Microsoft, "Teams" Kullanıcılarını Hedef Alan 200'den Fazla Fidye Saldırısını Önledi
Microsoft, "Teams" işbirliği platformunu kullananları hedef alan gelişmiş bir fidye yazılımı (Ransomware) saldırısını önlemeyi başardı. Temel yanıt, sahte bir şirketin kötü amaçlı yazılımlarına imza atmak için kullanılan 200'den fazla dijital imzanın iptal edilmesiydi.
Soruşturmalar, "Vanilla Tempest" adlı hacker grubunun _"VICE SPIDER" ve "Vice Society" olarak da bilinir_ bu saldırıların arkasında olduğunu ortaya koydu. Bu grup, eğitim, sağlık ve teknoloji sektörlerini hedef alan finansal motivasyonlara sahip olup, resmi "Teams" platformunu taklit eden sahte alan adları aracılığıyla kullanıcıları kandırmaya çalıştı.
Bu sahte alanların amacı, "Teams" için sahte bir uygulama yüklemekti; bu uygulama, "Bleeping Computer" adı verilen kötü amaçlı yazılımı yerleştirmek için bir kapı görevi görüyordu. Microsoft, bu yazılımın "çalıştırıldığında, saldırganlara enfekte cihazlara uzaktan erişim sağladığını, dosyaları çektiğini, komutları yürüttüğünü ve ek kötü amaçlı yazılımlar yüklediğini" uyardı.
"Vanilla Tempest", "güvenilir bir dijital imzayı kullanarak güvenlik sistemlerini yanıltmak ve kötü amaçlı yazılımların güvenilir görünmesini sağlamak" için gelişmiş bir gizlenme yöntemi kullandı. Bu yöntem, birçok potansiyel kurbanın savunmalarını aşmalarını sağladı.
Tehdit keşfedildikten sonra, Microsoft, kötü amaçlı yükleyicilerin imzalanmasında kullanılan 200'den fazla dijital sertifikanın yetkisini iptal ederek kararlı bir şekilde harekete geçti. Bu işlem, "bu yükleyicilerin güvenilirliğini kaybetmesine ve güvenlik sistemleri tarafından sorgulanmasına ve izlenmesine neden oldu." Ayrıca, "saldırganların güvenilir dijital imzaların arkasında gizlenme yetenekleri azaldı, bu da kötü amaçlı yazılımların kurulan sahte kanallar aracılığıyla yayılmasını engelledi."
Büyük bir kısmının devre dışı bırakılmasına rağmen, Microsoft, kullanıcıları "gelecekte kullanıcıları dijital aldatma ile kandırmayı amaçlayan yeni modellerin denemeleri için hâlâ bir risk olduğunu" uyarıyor.
Tehditlerin devam etmesi nedeniyle, şirket, güvenlik farkındalığının önemini vurgulayarak, kullanıcıları herhangi bir bağlantının kaynağını dikkatlice kontrol etmeye, resmi bir yükleme sunduğunu iddia eden güvenilir olmayan reklamlara veya bağlantılara tıklamaktan kaçınmaya teşvik ediyor. Ayrıca, güvenlik yazılımlarını sürekli olarak çalıştırma ve güncelleme gerekliliğini vurguladı. Kurumlar için ise, yazılım imzalarına erişimi sıkılaştırmayı ve uygulama yüklerken çok faktörlü doğrulama uygulamayı öneriyor.
