WannaCry, beş yıl önce 12 Mayıs’ta tehdidin potansiyel ciddiyetini çarpıcı bir şekilde ortaya çıkardığından beri fidye yazılımı ortamı önemli ölçüde gelişti. Aynı dönemde biraz daha az değişen şey, fidye yazılımı saldırılarına karşı kurumsal hazırlıktır.
Fidye yazılımları ortaya çıktı ve son birkaç yılda sektörler arası kuruluşlar için en zor güvenlik sorunlarından biri olarak yerleşmiş durumda. WannaCry’ın kendisi, başlangıçta olduğu kadar yaygın olmasa da, güçlü bir tehdit olmaya devam ediyor ve hatta geçen Kasım’da en iyi kötü amaçlı yazılım tehditlerinin bazı satıcı listelerinde yer aldı.
Çoğu hesaba göre, kurumsal kuruluşlar güvenlik açıklarını gidermede ve eski ve güncel olmayan yazılımları güncellemede daha iyi hale geldi. Buna rağmen, WannaCry’ın orman yangını gibi yaymak için kullandığı Sunucu İleti Bloğu (SMB) protokolünün savunmasız sürümü, kuruluşlar ve bölgeler arasında yaygın olarak kullanılmaya devam ediyor. SMB protokolüne yönelik saldırıların çoğu, WannaCry saldırılarında kullanılan istismar olan EternalBlue’dan yararlanmaya devam ediyor. Yama ve güvenlik açığı yönetimi programları, tehdit algılama, düzeltme ve müdahale gibi uygulamalar gibi zorluklar yaratmaya devam ediyor.
Bu arada, fidye yazılımı ve kullanım şekli değişti. Bugünlerde birçok fidye yazılımı saldırısı yüksek oranda hedefleniyor ve maksimum etkinlik için uygulamalı taktikler içeriyor. Araçlar giderek çok platformlu hale geliyor, bu da farklı işletim sistemlerine saldırmak için kullanılabilecekleri anlamına geliyor. Bu araçların örnekleri şunları içerir: Conti, BlackCat ve Sürgü.
Hizmet olarak fidye yazılımı tekliflerinin yaygınlaşması, suç endüstrisinde giderek daha fazla ticari hiyerarşileri ve süreçleri teşvik etse de, yaygın siber suçluların giriş engelini azalttı. Bu günlerde fidye yazılımı saldırılarının yüksek bir yüzdesi, ek gasp biçimleri olarak veri hırsızlığı ve hizmet reddi saldırılarını da içeriyor.
canlı ve tekme
LogicHub’da kıdemli tehdit analisti Tessa Mishoe, “WannaCry, bir zamanlar olduğu kadar yaygın bir tehdit olmasa da hala canlı ve tekmeliyor” diyor. Fidye yazılımı endüstrisi, ilk saldırıları ile şimdi arasında geçen süre içinde, WannaCry’nin çabalarından ve bunlara verilen yanıtlardan öğrendi – ister verileri açık artırmaya çıkarmak ve müşterilere şantaj yapmak gibi yeni taktikler, isterse daha karmaşık sanal makine kaçışları ve kalıcılık gibi yeni teknikler olsun. Mishoe, “Fidye yazılımının pazar payındaki artışı, WannaCry’nin fidye yazılımlarına nasıl daha fazla entrika açtığının iyi bir göstergesi olmalı” diyor.
WannaCry 12 Mayıs 2017’de ortaya çıktı ve birkaç gün içinde dünya çapında yaklaşık 300.000 bilgisayara yayıldı. Birçoğu onu fidye yazılımı olarak tanımlasa da, ana işlevlerinden biri virüslü sistemlerden verileri temizlemekti.
FedEx, Nissan ve belki de en önemlisi Birleşik Krallık Ulusal Sağlık Servisi dahil olmak üzere çok sayıda kuruluş salgından etkilendi. ABD Adalet Bakanlığı ve diğer birçok kötü amaçlı yazılımla ilişkilendirildi ve Kuzey Kore’nin Lazarus Grubuna yapılan saldırılar. Yıllar geçtikçe, araştırmacılar kötü amaçlı yazılımla ilişkili zararların 1 milyar dolardan fazla olduğunu tahmin ettiler.
Kötü amaçlı yazılım, kritik bir uzaktan kod yürütme güvenlik açığı (MS17-010) Microsoft’un Sunucu İleti Bloğu 1.0 (SMBv1) dosya paylaşım protokolünde. Bir sisteme yüklendikten sonra WannaCry, savunmasız bir SMB sürümünü çalıştıran diğer cihazlara hızla yayılır. Bunların çoğu, Windows Vista, Windows 7 ve Windows 8.1 üzerinde çalışan sistemler gibi daha eski Windows sistemleriydi.
Microsoft, WannaCry’den bir aydan daha uzun bir süre önce SMB kusuru için bir yama yayınlamış olsa da, kötü amaçlı yazılım vurduğunda milyonlarca bilgisayar soruna karşı yamasız kaldı.
Devam Eden Bir Tehdit
Beş yıl sonra, saldırganlar WannaCry ve diğer kötü amaçlı yazılımları kurumsal sistemlere dağıtmak için EternalBlue açığını kullanmaya devam ediyor.
Barracuda Networks tarafından üç aylık bir süre boyunca yapılan saldırılarla ilgili yakın zamanda yapılan bir analiz, SMB 445 numaralı bağlantı noktasına yapılan tüm saldırıların şaşırtıcı bir şekilde %92’sini içerdiğini gösteriyor. EternalBlue’yu kullanmaya çalışır faydalanmak.
Barracuda’da kıdemli güvenlik araştırmacısı olan Jonathan Tanner, “Orada hala bu tür açıklara karşı hiçbir zaman yama yapılmamış ve muhtemelen olmayacak makineler var” diyor. “Yani, saldırganların bu sistemleri bulmaya ve bunlardan yararlanmaya çalışmak çok fazla bir iş değil.”
Bunun çoğu, aynı zamanda, altyapılarını güncelleyen kuruluşlarda devam eden gecikmelerden kaynaklanmaktadır. ExtraHop sağlayıcısı tarafından 500 BT karar vericisiyle yapılan bir anket, katılımcıların %68’inin dosya paylaşım protokolünün daha yeni, daha güvenli sürümlerinin yıllardır var olmasına rağmen hala SMBv1’i çalıştırdığını kabul ettiğini buldu. Şirket, önümüzdeki günlerde şirketlerin fidye yazılımı saldırılarına karşı kendilerini güçlendirmede karşılaştıkları engelleri tartışacak. RSA Konferansı (RSAC), uygun bir şekilde başlıklı bir oturumda, “Fidye Yazılımını Durdurmak İçin Ne Alacak?”
ExtraHop’ın CISO’su Jeff Costlow, SMBv1’in 2014’ten beri kullanımdan kaldırıldığını belirtiyor. “Kuruluşların %68’inin hala SMBv1 kullanıyor olması şaşırtıcı olsa da, bilerek veya bilmeyerek, güncel olmayan, güvenli olmayan veya şifrelenmemiş protokoller çalıştıran kuruluşların örneklerini ardı ardına görüyorum” diyor. Risk çok büyük, diye ekliyor. “SMBv1’in yıkıcı bir saldırı başlatmak için ortamdaki her cihaza yüklenmesi gerekmez. Yalnızca bir cihazda olması gerekir.”
Red Canary’nin baş bilgi güvenliği uzmanı Brian Donahue, kuruluşların çoğunlukla WannaCry’ye karşı eskisinden daha az savunmasız olduğunu söylüyor. Buna rağmen, pek çok kuruluş hala MS17-010’a güncelleme yapmadı ve KOBİ kurulumlarının EternalBlue açıklarından yararlanmaya açık olduğunu söylüyor.
“Daha genel olarak, kurumsal yama benimseme, satıcı güncellemelerinin gerisinde kalıyor ve kuruluşlar her zaman yeni yazılım sürümlerini güncel tutmak için mücadele edecek” diye belirtiyor.
Kuruluşların ayrıca siber suçlu inovasyonunu takip etmeleri gerekiyor. Bu amaçla, aynı zamanda bir SANS Enstitüsü müdürü olan Red Canary’den Katie Nickels, Haziran ayındaki RSAC sırasında “” başlıklı bir panelin parçası olacak.En Tehlikeli 5 Yeni Saldırı Tekniğifidye yazılımı (ve diğer siber saldırılar) için ortaya çıkan tehdit vektörlerini vurgulamayı amaçlamaktadır.
Baskın ve Gelişen Bir Tehdit
Donahue, fidye yazılımlarının 2017’deki en baskın tehditlerden biri olduğunu ve 2022’de de büyük bir tehdit olmaya devam ettiğini söylüyor. Solucan benzeri fidye yazılımı tehditleri, acil bir tehdit olmaktan fidye yazılımı kampanyaları için fiili bir standart haline geldi. Bundan daha da fazlası, 2017’de çifte gasp gerçekleştirmek için sızma tekniklerinin benimsenmesi nadirdi, ancak şimdi oldukça yaygın.
Fidye yazılımı endüstrisi, WannaCry salgınından bu yana başka şekillerde de gelişti. Tehdit alanını analiz eden Bishop Fox’taki araştırmacılar, son zamanlarda bir tuzak olarak fidye yazılımı
devlet destekli saldırılar, siber savaş ve suç faaliyetlerinde. WannaCry, NotPetya ve WhisperGate’in fidye yazılımı kılığında, kurbanları fidye öderlerse verilerini geri alabileceklerine inandıran disk silecekleri olduğunu kaydettiler.
Aynı şekilde, Bishop Fox’a göre saldırganlar, kurbanları saldırganın gerçek amaçlarından uzaklaştırmak için fidye yazılımı kullanıyor.
Bishop Fox’un kırmızı ekip uygulama direktörü Trevin Edgeworth, günümüzün fidye yazılımı saldırılarının, otomatik bir şekilde ayrım gözetmeksizin yayılan WannaCry’ye kıyasla çok daha özel ve özelleştirilmiş olduğunu söylüyor. Büyük ölçüde insan tarafından dağıtılan ve belirli kuruluşlara yönelik fidye yazılımı örneği olarak Colonial Pipeline’ı vuran fidye yazılımı DarkSide’a işaret ediyor.
“İster bir sağlık hizmeti sağlayıcısının tuttuğu hasta bilgileri olsun, isterse bir üretim şirketi için kritik olan sistemlerin sürekli çalışması olsun, günümüzün saldırıları, hedeflenen her kuruluşa ve onlar için neyin kritik olduğuna göre uyarlanır ve özelleştirilir” diyor.
Bu haftaki bir raporda Kaspersky, son zamanlardaki vakaları tespit ettiğini söyledi. Fidye yazılımı grupları taraf tutuyor jeopolitik çatışmalarda – Rusya’nın Ukrayna’daki savaşını içerenler gibi. Örneğin, Conti fidye yazılımı ailesinin arkasındaki gruplar Rus çıkarlarıyla ittifak kurarken, Ukrayna BT Ordusu gibi diğerleri karşı tarafta. Bu uyumun hedeflenen kuruluşlar üzerinde etkisi olabilir.
WannaCry, birçok kuruluş için yama uygulamaları konusunda bir uyandırma çağrısıydı ve daha güçlü güvenlik açığı yönetimi programlarını teşvik etti. Ancak Edgeworth, birçok kuruluşun, Java, Office ve Adobe ürünleri gibi ortamlarında her yerde yüklü olan önemli uygulamaları yamalamak yerine işletim sistemi yamalarına öncelik vermeye devam ettiğini söylüyor.
Edgeworth, “Fidye yazılımına hazırlık, öncelikle güvenli ağ mimarisi, gereksiz saldırı yüzeylerinin azaltılması ve Active Directory ve ‘taç’ sistemleri çevresinde en az ayrıcalık uygulanması gibi temel güvenlik hijyeninde mükemmelleşme ile başlar” diyor. “Kuruluşların bir fidye yazılımı saldırısına nasıl yanıt verecekleri konusunda önceden bir planı olmalıdır.”