Venafi ve Forensic Pathways’den yeni fidye yazılımı rakamları, Microsoft’un şu anda Office makrolarının güvenliği konusunda neden bu kadar endişeli olduğuna biraz ışık tuttu.
Beş ay boyunca (Kasım 2021 – Mart 2022), iki şirket, fidye yazılım ürünleri ve hizmetleri için pazar yerleri ve forumlar da dahil olmak üzere 35 milyon karanlık web URL’sini analiz etti ve fidye yazılımlarının neredeyse tamamının (%87) karanlık ağda bulunduğunu tespit etti. kötü amaçlı makrolar aracılığıyla uç noktalara iletildi.
İki şirket, Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear ve WannaCry dahil olmak üzere toplam 30 farklı kötü amaçlı yazılım ürünü tespit etti.
Fidye yazılımı başlatma paneli olarak makrolar
Ancak tüm fidye yazılımları eşit yaratılmamıştır. Yüksek profilli saldırılarda kullanılanlar daha pahalıya mal oluyor, örneğin Colonial Pipeline saldırısında kullanılan Darkside varyantı 1.262 dolara mal oluyor. Araştırmacılar, popüler fidye yazılımlarının kaynak kodunun da nispeten pahalı olduğunu, Babuk’un kaynak kodunun 950 dolara, Paradise’ın 593 dolara satıldığını buldu.
Makrolar, dosyaların web’den otomatik olarak veri çekmesine ve içerikleri bağımsız bir şekilde güncellemesine izin verdiğinden, her gelişmiş Office kullanıcısı için önemli bir özelliktir. Aracın doğası gereği, Microsoft, internetten indirilen makro taşıyan dosyaların çalışmasını engellemeye karar verene kadar, yıllarca tehdit aktörleri tarafından kötüye kullanılıyordu.
Venafi güvenlik stratejisi ve tehdit istihbaratı başkan yardımcısı Kevin Bocek, “Neredeyse herkesin kötü amaçlı bir makro kullanarak fidye yazılımı saldırısı başlatabileceği düşünüldüğünde, Microsoft’un makroları devre dışı bırakma konusundaki kararsızlığı herkesi korkutmalı” dedi. “Şirket, makroları devre dışı bırakma konusunda ikinci kez rotasını değiştirmiş olsa da, kullanıcı topluluğundan gelen tepkiler, makroların olgun bir saldırı vektörü olarak devam edebileceğini gösteriyor.”
Venafi, bulguların, gözlemlenebilirlik, tutarlılık ve güvenilirlik gibi belirli iş sonuçlarını yönlendirecek makine kimlik yönetimi kontrol düzlemleri için güçlü bir argüman olduğunu savunuyor. Kod imzalama, makro destekli fidye yazılımı saldırılarını ortadan kaldırmaya yardımcı olan bir “ana makine kimlik yönetimi güvenlik kontrolü” olduğunu söylüyor.
Bocek, “Makroların kimliğini doğrulamak için kod imzalama sertifikalarının kullanılması, imzasız makroların yürütülemeyeceği ve fidye yazılımı saldırılarının izinde durdurulacağı anlamına gelir” diyerek sözlerini sonlandırıyor. “Bu, güvenlik ekiplerinin, özellikle makroların ve Office belgelerinin her gün karar alma sürecini güçlendirmek için kullanıldığı bankacılık, sigorta, sağlık ve enerji sektörlerinde adım atmaları ve işlerini korumaları için bir fırsat.”
En iyi antivirüs ile üstün cihaz koruması elde edin (yeni sekmede açılır)
