BlackCat Fidye Yazılımı Dağıtmak İçin Exchange Sunucularını Hedefleyen Bilgisayar Korsanları

Microsoft, yaygın bir tehdit ve büyüyen hizmet olarak fidye yazılımı (RaaS) konser ekonomisinin önemli bir örneği olan ALPHV olarak da adlandırılan BlackCat Ransomware'i ayrıntılarıyla anlatan bir blog yayınladı.

Fidye yazılımı ilk olarak Kasım 2021'de gözlemlendi, BlackCat, Rust programlama dilinde yazılmış ilk fidye yazılımı ailelerinden biriydi.

Microsoft 365 Defender Tehdit İstihbarat Ekibi'ne göre, "BlackCat'in gelişi ve yürütülmesi, onu dağıtan aktörlere bağlı olarak değişir, sonuç aynıdır - hedef veriler şifrelenir, sızdırılır ve saldırganların fidye ödenmezse çalınan verileri halka açıklamakla tehdit ettiği 'çifte gasp' için kullanılır."

BlackCat Fidye Yazılımı

Microsoft, BlackCat fidye yazılımı bağlı kuruluşlarının artık yamalanmamış güvenlik açıklarını hedefleyen istismarları kullanarak Microsoft Exchange sunucularına saldırdığını söylüyor. Giriş vektörü olarak yamalanmamış bir Exchange sunucusu kullanan tehdit aktörü, BlackCat fidye yazılımı yüklerini PsExec aracılığıyla ağ üzerinden dağıttı.

Bu Fidye Yazılımı, yükü için modern bir dil kullanır ve bu dilde yazılmış ikili dosyaları analiz etme ve ayrıştırma yeteneklerini hala yakalayabilecek geleneksel güvenlik çözümleri tarafından algılanmaktan kaçmaya çalışır.

Fidye yazılımı birden fazla cihazı ve işletim sistemini hedef alır. Microsoft, Windows ve Linux cihazlarına ve VMWare örneklerine yönelik başarılı saldırılar fark etti.

Raporda, bu fidye yazılımının etkisinin Afrika, Amerika, Asya ve Avrupa'daki çeşitli ülkelerde ve bölgelerde gözlemlendiği belirtiliyor. Microsoft, bu tür saldırıları ve bunların takip eden etkinliklerini algılamak ve engellemek için çeşitli tehdit sinyallerini ilişkilendiren koruma özellikleri sunan Microsoft 365 Defender'ı önerir.

Microsoft, BlackCat'in Kullanıcı Hesabı Denetimi'ni (UAC) atlayabileceğini belirtir; bu, yükün yönetici olmayan bir bağlamdan çalışsa bile başarıyla çalışacağı anlamına gelir. Özellikle, fidye yazılımı verilen sistemin bilgisayar adını, bir cihazdaki yerel sürücüleri ve bir cihazdaki AD etki alanı adını ve kullanıcı adını bulabilir.

Kötü amaçlı yazılım, bir kullanıcının etki alanı yöneticisi ayrıcalıklarına sahip olup olmadığını da tanıyabilir ve böylece daha fazla cihaz fidye alma yeteneğini artırabilir. Raporda, "BlackCat, bir ağa bağlı tüm sunucuları keşfediyor" deniyor. Şirket, birkaç siber suç grubunun artık bu Hizmet Olarak Fidye Yazılımı (RaaS) operasyonunun bağlı kuruluşları olduğunu ve saldırılarda aktif olarak kullandığını söylüyor.

Exchange güvenlik açığından yararlanma yoluyla BlackCat fidye yazılımı saldırı zinciri

BlackCat Fidye Yazılımı Saldırısına Karşı Koruma

Microsoft, kuruluşların uçtan uca saldırı zincirini önlemek için savunma stratejilerini hareket ettirmeleri gerektiğini söylüyor. Ayrıca, erişim izleme ve uygun yama yönetimi gibi çeşitli en iyi uygulamalarla ağları sağlamlaştırmak çok önemlidir.

Savunucular, kuruluşlarının kimlik duruşunu yeniden incelemeli, dış erişimi denetlemeli ve mümkün olan en kısa sürede güncelleştirmek için ortamlarındaki güvenlik açığından etkilenen Exchange sunucularını bulmalıdır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.