REvil Fidye Yazılımı Kampanyasında 22 Ülkede 5 Bin Hücum Şoku!

İlk olarak 2019’da ortaya çıkan REvil (öteki adıyla Sodinokibi), hizmet olarak fidye yazılımı (RaaS) operatörleri içinde en üretken olanı. Vurdukları hedefler ve üstün dereceli fidye yazılımı kazançları sebebiyle son birkaç ayda fazlaca sayıda manşete mevzu oldular. Son saldırıda REVil, MSP’ler için BT Yönetim Yazılımı elde eden bir şirkete bulaştı ve dünya genelinde fazlaca sayıda şirketi tesiri altına aldı. Saldırganlar, PowerShell scripti vasıtasıyla fena niyetli bir yük dağıttı ve bu da muhtemelen MSP sağlayıcısının yazılımı vasıtasıyla çalıştırıldı.

Bu komut dosyası Microsoft Defender for Endpoint koruma özelliklerini dönem dışı bıraktıktan sonrasında meşru bir Microsoft binary dosyası, Microsoft Defender çözümünün eski bir sürümü ve REvil fidye yazılımı içeren fena amaçlı kitaplık içeren fena amaçlı bir yürütülebilir dosyanın kodunu çözdü. Saldırganlar yükleyicideki bu bileşen kombinasyonunu kullanarak DLL taraftan yükleme tekniğinden yararlandı ve birden fazlaca kuruluşa aynı anda hücum etti.

Tehdit İstihbarat Servisini kullanan Kaspersky, 22 ülkede 5 binden fazla hücum girişimi gözlemledi. Bunlar içinde en fazlaca etkilenenler İtalya (%45,2 kayıtlı hücum girişimi), ABD (%25,91), Kolombiya (%14,83), Almanya (%3,21) ve Meksika oldu (%2.21).

Kaspersky Tehdit Bulgu Başkanı Vladimir Kuskov, şunları söylemiş oldu: “Fidye yazılımı çeteleri ve bağlı olduğu kuruluşlar, Colonial Pipeline, JBS ve o zamandan beri değişik ülkelerdeki öteki birçok kuruluşa meydana getirilen yüksek profilli saldırıların arkasından oyunu büyütmeye devam ediyor. Bu sefer REvil operatörleri dünya genelinde binlerce yönetilen işletmeye MSP’ler vasıtasıyla büyük bir hücum gerçekleştirmiş oldu. Bu olay, tedarikçiler ve ortakları dahil olmak suretiyle tüm aşamalarda uygun siber güvenlik ölçümlerinin ve çözümlerinin uygulanmasının ne kadar mühim bulunduğunu bir kez daha gösteriyor.”

Kaspersky bu tehdide karşı koruma sağlıyor ve aşağıdaki adlarla tespit ediyor:

• UDSangerousObject.Multi.Generic
• Trojan-Ransom.Win32.Gen.gen
• Trojan-Ransom.Win32.Sodin.gen
• Trojan-Ransom.Win32.Convagent.gen
• PDM:Trojan.Win32.Generic (with Behavior Detection)

Securelist’te son REvil saldırısı hakkında daha çok informasyon edinebilirsiniz.

Kuruluşları çağdaş fidye yazılımı saldırılarından korumak için Kaspersky şunları öneriyor:

• Fena amaçlı eylemleri geri alabilen, kötüye kullanım önleme, davranış idrak etme ve düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business benzer biçimde güvenilir bir uç nokta güvenlik çözümü kullanın. KESB ek olarak siber suçlular tarafınca kaldırılmasını engelleyebilecek müdafa mekanizmalarına da haizdir.
• Uzak masaüstü hizmetlerini (RDP benzer biçimde) lüzumlu olmadıkça genel ağlara maruz bırakmayın ve bunlar için daima kuvvetli parolalar kullanın.
• Uzaktan çalışanlara erişim elde eden ve ağınızda ağ geçidi görevi gören ticari VPN çözümleri için mevcut yamaları derhal yükleyin.
• Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları daima güncel tutun.
• Müdafa stratejinizde yanal hareketleri ve internete veri sızmasını tespit etmeye odaklayın. Siber suçluların bağlantılarını saptamak için giden trafiğe bilhassa dikkat edin. Verileri tertipli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere süratli bir halde erişebildiğinizden güvenli olun. Tehdit oyuncuları tarafınca kullanılan gerçek TTP’lerden haberdar olmak için son olarak Tehdit İstihbaratı bilgilerini kullanın.
• Saldırganlar nihai hedeflerine ulaşmadan ilkin, saldırının erken aşamalarında tespit edilip durdurulmasına destek olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti benzer biçimde çözümleri kullanın.
• Kurumsal çevrenizi koruyun ve çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform’da sağlananlar benzer biçimde hususi eğitim kursları bu mevzuda destek olabilir. Fidye yazılımı saldırılarından iyi mi korunacağınıza dair parasız bir ders burada mevcuttur.