Sodin fidye yazılımı, MSP’ler aracılığıyla giriyor

Mart ayının sonunda bir Yönetilen Hizmet Sağlayıcısının (MSP) müşterilerine yönelik düzenlenen GandCrab fidye yazılımı saldırısından bahsederken, bunun münferit bir olay olamayacağını söylemiştik. Yönetilen Hizmet Sağlayıcılar (MSP), siber suçluların gözardı edemeyeceği kadar çekici hedefler.

Görünüşe bakılırsa haklı çıktık. Nisan ayında, Sodin adı verilen bir fidye yazılımı uzmanlarımızın dikkatini çekti. Bu fidye yazılımı, MSP güvenlik sistemlerindeki boşlukları kullanmanın yanı sıra Oracle WebLogic platformunun güvenlik açıklarını da kötüye kullanmasıyla diğerlerinden ayrılıyordu. Ayrıca fidye yazılımları genellikle kullanıcının katılımına ihtiyaç duyarken (örneğin, kurbanın kimlik avı mektubundaki bir dosyayı açması gerekir) bu sefer kullanıcının herhangi bir şey yapması gerekmiyordu.

Bu fidye yazılımı hakkındaki teknik ayrıntıları bu Securelist gönderisinden okuyabilirsiniz. Bizce bu kötü amaçlı yazılımın en ilginç tarafı, yayılma yöntemi.

Sodin’in yayılma yöntemleri

Saldırganlar kötü amaçlı yazılımı WebLogic üzerinden yaymak amacıyla, güvenlik açığı bulunan bir Oracle WebLogic sunucusunda PowerShell komutu vermek için CVE-2019-2725 zafiyetini kullandı. Böylece sunucuya bir dropper (dosya yükleyici) yükleyebildiler; bu dropper da ardından Sodin fidye yazılımını kurdu. Bu hataya yönelik yamalar Nisan ayında yayınlanmıştı, fakat Haziran’ın sonunda benzer bir güvenlik açığı daha keşfedildi: CVE-2019-2729.

MSP kullanılan saldırılarda Sodin, kullanıcıların makinelerine farklı yollarla giriyor. En az üç sağlayıcının kullanıcıları bu Truva Atının kurbanı oldu bile. DarkReading‘de yer alan bir habere göre, saldırganlar bazı vakalarda Truva Atını yaymak için Webroot ve Kaseya uzaktan erişim konsollarını kullanmış. Geri kalan vakalarda ise, Reddit‘te anlatıldığı üzere saldırganlar, RDP bağlantısı kullanarak MSP altyapısına sızmış; ayrıcalıklı izinleri kaldırmış; güvenlik çözümlerini ve yedeklemeleri devre dışı bırakmış; ardından fidye yazılımı müşterilerin bilgisayarlarına indirmiş.

Hizmet sağlayıcılar ne yapmalı

Öncelikle uzaktan erişim için şifre depolama işini ciddiye alın ve mümkün olan her durumda iki aşamalı kimlik doğrulama kullanın. Hem Kaseya hem de Webroot uzaktan erişim konsolları, iki aşamalı kimlik doğrulamayı destekliyor. Dahası geliştiriciler, olayın ardından iki aşamalı doğrulama kullanmayı zorunlu hale getirmeye başladı. Gördüğünüz gibi, Sodin’i yayan saldırganlar yakaladıkları hiçbir fırsatı kaçırmamış; MSP sağlayıcılar üzerinden kötü amaçlı yazılım yaymanın çeşitli yollarını aramışlar. Bu yüzden bu alanda kullanılan diğer tüm araçları da dikkatle incelemek önemli. Her zaman söylediğimiz gibi, RDP erişimi yalnızca son çare olarak kullanılmalı.

MSPler, özellikle de siber güvenlik hizmetleri sunanlar, kendi altyapılarını korumaya müşterilerin altyapısını korumaktan bile daha fazla önem vermeli. Kaspersky, MSPlerin kendilerini ve müşterilerini koruması için şunları öneriyor.

Diğer şirketler ne yapmalı

Elbette yazılım güncelleme yine en önemli işlerden biri. Aylar önce keşfedilen ve kapatılan bir güvenlik açığından altyapınıza kötü amaçlı yazılım sızması, gerçekten utanç verici bir göz göre göre hata yapma örneği.

Oracle WebLogic kullanan şirketler öncelikle her iki güvenlik açığı için de (CVE-2019-2725 ve CVE-2019-2729) yayınlanan Oracle Security Alert tavsiye raporlarını incelemeli.

Ayrıca fidye yazılımlarını tespit edip iş istasyonlarını bunlardan koruyabilen alt sistemlere sahip güvenilir güvenlik çözümler kullanmaları da akıllıca olacaktır.