Bazı fidye yazılımı grupları, 2020 yılının ilk yarısında kurumsal ağları ihlal etmek için Citrix ve Pulse Secure VPN’leri yoğun bir şekilde hedeflerken, çoğu fidye yazılımı saldırısı, risk altındaki RDP uç noktaları nedeniyle gerçekleşti.
İşletme sektörünü hedef alan fidye yazılımı saldırıları, 2020’nin ilk yarısında tüm zamanların en yüksek seviyesine ulaştı.
Fidye yazılımı gruplarının her biri kendi beceri setlerine göre çalışsa da, 2020’nin ilk yarısındaki fidye yazılımı olaylarının çoğu, bir kısım izinsiz giriş vektörüne bağlanabilir.
En popüler üç saldırı yöntemi, güvenli olmayan RDP uç noktaları, e-posta kimlik avı ve kurumsal VPN araçlarının sömürülmesini içerir.
RDP listede bir numara
Bu listenin başında Uzak Masaüstü Protokolü (RDP) var. Coveware , Emsisoft ve Recorded Future’dan gelen raporlar, RDP’yi 2020’deki en popüler saldırı vektörü ve çoğu fidye yazılımı olayının kaynağı olarak açıkça ortaya koyuyor .
Siber güvenlik firması Emsisoft, geçen ay fidye yazılımı çetelerine karşı RDP uç noktalarının güvenliğini sağlamaya yönelik bir kılavuzun parçası olarak, “Bugün, RDP, fidye yazılımı için en büyük tek saldırı vektörü olarak görülüyor,” dedi.
Fidye yazılımı olayına müdahale ve fidye görüşme hizmetleri sağlayan bir şirket olan Coveware’den alınan istatistikler de bu değerlendirmeyi sürdürüyor; RDP’yi bu yıl araştırdığı fidye yazılımı olayları için en popüler giriş noktası olarak sıraladı.
Dahası, tehdit istihbaratı şirketi Recorded Future’dan gelen veriler de RDP’yi kesin bir şekilde zirveye yerleştiriyor.
Tehdit istihbarat analisti Allan Liska en son yayınlanan bir raporda “Uzak Masaüstü Protokolü (RDP) şu anda geniş bir farkla, tehdit aktörleri tarafından Windows bilgisayarlara erişim sağlamak ve fidye yazılımı ve diğer kötü amaçlı yazılımları yüklemek için kullanılan en yaygın saldırı vektörüdür” dedi.
RDP, fidye yazılımı çetelerinin ev tüketicilerini hedeflemeyi bırakıp bunun yerine şirketleri hedeflemeye yöneldiği geçen yıldan bu yana fidye yazılımı çeteleri için en önemli saldırı vektörü oldu.
RDP, uzak sistemlere bağlanmak için günümüzün en iyi teknolojisidir ve çevrimiçi olarak açığa çıkan RDP bağlantı noktalarına sahip milyonlarca bilgisayar vardır, bu da RDP’yi yalnızca fidye yazılımı çeteleri için değil, her türden siber suçlu için büyük bir saldırı vektörü yapar.
Bugün, RDP uç noktaları için interneti taramakta ve ardından kendi kimlik bilgilerini tahmin etmek amacıyla bu sistemlere karşı kaba kuvvet saldırıları gerçekleştirmekte uzmanlaşmış siber suç grupları var.
Zayıf kullanıcı adı ve şifre kombinasyonları kullanan sistemler ele geçirilir ve ardından çeşitli siber suç grupları tarafından satın alındıkları “RDP mağazaları” olarak adlandırılan yerlerde satışa sunulur. RDP mağazaları yıllardır etrafta varlar ve yeni bir şey değiller.
Günümüzde fidye yazılımı çeteleri, RDP mağazalarının en büyük müşterileridir ve bazı mağaza işletmecileri, yalnızca fidye yazılımı çeteleriyle çalışmak için mağazalarını kapattılar veya koleksiyonlarından para kazanmak için Hizmet olarak Ransomware (RaaS) portallarının müşterisi oldular.
VPN cihazları yeni giriş kapısı oldu
Ancak 2020, kurumsal ağlara girmek için VPN ve diğer benzer ağ araçlarının kullanımı gibi başka bir büyük fidye yazılımı saldırı vektörünün de yükselişini gördü.
2019 yazından bu yana, Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks ve F5 dahil olmak üzere günümüzün önde gelen şirketlerinin VPN cihazlarında çok sayıda ciddi güvenlik açığı ortaya çıktı.
Bu güvenlik açıklarından herhangi biri için kavram kanıtı istismar kodu halka açıldığında, bilgisayar korsanı grupları kurumsal ağlara erişim elde etmek için hataları kullanmaya başladı. Bilgisayar korsanlarının bu erişimle yaptıkları, her grubun uzmanlığına bağlı olarak değişiklik gösterdi.
Bazı gruplar ulusal düzeyde siber casusluk, bazı gruplar mali suç ve IP hırsızlığıyla uğraşırken, diğer gruplar “RDP mağazaları” yaklaşımını benimseyerek diğer çetelere erişimi yeniden sattı .
Bu vektörü kullanan bazı seyrek fidye yazılımı olayları geçen yıl rapor edilmiş olsa da, 2020’de artan sayıda fidye yazılımı grubunun kurumsal ağlara giriş noktası olarak saldırıya uğramış VPN cihazlarını kullandığını gördük.
Geçtiğimiz hafta SenseCy tarafından yayınlanan bir rapora göre, 2020 boyunca VPN’ler, fidye yazılımı çeteleri arasında sıcak yeni saldırı vektörü olarak hızla yükseldi; Citrix ağ geçitleri ve Pulse Secure VPN sunucuları en sevdikleri hedeflerdi .
Per SenseCy’ye göre, REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP ve Nefilim gibi çetelerin, saldırıları için giriş noktası olarak CVE-2019-19781’e karşı savunmasız Citrix sistemlerini kullandıkları görüldü.
Benzer şekilde SenseCy, REvil ve Black Kingdom gibi fidye yazılımı gruplarının hedeflerine saldırmak için CVE-2019-11510 hatası için yamalanmamış Pulse Secure VPN’lerden yararlandığını söylüyor.
Bu listedeki en son grup, yüklerini bu sistemlerin kurulabileceği kurumsal veya devlet ağlarına dağıtmak için Pulse Secure sistemlerini hedef almaya başlayan NetWalker çetesidir.
Yeraltındaki siber suçlarda saldırıya uğramış RDP’ler ve VPN’ler etrafında gelişen küçük bir küçük sanayi endüstrisi ve onlarca siber güvenlik firması ve uzmanının sürekli olarak herkese bu sistemleri yamalama ve güvenlik altına alma konusunda hatırlatmasıyla, şirketlerin bu vektörler aracılığıyla saldırıya uğramak konusunda artık bahaneleri kalmadı.
Bir çalışanın zekice gizlenmiş bir kimlik avı e-postasının kurbanı olması başka bir şeydir ve bir yıldan fazla bir süredir VPN’inizi veya ağ donanımınızı yamamamak veya RDP kimlik bilgileriniz olarak admin / admin kullanmak başka bir şeydir.