Aşağıdaki makale size yardımcı olacaktır:Maze Ransomware nedir ve nasıl önlenir?
Maze Ransomware hakkında ayrıntılı bilgi edinmek için aşağıdaki konuları ele alacağız.
Maze Ransomware nedir?
Maze’in, geliştiricilerin kazançlarını fidye yazılımını farklı ağlarda dağıtan birkaç grupla paylaştığı bağlı bir ağ aracılığıyla çalıştığı iddia ediliyor. Maze Ransomware ile ilgili en büyük endişe, Maze operatörlerinin bir ağdaki kurumsal varlıklardan yararlanarak yanal olarak diğer ağlara geçmesidir.
Etkilenen kuruluş bir BT hizmetleri sağlayıcısıysa, bu BT hizmetlerine güvenen yüzlerce müşteriye yönelik daha fazla saldırıyı katalize eden yepyeni bir kutu açar.
Maze Ransomware, şifrelenmiş verilerin güvenli bir şekilde kurtarılması karşılığında kripto para cinsinden ödeme talep eden bir Windows fidye yazılımı türüdür. Herhangi bir kurban ödemeyi reddederse, suçlular tüm gizli verilerini sızdırıyor. Benzer davranışlar, daha yeni fidye yazılımı biçimlerinde giderek daha fazla görülüyor.
Maze Ransomware nasıl çalışır?
Maze’in dağıtımı genellikle kötü amaçlı bağlantılar veya ekler içeren spam e-postalar, Uzak Masaüstü Protokolü (RDP) kaba kuvvet saldırısı veya bir yararlanma kiti kullanılarak yapılır. Saldırının, bir kuruluşun ortaklarından veya bilgisayar korsanlarının kurbanı olan müşterilerinden geldiği durumlar vardır.
Maze bir ağa eriştiğinde, dosya şifrelemenin tüm sürücülere dağıtılabilmesi için bir sonraki hedef yükseltilmiş ayrıcalıklar elde etmektir. Maze ayrıca verileri çaldığından ve bilgisayar korsanları tarafından kontrol edilen sunuculara sızdırdığından, kurbanlar buna dayanarak tehdit edilebileceğinden daha da tehlikelidir.
Yedeklemenin tehlikeye atılmaması koşuluyla verileri güvenli bir yedekten geri yüklemek mümkün olsa da, saldırganların artık verilerin bir kopyasına sahip olması yine de bir işe yaramıyor. Labirent, esasen, bir veri ihlali ve bir fidye yazılımı saldırısının bir kombinasyonu olarak düşünülebilir.
Maze Ransomware tarafından kullanılan teknikleri gözden geçirelim:
İlk Erişim
Çoğu durumda Maze operatörleri, internete bakan sunucuların (RDP veya bir Citrix/VPN sunucusu) yardımıyla ağda oturum açmak için geçerli kimlik bilgilerini kullanır. İlk kimlik bilgilerinin nasıl ele geçirildiği bilinmemekle birlikte, standart metodolojiler arasında zayıf parolaların tahmin edilmesi veya kötü amaçlı makrolar içeren e-postaların kullanıldığı hedefli kimlik avı yer alır.
Keşif
Bir ağdaki bir makinenin güvenliği kötü amaçlı yazılım tarafından ele geçirildiğinde, tüm ağ güvenlik açıklarına karşı taranır. Ağ yapılandırmasını, açık SMB paylaşımlarını, hesapları, etki alanı güvenlerini, izinleri ve diğer çeşitli Active Directory özniteliklerini tarar. Taramalar bazen BloodHound, Adfind, smbtools.exe, PingCastle ve yerleşik Windows komutları gibi popüler açık kaynaklı araçlarla yapılır.
Sertifikalı Etik Hacking Kursumuzu alın ve Ethical Hacking konusunda sıfırdan ustalaşın!
Yatay Hareket/Kimlik Bilgileri Erişimi
Kötü amaçlı yazılımın ağda bilgi edinmesi birkaç gün sürer ve ardından ağda yatay olarak hareket etmeye başlar. En kolay hedefler, güvenliği ihlal edilmiş makinedeki kimlik bilgileridir.
Maze ayrıca düz metin parolalar içeren dosyaları da tarar. Bunlara erişilemiyorsa, LLMNR/NBT-NS Poisoning’in yardımıyla ağda hareket eder. Bu, daha sonra NTLM kırma ve/veya NTLM geçiş saldırıları için ağ paketlerinin çalınmasına yardımcı olur.
Bu tekniklerin hiçbiri işe yaramazsa, Maze Ransomware zayıf parolalar bulmak için kullanıcı/hizmet hesaplarına kaba kuvvet uygular. Bir kimlik bilgisinin geçerli olduğu bulunduğunda, WinRM, SMB ve RDP gibi Windows arabirimleri, Maze’in yatay olarak hareket etmesi ve uzak makinelerde kod yürütmesi için kullanılır.
Ayrıcalık Yükseltme
Ayrıcalık yükseltme, saldırganın yanal olarak yeni makinelere hareket etmesini ve ardından aynı teknikleri kullanarak uzlaşmak ve diğer makinelere geçmek için yeni kimlik bilgileri bulmasını içerir. Etki alanı yöneticisi kimlik bilgileri bulunduğunda, bu tür yanal hareket durur. Bu noktada, ağdaki herhangi bir makine tehlikeye girebilir.
sebat
Kötü amaçlı yazılım operatörü, ağdaki varlığını mümkün olduğu kadar uzun süre korumaya çalışır. Bu, çeşitli arka kapılar ve geçitler ekleyerek mümkündür. Bu, kötü amaçlı yazılımın algılanıp kaldırılması durumunda ağın kontrolünü yeniden ele geçirmeye yardımcı olur. Labirent, esas olarak mümkün olduğu kadar çok kullanıcı kimlik bilgisini yakalar ve ağda yeni ayrıcalıklı hesaplar oluşturur.
Maze Ransomware Web Sitesi
Maze Ransomware’in yaratıcıları, kurbanlarını (veya “müşterilerini”) listeledikleri bir web sitesine ev sahipliği yapıyor. Bu web sitesi sıklıkla çalınan veri örneklerini yayınlamaktadır. Kurbanların saldırı tarafından vurulduğu tarihin ayrıntılarını ve çalınan verilere ve “ganimet” olarak indirilebilen belgelere bağlantılar içerir.
İronik bir şekilde, web sitesinde “Dünyayı güvende tutmak” sloganı yer alıyor ve çok kışkırtıcı bir şekilde, veri ihlallerinin ayrıntılarını sosyal medyada paylaşmak için paylaşım seçenekleri yer alıyor. Fidye ödenmezse, Maze Ransomware web sitesi kurbanları şunları yapacakları konusunda uyarır:
- Güvenlik ihlallerini kamuoyuna açıklayın ve medyayı bilgilendirin
- Ticari değeri olan çalıntı verileri dark web’de satmak
- Borsaları ihlal hakkında bilgilendirin ve şirketin hisse fiyatını düşürün
- Şirketin müşterilerini ve ortaklarını hedefleyin ve onlara saldırıyı bildirin
Temel Neden
Çoğu zaman, bu kötü niyetli faaliyetler, çeşitli yollarla elde edilen geçerli kullanıcı kimlik bilgileri kullanılarak yürütülür. Labirent, yerel sürücülerdeki parolaları hedefler ve bazen kaba kuvvet ve kimlik bilgisi tarama yöntemlerini kullanarak zayıf parolalara sahip hesapları tehlikeye atar.
Maze Ransomware Örnekleri
Cognizant Maze Ransomware Saldırısı
En iyi bilinen Maze fidye yazılımı saldırılarından biri, Cognizant’ı hedef alan saldırıydı. Bu Fortune 500 devi saldırıya uğradı ve bunun sonucunda müşterilerine verilen hizmetler kesintiye uğradı. Saldırı, bazı dahili sistemlerini şifreleyip devre dışı bıraktı ve diğer sistemleri çevrimdışı duruma getirmeye zorladı.
Cognizant saldırısı, herkesin uzaktan çalıştığı Covid-19 salgını sırasında gerçekleşti. Kötü amaçlı yazılım, sanal masaüstü altyapısını destekleyen bilgisayar sistemlerini bozarak çalışanların çalışmasını zorlaştırdı. Saldırı Dahili dizinleri sildi ve e-posta erişimi de kaybedildi.
Cognizant’a yapılan Maze Fidye Yazılımı saldırısının hemen sonrasında, şirket 50.000.000 ABD Doları ile 70.000.000 ABD Doları arasında kayıp yaşadı. Bilgisayar sistemlerinin tam olarak yenilenmesi için ayrıca katlanılan maliyetler vardı.
City of Pensacola Maze Ransomware Saldırısı
Pensacola, Florida, 2019’un sonunda Maze Ransomware tarafından saldırıya uğradı. Grup, çalınan verileri 1.000.000 ABD Doları tutarında bir fidye karşılığında elinde tuttu. Şehrin sistemlerinden 32 GB’tan fazla verinin çalındığı iddia edildi. Saldırının kanıtı olarak 2 GB veri sızdırdılar.
Xerox Maze Fidye Yazılımı Saldırısı
Temmuz 2020’de Maze Ransomware operatörleri, Xerox’un sistemlerine sızdıklarını iddia etti. Fidye ödenmezse verilerini sızdırmakla tehdit ettiler. Veri ihlalinin kanıtı olarak, web sitelerinde müşteri destek operasyonlarıyla ilgili verilere sahip olduklarını gösteren bir dizi on ekran görüntüsü yayınlandı.
Canon Maze Fidye Yazılımı Saldırısı
Canon, Ağustos 2020’de bir Maze fidye yazılımı saldırısının kurbanı olmuştu. 10 TB’a kadar Canon verisi çalındı ve işbirliği hizmetleri ve e-posta da dahil olmak üzere yaklaşık 25 farklı Canon alanı ve birkaç dahili uygulama etkilendi.
Fidyeyi ödemeli misin?
Önemli bir soru şu: fidye ödenmeli mi? Yapmamak en iyisidir. Fidyeyi ödemek, yalnızca gelecekte daha fazla benzer saldırıyı teşvik edecektir. Elbette, yalnızca kuruluşun değil, aynı zamanda müşterilerin ve ortakların da hassas verileri söz konusu olduğunda arama yapmak kolay değildir. Nihayetinde, kendi koşullarına göre karar vermek kuruluşa kalmıştır.
Bu tür saldırıları soruşturmak için kolluk kuvvetlerinin dahil edilmesi her zaman tavsiye edilir. İlk etapta saldırıyı mümkün kılan güvenlik sorunlarını anlamak da çok önemlidir. Gelecekteki saldırıları önlemek için eksiklikleri bulmak ve düzeltmek çok önemlidir.
FBI, kuruluşların proaktif olarak sahte veri önbellekleri oluşturmasını önerir. Bu sahte veri koleksiyonları, saldırganların bir saldırı sırasında orijinal olan dosyalara erişmesini zorlaştırır.
Maze Ransomware Saldırılarına Karşı Koruma
Maze Ransomware veya bu konudaki diğer herhangi bir siber tehditle ilgili olan şey, gelişmesidir. Gelişen bir tehdide karşı en iyi savunma, proaktif olarak önlem almak ve önleyici tedbirler almaktır. Kötü amaçlı yazılım veya bilgisayar korsanları tarafından şifrelenmiş verilerden kurtarmak için genellikle çok geç kalınmıştır.
Fidye yazılımı saldırılarını önlemek için birkaç ipucu:
1. Yazılım ve işletim sistemlerinin güncellenmesi
Güncellenmiş yazılım ve işletim sistemlerine sahip olmak, sistemleri ve ağları kötü amaçlı yazılımlardan korumaya yardımcı olmak için çok önemlidir. Yazılım, internet tarayıcıları ve tarayıcı eklentileri için yeni yamalar ve güncellemeler her zaman yayınlandıktan sonra uygulanmalıdır. Bir güncelleme çalıştırmak, en son güvenlik yamalarından yararlanmanıza yardımcı olacaktır. Bu, siber suçluların güvenlik açıklarından yararlanmasını ve sisteme saldırmasını zorlaştırır.
2. Güvenlik yazılımı kullanma
Bütünsel bir internet güvenlik çözümü, bilgisayarları fidye yazılımlarına karşı koruyabilir. İndirmeler veya akışlar sırasında, güvenlik yazılımı virüslü dosyaların ve fidye yazılımlarının bilgisayara bulaşmasını önleyerek bilgisayar korsanlarını uzak tutar.
3. Ağa erişmek için VPN kullanma
Uzak Masaüstü Protokolünüzü (RDP) internete maruz bırakmak yerine, ağa erişmek için bir VPN kullanmak iyi bir uygulamadır. Küresel içeriğe erişim sunmanın yanı sıra çevrimiçi gizliliğe de önem verir.
4. Verileri yedekleme
Verileri düzenli olarak tesis dışında, güvenli bir konuma yedeklemeyi alışkanlık haline getirmek, çalınan verilerin geri yüklenmesini kolaylaştırabilir. Rutin manuel yedekleme güvenilir görünmüyorsa, aynısını otomatik yedeklemelerle gerçekleştirmenin yolları vardır. Orada bitmiyor. Verilerin doğru ve rutin bir şekilde kaydedildiğinden emin olmak için yedeklemeler de düzenli olarak test edilmelidir.
5. Personeli siber güvenlik riskleri konusunda eğitmek
Kuruluşlar, bilgisayar korsanlarının kuruluşlara sızmak için kullandıkları teknikler hakkında çalışanlarının bilgilendirilmesini her zaman sağlamalıdır. Tüm çalışanlar, aşağıdaki en iyi siber güvenlik uygulamaları konusunda eğitilmeli ve eğitilmelidir:
- Bilinmeyen gönderenlerden gelen e-posta eklerini asla açmamak ve açmadan önce orijinal görünüp görünmediğini değerlendirmek
- Spam e-postalara veya bilinmeyen web sitelerine eklenen bağlantılara tıklamaktan kaçınma
- Bilinmeyen web sitelerinden yazılım veya medya dosyası indirmelerini önleme
- Güvenilmeyen kaynaklardan asla kişisel bilgi isteyen aramalar, kısa mesajlar veya e-postalar almayın
- Uç nokta güvenliğini davranış algılama ve otomatik dosya geri alma ile birlikte kullanma
- Bir kuruluşun yerel ağındaki uzak bağlantılar için yalnızca güvenli teknoloji kullanma
- Çok faktörlü kimlik doğrulamayı etkinleştirme
- Hesapların ve hassas bilgilerin korunması için güçlü parolalar
- Mümkün olan her yerde tüm hassas verilerin şifrelenmesi
Çözüm
2020’nin sonunda Maze Ransomware grubu artık faaliyet göstermeyeceklerini ve web sitelerini artık güncellemeyeceklerini duyurdu. Verilerinin kaldırılmasını isteyen tüm kurbanlar, destek sohbetlerinden ulaşabilirler. Tüm bunların siber güvenlik konusunda farkındalık yaratma girişimi olduğunu iddia ettiler.
Gerçekten dağılmış olsalar da başka bir suç grubuna dönüşseler de, fidye yazılımı tehdidi her zaman bir sorun olacaktır ve saldırıları önlemek için tüm önlemler alınmalıdır.
