Fidye yazılımı geçen yıl Dallas, Teksas şehrini hedef aldığında, şehir hizmetlerini, belediye su idaresinin fatura kesme ve sayaç okuma yeteneğini ve acil durum hizmetlerini çökertti. Şehir, bir aydan fazla tüm sistemlerini tekrar çevrimiçi hale getirmek.
Dallas yalnız değil. Sophos’un yaptığı bir ankete göre, 2023’te petrol, enerji ve kamu hizmetleri sektörlerindeki kritik altyapı operatörlerinin üçte ikisi (%67) bir fidye yazılımı saldırısına maruz kalırken, tüm sektörlerin %59’u bu saldırıya maruz kaldı. Ayrıca, bu kritik altyapı sektörlerine yapılan saldırılar, fidye yazılımı saldırısı sırasında etkilenen tüm sektörlerdeki sistemlerin %49’undan çok daha yüksek olan sistemlerin ortalama %62’sini etkiledi.
Aslında gruplar toplu olarak birbirine bağlı sağlık sektörü en çok etkilenen ikinci sektör oldusadece federal hükümet kurumları Sophos’un Küresel Saha CTO’su Chester Wisniewski, “Daha sık etkileniyorlar” diyor.
“Bu sektörün bunu ciddi bir risk olarak kabul etmesi ve fidye taleplerine karşı bu kadar savunmasız olmayacak şekilde konumlanması gerekiyor,” diyor. “Bu imkansız bir iş değil. Sonuçta, önceki yıllarda olduğu gibi temelleri doğru bir şekilde yapmakla ilgili.”
Kritik altyapı sektörleri, fidye yazılımı çetelerinin sürekli gözdesi olmuştur. Sömürge Boru Hattı olayına kadar uzanan ve hatta daha erken. Siber güvenlik danışmanlık şirketi NCC Group’un verilerine göre, endüstriyel sektördeki fidye yazılımı vakaları 2022 ile 2023 arasında 804 olaydan 1.484 saldırıya neredeyse iki katına çıktı.
Kritik altyapı şirketlerinin yer aldığı endüstriyel sektör temel hizmetleri yönetirNCC Group’un tehdit istihbarat operasyonları ve hizmet inovasyonu yardımcı direktörü Ian Usher, kesintilerin ciddi sonuçlara yol açabileceğini ve hızlı fidye yazılımı ödemelerine neden olabileceğini söylüyor.
“Kamu hizmeti sağlayan veya kritik altyapıları destekleyen kuruluşlar, operasyonları geri yüklemek için dışarıdan baskı gördükleri için fidye yazılımı saldırılarına karşı daha çekicidir” diyor.
Başarılı Bir Endüstriyel Fidye Yazılımı Saldırısını Ne Oluşturur?
Petrol, enerji ve kamu hizmetleri gibi kritik altyapı sektörlerindeki şirketlere yönelik fidye yazılımı saldırılarının çoğu, yazılım açıklarından yararlanılarak gerçekleştirildi; bu, başarılı saldırıların %49’unu oluşturdu; bir önceki yıl bu oran %35’ti. Sophos’un raporuna göreİlk 3 sırada, ele geçirilmiş kimlik bilgileri (%27) ve kötü amaçlı e-postalar (%14) yer aldı.
Kritik bir ölçüt, bir saldırının verilerin şifrelenmesine ne sıklıkla yol açtığıdır. Sophos’tan Wisniewski, 2023’te 10 saldırıdan sekizinin şifrelenmiş verilerle sonuçlandığını, bunun bir önceki yılla aynı olduğunu ancak önceki iki yıldan önemli ölçüde daha yüksek olduğunu söylüyor.
“Bu endişe verici,” diyor. “Bu sayılar, genişletilmiş algılama ve yanıt (XDR) ve yönetilen tespit ve müdahale (MDR) giderek daha yaygın hale geliyor.”
Fidye yazılımı saldırılarının etkisi işletmeler için genellikle acımasızdır. Sophos anketindeki ortalama katılımcının iyileşmesi bir aydan fazla sürdü. İlk kez, ortalama ödeme 2,54 milyon dolara fırlamış olsa bile, kurtarma için yedekleme kullanan şirketlerden daha fazla fidye ödedi (%61). Bir olaydan kurtarmanın ortalama maliyeti 2023’te 3 milyon doları aştı ve bir önceki yılla aynı oldu. (Not: Sophos’un raporu 2024 olarak etiketlenmiş olsa da, veriler 2023’tendir, bu nedenle Karanlık Okuma (son yılı kullanır.)
Kolayca Alakalı Siber Meyve Olmayın
Basit teknolojileri benimsemede başarısız olan kuruluşlar, örneğin; çok faktörlü kimlik doğrulama (MFA)Sophos’tan Wisniewski, yazılım güncellemelerini takip etmeyen ve bunu başaramayan kullanıcıların kendilerini yalnızca bir kez değil, birçok kez hedef alacağını söylüyor.
Bu yıl fidye ödemelerinin yüksek oranı gerçekten göze çarpsa da, kuruluşlar artık siber suçlulara ödeme yapmayı düşünmeyin çözüm olarak diyor.
“Bunun bir yolu yok durumlardan kurtulmak için para harcamak “Fidye yazılımı saldırısı gibi,” diyor Wisniewski. “Nadir durumlarda, ödeme kurtarmayı hızlandırabilir, ancak bu kural değil istisnadır… Tüm dosyalarınızı geri alamayacağınız neredeyse kesindir ve yine de … sistemlerinizi yeniden kurmanız gerekecektir.”
NCC Group’tan Usher, hükümetin kritik altyapı sektörleri için siber güvenlik standartlarını belirlemeye yardımcı olması gerektiğini söylüyor. Şu anda, 2022’de çıkarılan Kritik Altyapı için Siber Olay Bildirimi Yasası uyarınca, kritik altyapı operatörlerinin önemli siber olayları 72 saat içinde bildirmeleri ve fidye ödemelerini 24 saat içinde açıklamaları gerekiyor, diyor.
“Hükümet… kritik altyapı genelinde tutarlı siber güvenlik standartları sağlayabilir,” diyor. “Sürekli bir uyumsuzluk yalnızca giderek daha karmaşık bir kurallar ağının yaratılmasına hizmet edecektir. Bu muhtemelen daha iyi siber dayanıklılık sağlamanın tersine etki edecek ve siber güvenlik uyumluluğunun bir ‘işaretleme kutusu’ egzersizi haline gelmesi sorununa katkıda bulunacaktır.”