REvil (Sodikinibi) Siber Çetesi Tarafından Yönlendirilen Fidye Yazılım Saldırısı Dünya Çapında 1.500 İşletmeyi Etkiliyor
Kötü şöhretli REvil / Sodinikibi siber çetesinin dümende gerçekleştirdiği büyük bir fidye yazılımı saldırısının, Amerika'da 200'e kadar ve dünya çapında 1500'e yakın işletmeyi vurduğu iddia ediliyor. Rus bağlantılı dolandırıcılar, tehdidi yaymak için belirli bir ağ yönetimi yazılım paketini tehlikeye attı ve bu da sayısız bulut hizmeti sağlayıcısına ulaşmalarına izin verdi.
Söz konusu hatalı yazılımın adı Virtual System Administrator veya VSA – dünya genelindeki küçük ve orta ölçekli işletmelere verimli ve uygun maliyetli yazılım çözümleri sağlamaya çalışan özel bir şirket olan Kaseya tarafından geliştirilen ve pazarlanan bir Uzaktan İzleme ve Yönetim sistemidir. . Kötü amaçlı yazılım, Kaseya'nın şirket içi VAS paketi tarafından yönetilen uç noktalarda fidye yazılımı yürütmeye başladı. Sonuç olarak, taktiğin gerçek ölçeği, güvenlik araştırmacılarının umduğundan çok daha önemli olabilir.
İçindekiler
Daha Büyük Bir Etki için Popüler Yazılımlardan Yararlanmak
Bu çaptaki fidye yazılımı saldırıları, genellikle iyi bilinen, yaygın olarak kullanılan yazılım programlarındaki güvenlik kusurlarını bulmaya çalışır ve ardından kötü amaçlı yazılımı tedarik zincirinin daha aşağılarına yerleştirmek için bu kusurlardan yararlanır. Ancak bu, gözlemlediğimiz ilk büyük ölçekli tedarik zinciri fidye yazılımı saldırısı. Kaseya'nın VSA paketini kullanan çok sayıda işletme göz önüne alındığında, şu ana kadar müşterilerinin yüzde kaçının saldırının kurbanı olduğu tam olarak belli değil. Kaseya'nın yönetimi, kötü amaçlı yazılımın yayılmasını engellemek için müşterileri şirket içi tüm VSA sunucularını kapatmaya çağıran resmi bir bildiri yayınladı. Şirket altmıştan az etkilenen müşteri bulmuş olsa da, ikincisinin diğer birçok şirketle iş ilişkileri var ve bu da etkilenen toplam şirket sayısını tahminen 1500 veya civarlarına getiriyor.
4 Temmuz Arifesinde - Tesadüf mü, Hesaplı Bir Hareket mi?
Güvenlik araştırmacıları, BT'ler de dahil olmak üzere çoğu işletme departmanının ulusal tatiller öncesinde ve sırasında personel sayısını azaltmış olması nedeniyle, saldırının zamanlamasının – 2 Temmuz Cuma – kasıtlı olduğuna inanıyor. Saldırıyı keşfeden Huntress Labs'den John Hammond, her biri diğer birçok işletmeye BT altyapısı barındırma hizmetleri sağlayan en az dört virüslü yönetilen hizmet sağlayıcısı bildirdi. Saldırının tedarik zinciri karakteri, büyük bir zarar potansiyeline sahiptir, çünkü nihai kurbanları, tamamen tedarikçilerinin güvenliğine bağlı olan küçük ve orta ölçekli şirketlerdir. İkincisi bir ihlale maruz kaldığında, zincirin daha aşağısındaki ticari müşterileri arasında orman yangını gibi yayılır.
Yama ve Önleyici Tedbirler (6 Temmuz, 12:00 EDT itibariyle)
Kaseya yetkilileri, etkilenen müşterilere bir sonraki duyuruya kadar şirket içi VSA Sunucularını kapatmalarını ve sunucuları tekrar çevrimiçi duruma getirmeden önce bir güvenlik yaması geliştirme sözü vererek fidye yazılımıyla ilgili URL'lere tıklamaktan kaçınmalarını tavsiye etti. Şirket, VSA SaaS Altyapısını da çevrimdışına alarak aynı yolu izledi. Kaseya'nın güvenlik uzmanları, SaaS hizmetlerini bugün 19:00 EDT'ye kadar geri yüklemeyi umarken, gelecekteki enfeksiyon riskini en aza indirmek için bir dizi gelişmiş güvenlik önlemi uygulamayı da planlıyorlar. Bu önlemler, kurulumdan şunları içerir:
- Her VSA sunucusunu izlemek için bağımsız bir Güvenlik İşlemleri Merkezi (SOC)
- Her VSA sunucusu için karşılık gelen bir Web Uygulaması Güvenlik Duvarı (WAF) ile ek bir İçerik Dağıtım Ağı (CDN)
- Herhangi bir olası ihlal için şirket içi VSA sunucularını test etmek isteyen müşteriler için bir Uzlaşma Tespiti Aracı
- Şirket içi VSA müşterileri için bir yama (zaten geliştirildi, şu anda test ve doğrulama sürecinden geçiyor).
Her şey planlandığı gibi giderse Kaseya'nın VSA müşterileri birkaç saat içinde sunucularını hazır hale getirebilecekler.