Fidye yazılımları için eksiksiz kılavuz

by admin
0 comment

Her sektörden kuruluşlar kâr amaçlı siber suçların hedefi olabilir. Kapsamlı kılavuzumuzda fidye yazılımı önleme, tespit etme ve kurtarma konusunda uzman tavsiyesi alın.

Güvenlik sorunları söz konusu olduğunda, her büyüklükteki işletme fidye yazılımı saldırılarının çokluğu ve ciddiyeti karşısında alarma geçiyor. Siber suçlular, özel kötü amaçlı yazılımlarla her sektörü hedef alıyor ve hesaplanamayan miktarlarda fidye topluyor. Fidye yazılımları hakkındaki bu kapsamlı kılavuzda saldırı türleri, yaygın saldırı vektörleri, önleme yöntemleri ve araçları ile kurtarma için en iyi uygulamalar açıklanmaktadır.

Fidye yazılımı, kurbanın bilgisayarındaki verileri kilitleyebilen ve şifreleyebilen bir kötü amaçlı yazılım alt kümesidir. Saldırganlar daha sonra kurbana bir istismarın gerçekleştiğini ve bir ödeme alınana kadar verilerin kilidinin açılmayacağını veya şifresinin çözülmeyeceğini bildirir.

Açık olmak gerekirse, kötü amaçlı yazılım, bir saldırgana bir sistem üzerinde açık kontrol sağlayan herhangi bir kötü amaçlı kod veya program için kullanılan şemsiye terimdir. Fidye yazılımı, saldırganların erişim engelini kaldırmak veya verilerin şifresini çözmek ve kurbanların yeniden erişim kazanmasına izin vermek için ödeme talep ettiği durumlara özgüdür. Fidye yazılımları genellikle siber şantaj suçuyla sonuçlanır. Saldırganlar bir kurbanın verilerine sızar ve ardından talepleri karşılanmazsa verileri sızdırmakla tehdit ederse, saldırıyı başlatan kötü amaçlı kod gasp yazılımı olarak adlandırılır.

Fidye yazılımı türleri
Fidye yazılımlarının, kötü niyetli aktörlerin fidye almak için kullandığı birden fazla türü vardır. Geleneksel türler kripto ve kilitli dolaptır. İki yeni tür – çifte gasp ve hizmet olarak fidye yazılımı – kötü niyetli aktörler arasında popülerlik kazanmaktadır.

Locker bilgisayarlara erişimi engeller ve saldırganlar erişimin kilidini açmak için ödeme talep eder.
Kripto, bir bilgisayardaki tüm dosyaları veya bazı dosyaları şifreler ve saldırganlar şifre çözme anahtarını teslim etmeden önce ödeme talep eder.
Çifte haraç, siber suçlular dosyaların şifresini çözmek için bir ödeme talep ettiğinde ve diğerini kamuya açıklamamak için talep ettiğinde ortaya çıkar.
Hizmet olarak fidye yazılımı (RaaS), siber suçluların bir ücret karşılığında kötü amaçlı koda erişebildiği durumlarda ortaya çıkar.
Fidye yazılımları genellikle ilk olarak 30 yıl önce ortaya çıkan AIDS Trojan gibi kötü amaçlı yazılım türü kod adlarıyla bilinir. O zamandan bu yana GPcode, Achievus, Trojan WinLock, Reveton ve CryptoLocker gibi isimler neden oldukları tahribatla manşetlere taşındı. Geçtiğimiz on yıl içinde LockerPIN, Ransom32, WannaCry, Goldeneye ve Petya ortaya çıktı. Ve yakın zamanda bir siber suç çetesi, yazılım teknolojisi şirketi Kaseya’dan 70 milyon dolar fidye talep etmek için RaaS varyantı REvil’i kullandı.

Fidye yazılımı türlerinin ayrıntılı geçmişini okuyun.

Fidye yazılımı vektörleri
Fidye yazılımları kurumlara üç yaygın vektör aracılığıyla sızar: kimlik avı, Uzak Masaüstü Protokolü (RDP) ve kimlik bilgilerinin kötüye kullanılması ve istismar edilebilir güvenlik açıkları.

Kimlik Avı
E-postaya kötü amaçlı yazılım yerleştirerek bir kuruluşu hedef alan kimlik avı, siber suçluların yüklerini teslim etmelerinin en popüler yollarından biri olmaya devam ediyor. Kimlik avı e-postaları çok daha sofistike hale geldi ve en bilgili kullanıcıları bile zararlı bağlantılara tıklamaya ikna etti.

RDP ve kimlik bilgilerinin kötüye kullanımı
Siber suçlular, sunuculara ve masaüstlerine güvenli uzaktan erişim için Microsoft’un tescilli protokolü olan RDP aracılığıyla kötü amaçlı yazılım enjekte edebilirler. Bir RDP ortamı güvenliksiz bırakıldığında, saldırganlar kaba kuvvet, suç siteleri aracılığıyla satın alınan meşru kimlik bilgileri ve kimlik bilgisi doldurma yoluyla erişim elde ederler.

Kötü yama uygulamalarından kaynaklanan güvenlik açıkları
Saldırganlar yararlanabilecekleri güvenlik açıkları ararlar ve yamalanmamış sistemler cazip bir giriş yoludur. Eklentiler de dahil olmak üzere web siteleri ve üçüncü taraflara bağlanan karmaşık yazılım ortamları, kötü amaçlı yazılımların tespit edilmeden eklenmesine olanak tanır.

Kötü amaçlı yazılımların web siteleri ve tarayıcılardaki güvenlik açıkları aracılığıyla nasıl dağıtılabileceğini daha derinlemesine inceleyin.

En büyük fidye yazılımı hedefleri
Görünüşe göre hiçbir sektör fidye yazılımlardan kurtulmuş değil, ancak bazıları diğerlerine göre daha hassas. Örneğin, eğitim kurumları saldırganların elinden büyük zarar görmüştür. TechTarget Kıdemli Yazarı Alissa Irei, Washington’daki bir okul sisteminin tepkisini ve sektörlere göre ilk 10 fidye yazılımı hedefini aktardı:

EĞİTİM
perakende
i̇ş, profesyonel ve hukuk hi̇zmetleri̇
merkezi hükümet (federal ve uluslararası dahil)
IT
imalat
enerji̇ ve kamu hi̇zmetleri̇ altyapisi
sağlık hizmetleri
yerel yöneti̇m
fi̇nansal hi̇zmetler
Irei’nin makalede belirttiği gibi, kuruluşun büyüklüğü her zaman belirleyici faktör değildir; bunun yerine, saldırganların maksimum finansal etkiyi nereden elde edebilecekleri önemlidir.

En dikkat çekici fidye yazılımı saldırılarından bazıları aşağıdaki son kurbanları içermektedir:

Colonial Boru Hattına yapılan bir saldırı, Doğu Kıyısının büyük bir bölümünün yakıt tedarikinin günlerce kesintiye uğramasına neden oldu. Colonial, kurtarma çabalarını hızlandırmak için 4,4 milyon dolarlık bir ödeme yaptı. Kripto para birimiyle yapılan bu ödemenin bir kısmı daha sonra ABD hükümeti tarafından geri alındı.
Küresel sığır eti üreticisi JBS USA, bir fidye yazılımı saldırısına uğradıktan sonra birkaç gün boyunca faaliyetlerini durdurmak zorunda kaldı. Şirket, hiçbir verinin dışarı sızmadığından emin olmak için saldırganlara 11 milyon dolar ödedi.
New York’taki Buffalo Devlet Okulları sistemi, felç edici bir fidye yazılımı saldırısının ardından yüz yüze ve çevrimiçi eğitimi durdurdu. Sistemin yeniden ayağa kalkması ve derslere devam etmesi için bir hafta gerekti.

Saldırılar nasıl fark edilir
Kötü amaçlı kod genellikle PowerShell komut dosyaları, VBScript, Mimikatz ve PsExec gibi yasal yazılımların içine gizlendiğinden, fidye yazılımı saldırılarını tespit etmek benzersiz bir şekilde zordur. Kuruluşlar, bir fidye yazılımı saldırısıyla sonuçlanabilecek şüpheli etkinlikleri ortaya çıkarmak için otomatik güvenlik araçları ve kötü amaçlı yazılım analizinin bir kombinasyonunu kullanmalıdır.

İşte üç tür fidye yazılımı tespit tekniği:

imza tabanlı fidye yazılımı, şüpheli etkinliklerden toplanan örnek bir karmayı bilinen imzalarla karşılaştırır;
davranış tabanlı fidye yazılımı, geçmiş verilerle ilişkili olarak yeni davranışları inceler; ve
aldatma, saldırganları yakalamak için normal kullanıcıların dokunmayacağı bir bal küpü gibi bir yem kullanır.
Fidye yazılımı saldırıları hızlı bir şekilde gerçekleşir ve aynı hızla tespit edip yanıt verebilmek önemlidir. Üç fidye yazılımı vakası ve sonuçları hakkında bilgi edinin.

Fidye yazılımı saldırıları nasıl önlenir
Kuruluşlar güçlü bir siber güvenlik duruşu sergileyerek fidye yazılım saldırılarına karşı savunmasızlıklarını azaltabilir ve neden oldukları hasarı sınırlandırabilirler. Notre Dame Üniversitesi BT kıdemli direktörü Mike Chapple, fidye yazılım saldırılarını önlemek için aşağıdaki adımları özetledi:

Derinlemesine savunma güvenlik programını sürdürün.
Sıfır güven ve uç nokta tespit ve müdahale gibi gelişmiş koruma teknolojilerini değerlendirin.
Çalışanları sosyal mühendislik riskleri konusunda eğitin.
Düzenli olarak yama uygulayın.
Kritik verileri sık sık yedekleyin.
Yalnızca yedeklemelere bağlı kalmayın.
Ayrıca işletmeler, bağlantıların ve eklerin daha fazla öne çıkmasını ve güvenlik uzmanları için daha şüpheli hale gelmesini sağlamak için e-posta yoluyla işlemleri sınırlandıran veya hatta ortadan kaldıran iş süreçleri uygulayabilir.

Bulut, kuruluşların yedekleme ve kurtarma stratejisi için kullanabileceği benzersiz bir fidye yazılımı koruması sunar. Voodoo Security’nin kurucusu ve baş danışmanı Dave Shackleford’a göre şirketler, altyapı değişiklikleri yapmadan veya çok sayıda idari kimlik doğrulama/yetkilendirme ayarlaması gerektirmeden çekirdek kurumsal ortamdan erişilemeyen izole yedeklemeler oluşturabilir.

Fidye yazılımı saldırılarına nasıl yanıt verilir ve bu saldırılardan nasıl kurtulunur?
Bir fidye yazılımı saldırısı gerçekleştiğinde, kuruluşlar ideal olarak saldırıdan çok önce oluşturdukları ve test ettikleri fidye yazılımı olay müdahale planını takip etmelidir.

Kuruluşlar fidye yazılımını kaldırmayı denemek isteyecektir, ancak bu inanılmaz derecede zor olabilir. Güvenlik uzmanları, kötü amaçlı yazılımın sisteme daha fazla nüfuz etmesine izin vermediklerinden emin olmalıdır. Bağımsız BT danışmanı Paul Kirvan’ın fidye yazılımının kaldırılmasına yönelik aşağıdaki adımları yardımcı olacaktır:

Virüs bulaşmış cihazı izole edin.
Daha hedefli iyileştirme çabalarını mümkün kılmak için fidye yazılımı türünü belirleyin.
Fidye yazılımının silinip silinmediğini kontrol etmek, karantinaya almak için anti-virüs veya anti-fidye yazılımı kullanmak, harici güvenlik uzmanlarından yardım istemek ve gerekirse manuel olarak kaldırmak.
İşletim sisteminin saldırı gerçekleşmeden önceki bir sürümünü geri yükleyerek sistemi kurtarın.
Fidye yazılımı tespit ve kaldırma araçları kurtarma sürelerini otomatikleştirmeye veya en azından hızlandırmaya yardımcı olabilir. Temiz olduğundan emin olmak için bir cihazdaki tüm kötü amaçlı yazılımları silebilirler. Kirvan, tehditleri tespit edebilen, saldırıları engelleyebilen ve kalan kötü amaçlı yazılım izlerini silebilen 17 fidye yazılımı kaldırma aracını vurguladı.

Fidye yazılımı ödemeleri için pazarlık
Bir fidye yazılımı saldırısının ortasında fidye ödenip ödenmeyeceğine karar vermek üzücü olabilir. Şirketler taleplere uyma ya da uymama kriterlerini zaten bilmelidir. Saldırganları reddetmeleri halinde sistemleri ve yedekleri hızla kurtarma becerilerine güvenip güvenemeyeceklerini bilmelidirler. Ve saldırganların kilitlediği, şifrelediği ve potansiyel olarak dışarı sızdırdığı verilerde hangi güvenlik açıklarına sahip olduklarını bilmelidirler.

Fidye ödemek için bazı yaygın nedenler şunlardır:

daha hızlı kurtarma süresi;
işletmenin zarar görmesi;
aşırı kurtarma maliyetleri; ve
müşteri veya çalışan verilerinin korunması.
Şirketler, diğer saldırganları cesaretlendirebileceğini veya gelecekteki ödemeleri artırabileceğini düşündükleri için fidye vermemeye karar verebilirler. Ayrıca, verilerin iade edileceğinin garantisi yoktur ve fidyenin ödenmesi şirketi yasal sorunlara maruz bırakabilir.

Şirketler saldırganlara boyun eğip eğmeme konusunda emin değillerse, uzman bir müzakerecinin becerilerinden yararlanabilirler. Müzakereciler ayrıca tehdit aktörleriyle etkileşime geçmek ve fidye miktarında anlaşmaya yardımcı olmak için de kullanılabilir. Bu hizmetler bazen siber sigorta sözleşmelerinde ele alınmaktadır.

Şaşırtıcı olmayan bir şekilde, siber sigorta kapsamı fidye yazılımlarının yükselişiyle birlikte önemli ölçüde değişmiştir ve kuruluşlar fidye yazılımı saldırılarının kapsandığından emin olmak için poliçeleri dikkatle gözden geçirmelidir.

Şirketler aşağıdakileri kapsama almak isteyecektir:

iş ve bağımlı iş (bir bulut sağlayıcısı veya yazılım satıcısı) kesintisi;
veri kurtarma; ve
güvenlik olayı ve ihlal maliyetleri.
Kuruluşlar muhtemelen herhangi bir fidye yazılımı saldırısını da bildirmek zorunda kalacaklardır.

Fidye yazılımı saldırıları giderek artmaktadır, bu nedenle şirketlerin risklerini ve kapsamlarını anlamaları ve saldırganların taleplerini buna göre ele almaya hazır olmaları gerekir.

En son fidye yazılımı haberleri ve trendleri
Verizon 2023 DBIR: Fidye yazılımları istikrarlı ancak karmaşık olmaya devam ediyor
Verizon Business siber güvenlik danışmanlığı genel müdürü Chris Novak, 2023’ün fidye yazılım tehdit aktörleri için gelişmiş savunmalara adapte olmuş bir “yeniden yapılanma yılı” olduğunu söyledi.

Kullanıcılar VeeamON’da fidye yazılımlara karşı koruma ve kurtarma üzerine konuşuyor
VeeamON 2023’teki BT uzmanları, fidye yazılım saldırılarına karşı korunmaya ve bu saldırılardan kurtulmaya yardımcı olmak için planlama, test ve diğer önemli güvenlik önlemlerini önerdi.

Bu yıl şimdiye kadar bildirilen en büyük sağlık hizmeti veri ihlalleri
Bu yıl şimdiye kadar bildirilen en büyük sağlık hizmeti veri ihlalleri toplamda 39 milyondan fazla kişiyi etkiledi.

Clop, MOVEit kurbanlarının isimlerini açıklamaya başladı
Clop, Haziran ayında karanlık web sızıntı sitesine 12 yeni kurbanın ayrıntılarını yükledi ve bunların çoğu muhtemelen devam eden MOVEit siber saldırısıyla bağlantılıydı.

Mayıs ayı fidye yazılımı etkinliği 8base ve LockBit çetelerinin ardından artış gösterdi
NCC Group’un Mayıs ayı tehdit istihbarat raporu, 8base adlı yeni bir fidye yazılımı çetesinin ayın yüksek kurban sayısına önemli bir katkıda bulunduğunu ortaya koydu.

Fidye yazılımı Mayıs ayında birden fazla belediyeyi çökertti
Şehir ve yerel yönetimler, Mayıs ayında özellikle Royal fidye yazılımı grubundan gelen fidye yazılımı saldırıları nedeniyle kamu hizmetlerinde ciddi aksamalar yaşadı.

You may also like

Leave a Comment