Fidye yazılımı.
Kurumsal bir C-suite’den bir ev kullanıcısına kadar herkesi ürpertebilecek bir kelime. Fidye yazılımı endüstrisinin geneli hakkında bir fikir edinmek bazen zordur (ve evet, bu artık bir endüstridir). Ancak forumların ve sosyal medyanın anekdot niteliğindeki incelemelerine göre, bireylere yönelik saldırılar yavaşlıyor gibi görünüyor. Artık insanların bilgisayarlarında fidye yazılımı tarafından saldırıya uğradığını bildirdiğini görmüyorum.
Ancak saldırganlar, “tek seferlik” hedeflerin peşinden gitmenin en iyi iş planı olmadığını fark etmiş olabilir. Aslında, son zamanlarda Microsoft Secure çevrimiçi semineri (kayıt gereklidir), Jessica Payne ve Geoff McDonald, fidye yazılımının artık nasıl büyük bir iş haline geldiğini ve güvenliği ihlal edilmiş ağlara erişimi başkalarına satanlar tarafından bir hizmet olarak sunulduğunu tartışıyorlar.
Saldırganlar ünlü hedeflerin peşine düştüğünde, genellikle fidye yazılımı endüstrisi için kötü bir baskı oluştururlar. Bu nedenle, artık satıcıları ve sağlayıcıları güvenliği sıkılaştırmaya, son kullanıcıları yama yapmaya ve şirketleri daha iyi güvenlik çözümleri kullanmaya sevk edebilecek manşetlerden kaçınma çabalarını koordine ediyorlar.
Bunun ötesinde saldırganlar, BT ekiplerinin işlerini yapmak için ihtiyaç duyduğu bilgi araçlarına yönelik arama sonuçlarını da hedefliyor. Örneğin bir arama sonucu, yöneticileri olası bir arka kapı kurmaları için kandıran kötü amaçlı bir araca yönlendirebilir. Bu erişim daha sonra karaborsada satılır. (Fidye yazılımı aktörleri, bir ağa girmenin en kolay yolunun “yama uygulanmamış insanı” kandırmak olduğunu bilirler.) Şirketler, işletim sistemlerine ve Office paketlerine yama uygulama konusunda daha iyi bir iş çıkarıyor olsalar da, yine de son kullanıcıların akıllı olamayacak kadar fazlasına güveniyorlar. Kullanıcılar biraz paranoyak değillerse – yani bağlantılara ve kimlik avı düzenlerine tıklamadan önce durup düşünürlerse – ağlar savunmasız kalır.
Fidye yazılımları, yanlış güvenlik yapılandırmaları veya gözden kaçan güvenlik açıkları nedeniyle de sistemlere girebilir. Payne, 2022’deki ek bilgilere işaret etti. Hizmet Olarak Fidye Yazılımı Blog yazısı. Saldırı Yüzeyi Azaltma (ASR) kuralları, birçok firmanın faydalanmadığı araçlardan biri olmaya devam ediyor. ASR kuralları, Windows’un saldırganları engelleme yeteneğini artırmak için Windows 10 ve 11 Professional sürümlerinde etkinleştirilebilir.
Microsoft 365 Defender müşterisi olmasanız bile ASR kurallarını dağıtabilirsiniz; fidye yazılımı süreçlerini hedefleyen belirli kurallar:
- Yürütülebilir dosyaların bir yaygınlık, yaş veya güvenilir liste ölçütünü karşılamadıkları sürece çalışmasını engelleyin.
- Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmasını engelleyin.
- PsExec ve WMI komutlarından kaynaklanan işlem oluşumlarını engelleyin.
- Ve kullan gelişmiş koruma fidye yazılımlarına karşı.
Genellikle olmayan ASR kuralları herhangi bir yan etkiye neden olur normal PC işlemeye, kısıtlamalar getirmek yerine sistemleri “denetim” için ayarlanabilir. Bir ağ üzerindeki etkiyi test etmenin bir yolu budur.
Ayrıca Microsoft, fidye yazılımı dağıtımını yavaşlatmak için Office’te değişiklikler yaptı. Yakın tarihli bir değişiklik, VBA makrolarını içerir. Gibi Microsoft tarafından not edildi, “VBA makroları, kötü amaçlı aktörlerin kötü amaçlı yazılım ve fidye yazılımı dağıtmak için erişim elde etmesinin yaygın bir yoludur. Bu nedenle, Office’te güvenliği artırmaya yardımcı olmak için Microsoft, Office uygulamalarının varsayılan davranışını internetten dosyalardaki makroları engelleyecek şekilde değiştiriyor. Bu değişiklikle birlikte kullanıcılar e-posta eki gibi internetten gelen ve o dosya makro içeren bir dosyayı açtığında açılan dosyanın üst kısmında kırmızı bir uyarı gösterilecek.”
Kullanıcılar, çalışmanız için ihtiyaç duyduğunuz dosyaları tanımlamalı ve bunların artık şüpheli görülmediğinden ve güvenilir bir konumda olduklarına dair işaretlendiklerinden emin olmalıdır. (Yönlendirmeyi inceleyebilirsiniz. Burada ihtiyacınız olan dosyaları engellemediğinizden emin olmak için.) Sunumda belirtildiği gibi, “QakBot ve Emotet, ilk erişim için büyük ölçüde kötü amaçlı makrolara güvendi. Ancak Microsoft, makroları küresel olarak devre dışı bıraktıktan sonra, yüklere ve kimlik avı e-postalarına doğrudan bağlantılar kullanmak veya bu kimlik avı e-postalarına OneNote ekleri eklemek gibi başka tekniklere geçtiler.”
Ve bu ay geliyor Windows’ta OneNote’a geçiş, OneNote’ta katıştırılmış bir dosyayı açan veya indiren kullanıcılar için ek korumalardır. Kullanıcılar, OneNote’ta dosya koruma deneyimini geliştirmek için tasarlanmış bir değişiklik olan tehlikeli kabul edilen dosyalarla ilgili bir bildirim alacak. Açıkçası, Microsoft saldırganlardan bir adım önde olmaya çalışıyor.
Bazı fidye yazılımı operatörleri artık haraç almaya yöneliyor. Sadece bir şirkete yaptıklarını kanıtlayarak olabilmek Verileri ister şirket içinde ister bulutta yok edin, bunu fiilen gerçekleştirmeden, saldırganlar fiilen zarar vermeden bir kazanç elde edebilir. Microsoft’un bir takip etkinliği 11-13 Nisan Microsoft Secure’ta kapsanan konuları artırmak için. Ek kaynaklar ve bilgiler için, SANS kuruluşu ayrıca gün boyu ücretsiz bir Fidye Yazılımı Zirvesi İlk erişim vektörlerini ve savunma tekniklerini tartışmak için 23 Haziran.
Fidye yazılımı durumu ev kullanıcıları için gelişiyor olsa da, aynı şey iş için geçerli olmayabilir. Şimdi bu kaynakları gözden geçirme ve saldırganların şirketinizi onlar için bir gelir kaynağına dönüştürmesini zorlaştırma zamanı.
Telif hakkı © 2023 IDG Communications, Inc.