTTP, HTTPS ve DNS gibi güvenlik duvarlarından geçebilen protokoller ile bir “eve çağrı” sistemi kurulur.

* Kontrol ve Komuta Merkezi (C&C) sunucuları için dayanıklı barındırma hizmetleri kullanılır.

* Çalınan veriler, daha sonra işletmelere şantaj yapmak için TOR korumalı web sitelerinde yayınlanır. Nefilim geçtiğimiz yıl yaklaşık 2 TB veri yayınladı.
Yeterli miktarda veri sızdırıldıktan sonra fidye yazılımı manuel olarak başlatılır.

Uzmanlar daha önce, fidye yazılımı saldırganlarının gizli kalırken nihai hedeflerine ulaşmalarına yardımcı olmak için AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ve MegaSync gibi meşru araçları yaygın olarak kullandıklarına dair uyarılarda bulunmuştu. Bu durum, BT ortamının farklı bölümlerinden olay günlüklerini inceleyen güvenlik analistlerinin büyük resmi görmesini ve saldırıları tespit etmesini zorlaştırıyor.

Haberle ilgili daha fazlası:

BAKMADAN GEÇME!