Geçtiğimiz günlerde ransomware alanında faaliyet gösteren siber saldırganların, artık ne derece kurumsallaşıtığını ve güçlendiğini gösteren ilginç bir haberle karşlılaştık. BlackBasta isimli grup, dark webde bir ihale ilanı yayınladı.

Bu ilana göre grup;  özellikle Windows sistemleri için aktif olarak RCE (uzaktan kod yürütme)  0Day açıkları arıyor. CVE ID’leri veya demo sürümleri talep ediyorlar ve yerel ağları hedefleyenler de dahil olmak üzere kullanıcı etkileşimi gerektirmeyen istismarları satın almayı teklif ediyorlar. Bu meselede asıl haber değeri olan şey, grupların artık elde ettikleri ekonomik gücü adeta yatırım için kullanma becerilerin geldiği tehlikeli bir noktaya işaret ediyor.

Peki bu durumda yapabileceğimiz neler var?

RCE Saldırılarının Azaltılması ve Tespiti

Uzaktan kod yürütme saldırıları çeşitli güvenlik açıklarından faydalanabilir, bu nedenle bunlara karşı korunmak çok yönlü bir yaklaşım gerektirir. İşte RCE saldırılarını tespit etmek ve azaltmak için bazı en iyi uygulamalar:

• Veri Girişlerini sterilize edin -saldırganlar RCE gerçekleştirmek için genellikle deserializasyon ve enjeksiyon açıklarından yararlanır. Uygulamanın kullanmasına izin vermeden önce kullanıcı tarafından sağlanan girdiyi doğrulamak ve sterilize etmek, çeşitli RCE saldırı türlerini önlemeye yardımcı olacaktır.
• Belleği güvenli bir şekilde yönetin-saldırganlar arabellek taşmaları gibi bellek yönetimi sorunlarından faydalanabilir. Bir saldırgan RCE gerçekleştirmeden önce sorunları gidermek için arabellek taşması ve bellekle ilgili güvenlik açıklarını belirlemek üzere tüm uygulamalar için düzenli güvenlik açığı taramaları yapmak önemlidir.
• Trafiği inceleyin-RCE saldırıları, saldırganların kurumsal bir sisteme erişmek için kod açıklarından yararlanarak ağ trafiğini manipüle etmesini içerir. Kuruluşlar, sistemlerine uzaktan erişimi ve kontrolü tespit eden ve güvenlik açığı olan uygulamaların istismar girişimlerini engelleyen bir ağ güvenliği çözümü uygulamalıdır.
• Erişimi kontrol edin-RCE, saldırganlara hedef ağda erişimi genişletmek ve daha zarar verici saldırılar gerçekleştirmek için kullanabilecekleri bir dayanak noktası sağlar. Ağ segmentasyonu, sıfır güven politikaları ve erişim yönetimi platformları gibi erişim kontrolleri ve teknikleri, yanal hareketin önlenmesine yardımcı olarak saldırganların hedef sisteme ilk erişimi sağladıktan sonra bir saldırganı yükseltememesini sağlayabilir.
• Güvenlik duvarı politikalarınızı sıkılaştırın. Mümkünse XDR özellikli güvenlik çözümlerini tercih edin.

Black Basta Kimdir?
Black Basta (AKA BlackBasta), ilk olarak 2022’nin başlarında ortaya çıkan ve hemen dünyadaki en aktif RaaS tehdit aktörlerinden biri haline gelen, faaliyetinin ilk birkaç ayında 19 önde gelen kurumsal kurban ve 100’den fazla doğrulanmış kurban toplayan bir fidye yazılımı operatörü ve Hizmet Olarak Fidye Yazılımı (RaaS) suç girişimidir. Black Basta, ABD, Japonya, Kanada, Birleşik Krallık, Avustralya ve Yeni Zelanda’daki kuruluşları, püskürtme ve püskürtme yaklaşımı kullanmak yerine son derece hedefli saldırılarla hedef alıyor. Grubun fidye taktikleri, kurbanlarının kritik verilerini ve hayati sunucularını şifreleyerek ve hassas verileri grubun halka açık sızıntı sitesinde yayınlamakla tehdit ederek çifte şantaj taktiği kullanıyor.

Black Basta’nın çekirdek üyeliğinin, kötü amaçlı yazılım geliştirme, sızıntı siteleri ve müzakere, ödeme ve veri kurtarma için iletişim yaklaşımlarındaki benzerlikler nedeniyle feshedilmiş Conti tehdit aktörü grubundan ortaya çıktığı düşünülmektedir. Black Basta ayrıca özel Uç Nokta Tespit ve Yanıt (EDR ) kaçırma modüllerindeki benzerlikler ve komuta ve kontrol (C2) operasyonları için IP adreslerinin örtüşen kullanımı nedeniyle FIN7 (AKA Carbanak) tehdit aktörü ile de ilişkilendirilmiştir.