DOLAR
43,1297
EURO
50,2219
ALTIN
6.246,25
BIST
12.200,95
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
Ankara
Karla Karışık Yağmurlu
8°C
Ankara
8°C
Karla Karışık Yağmurlu
Pazartesi Karla Karışık Yağmurlu
2°C
Salı Çok Bulutlu
-1°C
Çarşamba Çok Bulutlu
0°C
Perşembe Az Bulutlu
4°C
Shell’den yapay zekayla sıfır kaza
Shell’den yapay zekayla sıfır kaza
Dijital kaleleri koruma: Dünya Şifre Günü’nde 32 Milyon saldırı engellendi
Dijital kaleleri koruma: Dünya Şifre Günü’nde 32 Milyon saldırı engellendi
Türkiye’de Çocukların %46’sı Çevrimiçi Etkinliklerini Ailelerinden Gizliyor
Türkiye’de Çocukların %46’sı Çevrimiçi Etkinliklerini Ailelerinden Gizliyor
İZDENİZ TÜBİTAK’tan proje desteği aldı
İZDENİZ TÜBİTAK’tan proje desteği aldı

Kaspersky uzmanları, kurumsal verileri şifrelemek için BitLocker kullanan yeni bir fidye yazılımı tespit etti!

Kaspersky, Microsoft’un BitLocker şifreleme aracını kullanarak kurumsal evrakları şifrelemeye çalışan fidye yazılımı atakları tespit etti.

Kaspersky uzmanları, kurumsal verileri şifrelemek için BitLocker kullanan yeni bir fidye yazılımı tespit etti!
Teknoloji
30.05.2024 15:12
0
6
A+
A-

Tehdit aktörleri, belgelerin geri yüklenmesini önlemek için kurtarma seçeneklerini kaldırıyor ve yeni bir özelliğe sahip berbat maksatlı bir komut belgesi kullanıyor. Ayrıyeten makul Windows sürümlerini algılayabiliyor ve Windows sürümüne nazaran BitLocker’ı etkinleştirebiliyor.

“ShrinkLocker” olarak isimlendirilen bu fidye yazılımı ve türevleriyle ilgili hadiseler Meksika, Endonezya ve Ürdün’de gözlemlendi. Failler çelik ve aşı üretimi yapan şirketleri ve bir kamu kurumunu gaye aldı.

Kaspersky Küresel Acil Durum Müdahale grubunun bildirdiğine nazaran, tehdit aktörleri Windows bilgisayarlardaki vazifeleri otomatikleştirmek için kullanılan bir programlama lisanı olan VBScript’i kullanarak, taarruzun ziyanını en üst seviyeye çıkarmak için daha evvel bildirilmemiş özelliklere sahip makûs emelli bir komut belgesi oluşturuyor. Buradaki yenilik, tehdidin sistemde yüklü olan mevcut Windows sürümünü denetim etmesi ve BitLocker özelliklerini buna nazaran aktifleştirmesi. Bu halde tehdidin Windows Server 2008’e kadar yeni ve eski sistemlere bulaşabileceğine inanılıyor.

İşletim sistemi sürümünün atak için uygun olması durumunda, komut belgesi önyükleme ayarlarını değiştiriyor ve BitLocker kullanarak tüm şoförleri şifrelemeye çalışıyor. Yeni bir önyükleme kısmı oluşturarak bilgisayarın şoföründe işletim sisteminin ön yüklenmesi için gerekli belgeleri içeren başka bir kısım kuruyor. Bu aksiyon kurbanı daha sonraki bir basamakta kilitlemeyi amaçlıyor. Saldırganlar ayrıyeten BitLocker’ın şifreleme anahtarını garanti altına almak için kullanılan koruyucuları da siliyor, böylelikle kurban bunları kurtaramıyor.

Kötü emelli komut evrakı daha sonra sistem hakkındaki bilgileri ve ele geçirilen bilgisayarda oluşturulan şifreleme anahtarını tehdit aktörü tarafından denetim edilen sunucuya gönderiyor. Akabinde ipucu niteliğinde olan ve hücumun araştırılmasına yardımcı olabilecek günlük kayıtlarını ve çeşitli belgeleri silerek izini kapatıyor.

Son adımda berbat gayeli yazılım sistemi kapatmaya zorluyor ki, bu başka bir önyükleme kısmında evrakların oluşturulması ve yine yüklenmesi ile sağlanan bir yetenek. Kurban BitLocker ekranında şu bildirisi görüyor: “Bilgisayarınızda artık BitLocker kurtarma seçeneği mevcut değil”.

Sistemin zorla kapatılmasından sonra kurbanın ekranında beliren mesaj

Kaspersky kelam konusu komut evrakını “ShrinkLocker” olarak isimlendirdi. Bu isim, saldırganın sistemin şifrelenmiş belgelerle yanlışsız halde ön yüklenmesini sağlamak için gerekli olan kritik yine kısım boyutlandırma prosedürünü vurguluyor.

Kaspersky Küresel Acil Durum Müdahale Grubu Olay Müdahale Uzmanı Cristian Souza, şunları söylüyor: “Bu hadisede bilhassa tasa verici olan şey, başlangıçta bilgi hırsızlığı yahut ifşa risklerini azaltmak için tasarlanan BitLocker’ın saldırganlar tarafından makûs niyetli gayeler için kullanılmasıdır. Bir güvenlik tedbirinin bu formda silah haline getirilmesi acımasız bir ironi. BitLocker kullanan şirketlerin güçlü parolaları ve kurtarma anahtarlarını inançlı bir formda saklanması çok değerlidir. Çevrimdışı tutulan ve test edilen nizamlı yedeklemeler de temel müdafaa tedbirleridir.” 

Olayın detaylı teknik analizi Securelist’te yer alıyor. Kaspersky uzmanları, saldırganların raporda açıklanan özellikten yararlanmasını önlemek için aşağıdaki hafifletme tedbirlerini öneriyor:

  • BitLocker’ı berbata kullanmaya çalışan tehditleri tespit etmek için sağlam, düzgün yapılandırılmış bir güvenlik yazılımı kullanın. Tehditleri proaktif olarak araştırmak için Yönetilen Algılama ve Karşılık (MDR) uygulayın.
  • Şifreleme özelliklerinin yetkisiz olarak aktifleştirilmesini yahut kayıt defteri anahtarlarının değiştirilmesini önlemek için kullanıcı ayrıcalıklarını sonlandırın.
  • Virüs bulaşmış sistemler saldırgan tesir alanlarına parola yahut anahtar iletebileceğinden, hem GET hem de POST isteklerini yakalayarak ağ trafiğinin günlüğe kaydını ve izlenmesini aktifleştirin.
  • VBScript ve PowerShell yürütme olaylarını izleyin. Günlüğe kaydedilen komut belgelerini ve komutları lokal silme sürecine karşılık aktif bir halde saklamak için harici bir depolamaya kaydedin

Kaynak: (BYZHA) Beyaz Haber Ajansı

ETİKETLER: , , , ,
gömlek

Tavsiye Dost Siteler