Güvenlik

FBI ve CISA, fırsatçı Rhysida fidye yazılımı saldırılarına karşı uyardı

Hacker

FBI ve CISA Rhysida fidye yazılımı çetesinin birden fazla endüstri sektöründeki kuruluşları hedef alan fırsatçı saldırıları konusunda uyardı.

Mayıs 2023’te ortaya çıkan bir fidye yazılımı kuruluşu olan Rhysida, Şili Ordusu’na (Ejército de Chile) girip çalınan verileri internete sızdırdıktan sonra hızla ün kazandı.

Son zamanlarda ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) da sağlık kuruluşlarına yönelik son saldırılardan Rhysida çetesinin sorumlu olduğu konusunda uyardı 

Bugünkü ortak siber güvenlik danışmanlığı, savunuculara Eylül 2023 itibarıyla soruşturmalar sırasında keşfedilen risk göstergeleri (IOC’ler), tespit bilgileri ve Rhysida taktikleri, teknikleri ve prosedürleri (TTP’ler) sağlıyor.

İki kurum, “Rhysida fidye yazılımından yararlanan tehdit aktörlerinin, eğitim, sağlık, üretim, bilgi teknolojisi ve devlet sektörlerindeki mağdurlar da dahil olmak üzere ‘fırsat hedeflerini’ etkilediği biliniyor” dedi .

“Hizmet olarak fidye yazılımı (RaaS) modeli olarak gözlemlenen Rhysida aktörleri, eğitim, üretim, bilgi teknolojisi ve devlet sektörlerindeki kuruluşları tehlikeye attı ve ödenen fidye, grup ve bağlı kuruluşlar arasında paylaştırılıyor.”

Rhysida saldırganlarının, ilk erişimi oluşturmak ve kurbanların ağlarında varlıklarını sürdürmek için çalıntı kimlik bilgilerini kullanarak dışarıya yönelik uzak hizmetlere (kurumsal kullanıcıların harici konumlardan şirket varlıklarına erişmesine olanak tanıyan VPN’ler gibi) sızmaya çalıştığı da tespit edildi.

Bu, ortamlarında varsayılan olarak Multi-Factor Authentication’ın (MFA) etkin olmadığı kuruluşlar hedeflenirken mümkün oldu.

fidye yazılım

Rhysida fidye notu 

Ayrıca, Rhysida kötü niyetli aktörlerinin kimlik avı saldırıları ve Microsoft’un Netlogon Uzaktan Protokolü içinde Windows ayrıcalığının yükseltilmesini sağlayan kritik bir güvenlik açığı olan Zerologon’dan (CVE-2020-1472) yararlanmalarıyla biliniyor.

FBI ve CISA, Microsoft tarafından Vanilla Tempest veya DEV-0832 olarak takip edilen Vice Society fidye yazılımı grubuyla bağlantılı kuruluşların, saldırıları sırasında Rhysida fidye yazılımı yüklerini kullanmaya başladıklarını ekliyor.

Sophos , Check Point Research ve PRODAFT araştırması, bu değişimin yaklaşık olarak Temmuz 2023’te, Rhysida’nın kurbanları veri sızıntısı web sitesine eklemeye başlamasından hemen sonra gerçekleştiğini kaydetti.

Ağ savunucularının, Rhysida gibi fidye yazılımı olaylarının olasılığını ve ciddiyetini en aza indirmek için bugünkü ortak danışma belgesinde belirtilen önlemleri uygulamaları tavsiye edilir.

En azından, aktif istismar sırasında güvenlik açıklarının kapatılmasına öncelik verilmesi, tüm hizmetlerde (özellikle web mail, VPN ve kritik sistem hesapları için) MFA’nın etkinleştirilmesi ve yanal hareket girişimlerini engellemek için ağ bölümlendirmesinin kullanılması çok önemlidir.

Kaynak:bleepingcomputer.com

Hakan Karakuş

Hakan Karakuş

1980 yılında İstanbul'da doğdum. İlk, orta ve lise öğrenimimi İstanbul'da tamamladıktan sonra Eskişehir Anadolu Üniversitesi'nde Web Tasarım ve Kodlama bölümünden mezun oldum. Daha sonra Yönetim Bilişim Sistemleri bölümünden ikinci bir lisans derecesi ile mezun oldum. Teknolojiye olan ilgim 1992'de, Inter DX 2x66 işlemcili ilk bilgisayarım ile başladı. 1997-2000 yılları arasında çeşitli bilgisayar firmalarında teknik servis personeli olarak çalıştım ve askerlik görevimin ardından sistem alanında kendimi geliştirmeye odaklandım. 2004 yılında Bilge Adam Eğitim Kurumunda Sistem Mühendisliği eğitimi aldım ve 2005 yılında MCP, MCSE, MCSA, MCSE:S ve MCSE:M gibi çeşitli sertifikalara sahip oldum. Sektörde 2005 yılından beri aktif olarak yer alıyorum. Kariyerim boyunca farklı şirketlerin bilgi işlem departmanlarında görev aldım ve şu an BELBİM Elektronik Para ve Ödeme Hizmetleri A.Ş'de Uygulama Operasyonları Yönetim şefliğinde Ekip lideri olarak Görev yapıyorum.

İlgili Makaleler

Başa dön tuşu