Fidye yazılımı: güncel tehditler, bunların nasıl önleneceği ve FBI’ın nasıl yardımcı olabileceği
Nisan 2021’de Hollanda süpermarketleri gıda kıtlığıyla karşı karşıya kaldı. Nedeni kuraklık ya da avokado talebinde ani bir artış değildi. Aksine, neden bir fidye yazılımı saldırısıydı. Geçtiğimiz yıllarda şirketler, üniversiteler, okullar, tıbbi tesisler ve diğer kuruluşlar fidye yazılımı tehdit aktörleri tarafından hedef alındı ve fidye yazılımı internetin en ciddi güvenlik krizine dönüştü.
Fidye Yazılımı Manzarası
Fidye yazılımı 30 yılı aşkın bir süredir varlığını sürdürüyor ancak son on yılda siber aktörler ve çeteler için kazançlı bir gelir kaynağı haline geldi. 2015’ten beri fidye yazılımı çeteleri, bireyler yerine kuruluşları hedef alıyor. Sonuç olarak, fidye meblağları önemli ölçüde artarak milyonlarca dolara ulaştı.
Fidye yazılımı etkilidir çünkü kurbanlara birbirini tamamlayan iki şekilde baskı yapar. Birincisi, kurbanları verilerini yok etmekle tehdit ederek. İkincisi, saldırıyı duyurmakla tehdit ederek. İkinci tehdidin dolaylı bir etkisi vardır, ancak bir o kadar ciddidir (daha fazla değilse). Yayın, düzenleme ve uyumluluk sorunlarının yanı sıra uzun vadeli olumsuz marka etkilerini tetikleyebilir.
İşte gerçek fidye yazılımı notlarından bazı örnekler:
Hizmet Olarak Fidye Yazılımı (RaaS), en yaygın fidye yazılımı türü haline geldi. RaaS saldırılarında, fidye yazılımı altyapısı siber suçlular tarafından geliştirilir ve daha sonra kullanımları için diğer saldırganlara lisanslanır. Müşteri saldırganları, yazılımın kullanımı için ödeme yapabilir veya ganimeti içerik oluşturucularla paylaşabilir. Etay maor, Güvenlik Stratejisi Kıdemli Direktörü Cato Ağları “RaaS’ın başka biçimleri de var. Fidye yazılımı ödemesini aldıktan sonra bazı Fidye yazılımı grupları, kurbanın ağıyla ilgili tüm verileri diğer çetelere satar. Saldırganlar tarafından keşif ve ağ analizi.”
RaaS ortamını bugünkü haline getirmekle ün salmış büyük RaaS oyuncularından bazıları, 2000’lerde çeyrek milyondan fazla sisteme virüs bulaştıran ve dört aydan kısa bir süre içinde 3 milyon dolardan fazla kâr eden CryptoLocker ve bunu yapan CryptoWall. 18 milyon doların üzerinde ve bir FBI danışmanlığına yol açtı ve son olarak fidye yazılımı da dahil olmak üzere çeşitli istismar türlerini kullanan Petya, NotPetya ve WannaCry.
FBI Fidye Yazılımlarla Mücadeleye Nasıl Yardımcı Olur?
Saldırı altındaki bir kuruluş, hayal kırıklığı ve kafa karışıklığı yaşamaya mahkûmdur. Önerilen ilk eylem yollarından biri, bir Olay Müdahale ekibiyle iletişime geçmektir. IR ekibi soruşturma, iyileştirme ve müzakerelerde yardımcı olabilir. O zaman FBI da yardımcı olabilir.
FBI’ın misyonunun bir kısmı, fidye yazılımları hakkında farkındalık yaratmaktır. Geniş bir yerel ve küresel ağ sayesinde değerli istihbarata erişimleri var. Bu bilgi, mağdurlara müzakerelerde ve operasyonelleştirmede yardımcı olabilir. Örneğin FBI, Bitcoin cüzdanına dayalı olarak bir tehdit aktörü hakkında profil oluşturucu bilgileri sağlayabilir.
Fidye yazılımı kurbanlarına yardım etmek ve fidye yazılımlarını önlemek için FBI saha ofislerinde 56 Siber Görev Gücü kurdu. Bu Görev Güçleri, IRS, Eğitim Bakanlığı, Genel Müfettişlik Ofisi, Federal Koruma Servisi ve Eyalet Polisi ile yakın işbirliği içinde çalışır. Ayrıca Gizli Servis ile yakın temas halindeler ve bölgesel adli tıp laboratuvarlarına erişimleri var. Ulusal Güvenlik siber suçları için FBI’ın belirlenmiş bir Ekibi vardır.
Siber Görev Gücü’nün yanı sıra FBI, saha ofislerini, özel sektörü ve diğer federal ve istihbarat teşkilatlarını koordine etmek için bir İzleme Merkezi olan 7/24 bir CyWatch işletmektedir. Şikayetleri kaydetmek ve eğilimleri belirlemek için bir İnternet Suçları Şikayet Merkezi, ic3.gov da bulunmaktadır.
Fidye Yazılım Saldırılarını Zamanında Önleme
Birçok fidye yazılımı saldırısının FBI’a ihtiyaç duyulacak noktaya gelmesi gerekmez. Aksine, önceden önlenebilirler. Fidye yazılımı tek seferlik bir saldırı değildir. Bunun yerine, bir dizi taktik ve tekniğin tümü, uygulanmasına katkıda bulunur. Kuruluşlar, saldırıyı mümkün kılan ağ ve güvenlik açıklarını önceden belirleyerek, tehdit aktörlerinin fidye yazılımı gerçekleştirme yeteneğini engelleyebilir veya sınırlayabilir. Etay Maor, “‘Saldıranların bir kez, savunanların her zaman haklı olması gerekir’ kavramını yeniden düşünmemiz gerekiyor. Siber saldırı, birden çok taktik ve tekniğin birleşimidir. Bu nedenle, yalnızca tümü gerçek zamanlı olarak bağlamı paylaşan birden çok birleşik güvenlik sistemiyle bütüncül bir yaklaşımla karşılanabilir. SASE mimarisive başka hiç kimse savunuculara teklif vermiyor”.
Örneğin, iyi bilinen bir üreticiye yönelik REvil saldırısının tüm adımları, MITRE ATT&CK çerçevesiyle eşlenmiştir. Gördüğünüz gibi, gerçek fidyeden önce gerçekleşen ve fidyenin “başarısı” için gerekli olan çok sayıda aşama var. Bu riskler azaltılarak, saldırı önlenebilirdi.
İşte bir Sodinokobi saldırısının benzer bir haritası:
MITRE çerçevesine labirent saldırı eşleştirmesi:
Fidye yazılımı saldırılarını haritalandırmanın bir başka yolu da, farklı taktik ve tekniklerin ne sıklıkta kullanıldığını gösteren ısı haritalarıdır. İşte Labirent saldırılarının ısı haritası:
Bu eşlemeleri kullanmanın bir yolu, ağ analizi ve sistem testi içindir. Kuruluşlar, bir sistemin bu taktik ve tekniklere karşı dayanıklılığını test ederek ve her türlü riski azaltabilecek kontroller uygulayarak, belirli bir aktör tarafından kritik kaynaklarına yönelik bir fidye yazılımı saldırısı riskini azaltır.
Saldırılardan Nasıl Kaçınılır – Atın Ağzından
Ama bunun için bizim sözümüze güvenmeyin. Bazı fidye yazılımı saldırganları, kuruluşlara kendilerini gelecekteki fidye yazılımı saldırılarından korumak için en iyi uygulamaları sağlayacak kadar “nazik”tir. Öneriler şunları içerir:
- Yerel şifreleri kapatma
- Güvenli şifreler kullanma
- Yönetici oturumlarının sonunu zorlamak
- Grup ilkelerini yapılandırma
- Ayrıcalıklı kullanıcıların erişimini kontrol etme
- Yalnızca gerekli uygulamaların çalıştığından emin olmak
- Anti-Virüs güvenini sınırlama
- EDR’leri yükleme
- 24 saat sistem yöneticileri
- Savunmasız bağlantı noktalarının güvenliğini sağlama
- Yanlış yapılandırılmış güvenlik duvarlarını izleme
- Ve dahası
Cato Networks’ten Etay Maor, “Birkaç Ransomware grubunun kuruluşların yapması gerektiğini söylediği hiçbir şey yeni değil. Bu en iyi uygulamalar yıllardır tartışılıyor. Hala işe yaramalarının nedeni, bunları ayrık, nokta çözümleri kullanarak uygulamaya çalışmamızdır. Bu olmadı. Çalışmıyor ve çalışmayacak. Tüm güvenlik çözümlerinin bağlamı paylaştığı ve her ağ akışını görme ve saldırı yaşam döngüsünün bütüncül bir görünümünü elde etme yeteneğine sahip olduğu bir SASE, bulut tabanlı mimari, siber saldırılara karşı oyun alanını eşitleyebilir”.
Fidye Yazılım Önleme: Devam Eden Bir Etkinlik
Tıpkı dişlerinizi fırçalamak veya egzersiz yapmak gibi, güvenlik hijyeni de devam eden, metodik bir uygulamadır. Fidye yazılımı saldırganlarının, sorunlar çözülmezse olay mahallini tekrar ziyaret ettikleri ve ikinci bir fidye talep ettikleri bilinmektedir. Güvenlik tehditlerini etkili bir şekilde azaltabilen güvenlik kontrolleri kullanarak ve uygun bir olay müdahale planına sahip olarak, riskler ve saldırganların ödeme günü en aza indirilebilir. FBI yardım etmek ve yardımcı olabilecek bilgileri sağlamak için burada, yardıma ihtiyaç duyulmayacağını umalım.
Fidye yazılımı saldırıları ve bunların nasıl önleneceği hakkında daha fazla bilgi edinmek için, Cato Networks’ün Siber Güvenlik Masterclass serisi, incelemeniz için hazır.