İlk olarak 2019’da ortaya çıkan REvil (diğer adıyla Sodinokibi), hizmet olarak fidye yazılımı (RaaS) operatörleri arasında en üretken olanı. Vurdukları hedefler ve rekor fidye yazılımı kazançları nedeniyle son birkaç ayda çok sayıda manşete konu oldular. Son saldırıda REVil, MSP’ler için BT Yönetim Yazılımı sağlayan bir şirkete bulaştı ve dünya çapında çok sayıda şirketi etkisi altına aldı. Saldırganlar, PowerShell scripti aracılığıyla kötü niyetli bir yük dağıttı ve bu da muhtemelen MSP sağlayıcısının yazılımı aracılığıyla çalıştırıldı.
Bu komut dosyası Microsoft Defender for Endpoint koruma özelliklerini devre dışı bıraktıktan sonra meşru bir Microsoft binary dosyası, Microsoft Defender çözümünün eski bir sürümü ve REvil fidye yazılımı içeren kötü amaçlı kitaplık içeren kötü amaçlı bir yürütülebilir dosyanın kodunu çözdü. Saldırganlar yükleyicideki bu bileşen kombinasyonunu kullanarak DLL yandan yükleme tekniğinden yararlandı ve birden çok kuruluşa aynı anda saldırdı.
Tehdit İstihbarat Servisini kullanan Kaspersky, 22 ülkede 5 binden fazla saldırı girişimi gözlemledi. Bunlar arasında en çok etkilenenler İtalya (%45,2 kayıtlı saldırı girişimi), ABD (%25,91), Kolombiya (%14,83), Almanya (%3,21) ve Meksika oldu (%2.21).
Kaspersky Tehdit Keşif Başkanı Vladimir Kuskov, şunları söyledi: “Fidye yazılımı çeteleri ve bağlı olduğu kuruluşlar, Colonial Pipeline, JBS ve o zamandan beri farklı ülkelerdeki diğer birçok kuruluşa yapılan yüksek profilli saldırıların ardından oyunu büyütmeye devam ediyor. Bu sefer REvil operatörleri dünya çapında binlerce yönetilen işletmeye MSP’ler aracılığıyla büyük bir saldırı gerçekleştirdi. Bu vaka, tedarikçiler ve ortakları dahil olmak üzere tüm aşamalarda uygun siber güvenlik ölçümlerinin ve çözümlerinin uygulanmasının ne kadar önemli olduğunu bir kez daha gösteriyor.”
Kaspersky bu tehdide karşı koruma sağlıyor ve aşağıdaki adlarla tespit ediyor:
- UDS:DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.Gen.gen
- Trojan-Ransom.Win32.Sodin.gen
- Trojan-Ransom.Win32.Convagent.gen
- PDM:Trojan.Win32.Generic (with Behavior Detection)
Securelist’te son REvil saldırısı hakkında daha fazla bilgi edinebilirsiniz.
Kuruluşları modern fidye yazılımı saldırılarından korumak için Kaspersky şunları öneriyor:
- Kötü amaçlı eylemleri geri alabilen, kötüye kullanım önleme, davranış algılama ve düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business gibi güvenilir bir uç nokta güvenlik çözümü kullanın. KESB ayrıca siber suçlular tarafından kaldırılmasını engelleyebilecek savunma mekanizmalarına da sahiptir.
- Uzak masaüstü hizmetlerini (RDP gibi) gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her zaman güçlü parolalar kullanın.
- Uzaktan çalışanlara erişim sağlayan ve ağınızda ağ geçidi görevi gören ticari VPN çözümleri için mevcut yamaları hemen yükleyin.
- Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her zaman güncel tutun.
- Savunma stratejinizde yanal hareketleri ve internete veri sızmasını tespit etmeye odaklayın. Siber suçluların bağlantılarını tespit etmek için giden trafiğe özellikle dikkat edin. Verileri düzenli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere hızlı bir şekilde erişebildiğinizden emin olun. Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerini kullanın.
- Saldırganlar nihai hedeflerine ulaşmadan önce, saldırının erken aşamalarında tespit edilip durdurulmasına yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti gibi çözümleri kullanın.
- Kurumsal çevrenizi koruyun ve çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform’da sağlananlar gibi özel eğitim kursları bu konuda yardımcı olabilir. Fidye yazılımı saldırılarından nasıl korunacağınıza dair ücretsiz bir ders burada mevcuttur.
