Kaseya’ya Yönelik Fidye Yazılımı Saldırılarına Dair Sophos Uzman Görüşü

Sophos Başkan Yardımcısı ve Bilgi Güvenliği Başkanı Ross McKerchar, Kaseya’ya yönelik fidye yazılımı saldırılarına karşı görüşlerini bildirdi;

“Sophos olarak şimdiye dek karşılaştığımız en geniş kapsamlı fidye yazılımı saldırılarından biriyle karşı karşıyayız. Elimizdeki veriler şu an için saldırılardan 70’in üzerinde yönetilen hizmet sağlayıcısının (MSP) etkilendiğini ve bunun 350’den fazla kuruluşun etkilenmesine yol açtığını gösteriyor. Saldırılardan etkilenen kurum sayısının herhangi bir güvenlik şirketinin tek başına ortaya koyacağı raporların ötesine geçeceğini öngörüyoruz. Kurbanlar Amerika Birleşik Devletleri, Almanya ve Kanada ağırlıklı olmak üzere Avustralya, Birleşik Krallık ve diğer bölgeleri de kapsayan geniş bir coğrafyaya yayılmış durumda.

Sophos, tedarik zinciri dağıtım saldırısı olduğu belirlenen Kaseya’ya yönelik saldırıyı aktif olarak takip ediyor. Saldırganlar sektör ve boyut gözetmeksizin, mümkün olduğunca çok işletmeyi vurmak için dağıtım yöntemi olarak yönetilen hizmet sağlayıcıları (MSP’leri) kullanılıyor. Amaç ister finansal kazanç elde etmek, ister verileri ve özel kimlik bilgilerini çalmak olsun, bu modelin son dönemlerde maksimum etki elde etmek için farklı şekillerde kullanıldığına şahit olmaya başladık. WannaCry gibi diğer geniş çaplı saldırılarda fidye yazılımının kendisi dağıtıcı konumundaydı. Bu örnekte ise BT yönetiminde yaygın olarak kullanılan MSP’ler aracı görevini üstleniyor.

Bazı başarılı fidye yazılımı saldırganları bu işten milyonlarca dolar kazandı ve son derece değerli sıfırıncı gün açıklarını satın alabilecek finansal güce kavuştu. Önceden bu tarz istismarlara yalnızca ulus devletlerin ulaşılabileceği kabul edilirdi. Ancak ulus devletler bunları izole saldırılar için idareli bir şekilde kullanırken, bu tarz açıkların siber suçluların elinde geçmesi çok daha yaygın bir şekilde kullanılmalarına, birçok işletmeyi aynı anda kesintiye uğratmalarına ve günlük yaşamı etkilemelerine neden olabiliyor.

Saldırıdan bir gün sonra hizmet olarak sunulan (RaaS) REvil fidye yazılımının bir örneğinin, Kaseya’nın Sanal Sistem Yöneticisi (VSA) yazılımı aracılığıyla fidye yazılımını dağıtmasına olanak sağlayan sıfır gün açığını istismar ettiği ortaya çıktı. Bu yazılım, çok sayıda işletmeye BT ortamlarında yardımcı olmak için MSP’lerin sınırsız ayrıcalıklı erişimine izin veren oldukça güvenilir bir iletişim kanalı sunmak üzere tasarlanmıştı.

Sophos tehdit istihbaratına göre REvil, JBS saldırısı da dahil olmak üzere son haftalarda aktif hale geldi. REvil, şu an Sophos’un yönetilen tehdit önleme hizmetlerinde en sık karşılaştığı fidye yazılımına karşılık geliyor.”