Karanlık Melekler Ekibi Fidye Yazılımı: Siber Güvenlikte Yükselen Tehdit
Sürekli gelişen siber tehditler ortamında, dijital alana gölge düşüren yeni bir kötü niyetli rakip ortaya çıktı. Bu Dark Angels Team fidye yazılımı ilk olarak Mayıs 2022'de sinsi çıkışını yaptı ve kısa sürede çi̇fte gasp Taktikler. Kurbanın dosyalarını şifreleyen geleneksel fidye yazılımlarının aksine, Dark Angels Team iki yönlü bir yaklaşım benimseyerek hem şifre çözme anahtarı hem de çalınan verileri yayınlamama taahhüdü için ödeme talep ediyor.
Bu tehditkar yazılım başlangıçta Windows sistemleri'den türetilen yüklerden yararlanarak Sızan Babuk İnşaatçılarancak o zamandan beri erişim alanını Linux/ESXi sistemlerianımsatan bir sofistike düzey sergiliyor. RagnarLocker fidye yazılımı.
Johnson Controls Siber Saldırısı: Bir Vaka Çalışması
Özellikle kayda değer olay Dark Angels Team fidye yazılımını içeren olay Eylül 2023'te meydana geldi. Johnson Controlsbina otomasyonu ve yönetim sistemlerinde dünya lideri olan şirket, bir fidye yazılımı saldırısının kurbanı oldu. Bu olay sadece şirketin operasyonlarını sekteye uğratmakla kalmadı, aynı zamanda şaşırtıcı bir fidye talebi nedeniyle alarm verdi $51 milyon.
Saldırganlar yaklaşık olarak 27 terabayt veriile ilgili potansiyel olarak hassas bilgiler de dahil olmak üzere İç Güvenlik Bakanlığı (DHS)Güvenlik detayları ve tesis kat planları gibi. Saldırının ölçeği ve cüreti, Dark Angels Team fidye yazılımının oluşturduğu güçlü tehdidi keskin bir şekilde hatırlatmaktadır.
Dark Angels Team Fidye Yazılımının Teknik İncelemesi
Temel Özellikler
Bu çi̇fte gasp Dark Angels Team fidye yazılımı tarafından kullanılan model, özellikle hassas verileri işleyen sektörler için endişe vericidir. Bu fidye yazılımının arkasındaki grup, aşağıdakiler de dahil olmak üzere çeşitli sektörleri hedef alarak geniş bir ağ oluşturmuştur sağlık, kamu, finans ve eğitim. Fidye yazılımının Johnson Controls'ün yazılımını istismar etmesi bunun en iyi örneklerinden biriydi. VMWare ESXi sunucularıBu da saldırının önemli bir bileşeniydi.
Dark Angels Team fidye yazılımının yüklerini incelerken şunu gözlemliyoruz Windows yükleri Babuk fidye yazılımı ile çarpıcı bir benzerlik taşıyor ve sistemin kurtarılmasını engellemek ve şifreleme sürecine müdahale edebilecek işlemleri sonlandırmak için tasarlanmış benzer yıkıcı yeteneklere sahip. Öte yandan, Babuk Linux/ESXi faydalı yükleri Intel tabanlı Linux sistemleri için uyarlanmış ısmarlama 64 bit ELF ikili dosyalarıdır. Bu yükler aşağıdakileri kullanır AES şifreleme 256 bitlik bir anahtarla ve şifreleme ilerlemesini kodlanmış bir dosyaya kaydetme gibi işlevler sergiler (wrkman.log) ve şifreleme iş parçacıklarını kontrol etmek ve ayrıntılı günlüğü etkinleştirmek için isteğe bağlı argümanları destekler.
Ağ Yayılımı
Fidye yazılımının ağlar arasında yayılma kabiliyeti kuruluşlar için önemli bir endişe kaynağıdır. Dark Angels Team fidye yazılımının Windows sürümü, her makineyi seri olarak işleyerek bitişik ana bilgisayarlara yayılmak üzere tasarlanmıştır. Bu yöntem etkili olmakla birlikte verimsiz ve zaman alıcı olabilir ve fidye yazılımı yıkıcı potansiyelini gerçekleştirmeden önce tespit edilmesine ve müdahale edilmesine olanak tanıyabilir.
Tespit ve Hafifletme: Proaktif Bir Yaklaşım
Tespit Teknikleri
Dark Angels Team fidye yazılımıyla ilgili faaliyetleri tespit etmek kapsamlı bir strateji gerektirir. Bu strateji SentinelOne Singularity XDR Platformu bu tür faaliyetleri belirleme ve engelleme konusunda ustadır. SentinelOne'ın yardımı olmadan, kuruluşlar çok katmanlı yaklaşım kötü amaçlı yazılımdan koruma araçları, ağ trafiği izleme, düzenli güvenlik denetimleri, çalışan eğitimi ve sağlam bir yedekleme ve kurtarma planı içerir.
Etki Azaltıcı Önlemler
Bir saldırı durumunda SentinelOne Singularity XDR platformu, Karantina veya Onarım işlevlerini kullanarak sistemleri saldırı öncesi durumuna geri yükleyebilir. SentinelOne kullanmayan kuruluşlar için birkaç önemli hafifletme önlemi uygulanabilir:
- Çalışan Eğitimi: Çalışanları kimlik avı girişimlerini ve diğer siber güvenlik tehditlerini tanımaları ve bildirmeleri için eğitmek hayati bir savunma hattıdır.
- Güçlü Parola Politikaları: Güçlü, benzersiz parolaların kullanılmasını zorunlu kılmak ve düzenli parola değişikliklerini zorunlu kılmak güvenliği önemli ölçüde artırabilir.
- Çok Faktörlü Kimlik Doğrulama (MFA): MFA'nın uygulanması, kullanıcı hesaplarına ek bir güvenlik katmanı ekleyerek yetkisiz erişimi daha zor hale getirir.
- Düzenli Güncellemeler ve Yamalar: Sistemlerin güncel tutulması ve yamalanması, saldırganlar tarafından istismar edilebilecek güvenlik açıklarının kapatılması için çok önemlidir.
- Yedekleme ve Felaket Kurtarma: Fidye yazılımı saldırısı durumunda hızlı ve güvenilir veri restorasyonu için tesis dışı depolama ve rutin testlerle düzenli yedekleme süreçlerinin oluşturulması ve sürdürülmesi çok önemlidir.
Kripto Para Birimleri ile Alaka Düzeyi
Dark Angels Team gibi fidye yazılımı operasyonları ile kripto para birimleri inkar edilemez. Saldırganlar genellikle anonimlikten ve bu tür işlemlerin izlenmesindeki zorluktan yararlanmak için kripto para birimlerinde fidye talep ederler. Kripto para alanında faaliyet gösteren kuruluşlar için, fidye yazılımlarının işleyişini ve azaltılmasını anlamak kritik öneme sahiptir, çünkü işlerinin doğası gereği genellikle birincil hedeflerdir.
Sektör Uzmanlarının Görüş ve Önerileri
Johnson Controls saldırısı, bir dizi siber güvenlik uzmanının yorumlarına neden oldu. Graham Cluleyünlü güvenlik uzmanı, kolluk kuvvetlerinin Kara Melekler Ekibi'nin peşine düşeceğini öne sürüyor. Saldırganların kolluk kuvvetlerinden kaçınma talebiyle ilgili önemli bir noktaya dikkat çekerek böyle bir talebin pratikliğini sorguluyor. Grant GeyerClaroty'nin Baş Ürün Sorumlusu, BT/OT yakınsaması ile ilişkili riskleri vurguluyor. Kuruluşlar rekabet avantajları elde etmek için dijital operasyonlarını entegre etmeye devam ettikçe, dijital risklerin artacağına ve ağ segmentasyonu gibi siber güvenlik önlemlerinin her zamankinden daha önemli hale geleceğine dikkat çekiyor. Tom KellermannContrast Security Siber Strateji Kıdemli Başkan Yardımcısı, VMware ESXi sunucularının saldırganlar tarafından yaygın olarak hedef alındığına dikkat çekiyor ve kritik altyapı üzerinde yaygın bir etki yaratma potansiyelinden duyduğu endişeyi dile getiriyor.
Bu FBI da bir bildirim yayınladı ortaya çıkan fidye yazılımı trendleriyle ilgili olarak, aynı kurbanlara yönelik birden fazla saldırının ve veri imhasını içeren yeni taktiklerin artan örneklerini vurguladı. Bu durum, Dark Angels Team gibi fidye yazılım gruplarının başarı şanslarını artırmak için yöntemlerini sürekli olarak geliştirdiklerini hatırlatıyor.
Kamu ve Hükümet Tepkisi
Johnson Controls fidye yazılımı olayına kamuoyunun tepkisi, özellikle sistem kesintileri yaşayan müşteriler arasında endişe verici olmuştur. Saldırının ardından sızdırılan DHS'nin dahili bir notu, veri ihlalinin kapsamı ve ulusal güvenlik üzerindeki potansiyel etkileri konusundaki belirsizliğin altını çiziyor.
İş Sürekliliği ve İyileştirme Çalışmaları
Fidye yazılımı saldırısının ardından Johnson Controls, aşağıdaki belgelerde ayrıntılı olarak açıklandığı üzere derhal harekete geçmiştir SEC Form 8-K dosyalama. Şirket, BT altyapısında ve uygulamalarında meydana gelen aksaklıkları kabul etmiş ve dışarıdan siber güvenlik uzmanlarının yardımıyla bir soruşturma başlatmıştır. Ayrıca olayın etkilerini yönetmek için sigortacılarıyla da koordinasyon sağladılar.
Saldırının etkileri Johnson Controls'ün York, Simplex ve Ruskin gibi iştiraklerine kadar uzandı ve bu iştirakler web sitelerinde ve müşteri portallarında teknik kesinti mesajları yayınladı. Müşteri hizmetlerini sürdürmek için Johnson Controls çeşitli geçici çözümler uyguladı ve iş sürekliliği planlarını etkinleştirdi. Bu önlemlere rağmen, şirket devam eden aksaklıkların ve finansal raporlamaları üzerindeki potansiyel etkinin farkına vardı.
Sonuç
Dark Angels Team fidye yazılımı, dünya çapındaki kuruluşlar için önemli ve gelişen bir tehdidi temsil etmektedir. Johnson Controls olayı, bu tür saldırılara karşı korunmak için proaktif tespit ve azaltma stratejileri de dahil olmak üzere sağlam siber güvenlik önlemlerinin önemini vurgulamaktadır. Kuruluşlar, bu fidye yazılımının teknik özelliklerini anlayarak, SentinelOne gibi gelişmiş araçlardan yararlanarak ve sektördeki en iyi uygulamaları takip ederek, dijital varlıklarını siber suç grupları tarafından kullanılan sofistike taktiklere karşı daha iyi koruyabilirler.
Kripto para birimi işlemlerinin anonim doğası, onu fidye talepleri için tercih edilen bir yöntem haline getirdiğinden, özellikle kripto para birimi endüstrisi uyanık kalmalıdır. Fidye yazılımları işletmeler ve kritik altyapılar için ciddi bir tehdit oluşturmaya devam ederken, bilgi sahibi olmak ve hazırlıklı olmak her zamankinden daha önemlidir.
Sonuç olarak, Dark Angels Team fidye yazılımı, siber tehditlerin yarattığı kalıcı ve dinamik zorlukların çarpıcı bir hatırlatıcısıdır. Kuruluşlar, Johnson Controls'ün başına gelen gibi olaylardan ders çıkararak ve siber güvenlik uzmanlarının tavsiyelerine kulak vererek bu kötü niyetli kampanyalara karşı dayanıklılıklarını artırabilir ve giderek daha fazla birbirine bağlanan ve dijitalleşen bir dünyada faaliyetlerinin sürekliliğini sağlayabilirler.
TR 
EN