Fidye Yazılım Çetesi REvil bu kez büyük bir tedarik zinciri saldırısına imza atarak 200 şirketi hedef aldı.
Sodinokibi fidye yazılımıyla tanınan siber tehdit aktörleri, IT firmalarını bulut yönetimi hizmeti sunan Kaseya adlı firma üzerinden tedarik zinciri yöntemiyle binlerce müşteriye saldırdı.
Kolay Erişim
SALDIRI NASIL OLDU?
Bleeping Computer internet sitesine açıklamalarda bulunan Huntress Labs firması uzmanı John Hammond, etkilenen tüm müşteriler Kaseya’dan hizmet aldığını ve söz konusu müşterilerinin de dosyalarının şifrelendiğine dair delilleri olduğunu ifade etti.
Saldırının ayrıntılarını anlatan Hammond, “Kaseya VSA, ‘Kaseya VSA Agent Hot-fix’ adlı bir güncelleme olarak dağıtılan c:\kworking klasörüne bir agent.crt dosyası bırakıyor. Ardından Windows certutil.exe komutunu kullanarak agent.crt dosyasının kodunu çözmek ve aynı klasöre bir agent.exe dosyasını çıkarmak için bir PowerShell komutu başlatıyor.” ifadelerini kullandı.
HANGİ ÖNLEMLERİ ALMAK GEREKİYOR?
Kaseya müşterileri, saldırının daha fazla yayılmasını önlemek için VSA sunucularını hemen kapatmaları gerekiyor. Uzmanlara göre saldırganların ilk yaptığı işlerden birinin sistemlere yönetici erişimini kapatmak olduğunu belirtiyor.
Kaseya ise saldırıdan etkilenen sunucularını kapattıklarını ve saldırının nedenlerini araştırmak için diğer güvenlik firmalarıyla birlikte çalıştıklarını belirtti.
KASEYA HANGİ HİZMETLERİ VERİYORDU?
Kaseya, müşterileri için yama yönetimi ve istemci izlemelerini gerçekleştirmesine olanak tanıyan bulut tabanlı bir IT yönetim yazılımı hizmeti veriyor.
Firma bilgi teknolojisi şirketleri için uzaktan yönetim yazılımı üreten uluslararası bir yapıya sahip. Kaseya Windows, OS X ve Linux işletim sistemlerini çalıştıran bilgisayarları uzaktan yönetmek ve izlemek için ticari yazılımlar geliştiriyor.