Çok Aşamalı Fidye Saldırısı

Modern fidye yazılımı saldırıları çok aşamalı ve oldukça hedeflidir. Saldırganlar ilk olarak hedef organizasyonu ve çalışanlarını araştırır.

Geleneksel fidye yazılımı saldırıları oldukça basitti. Saldırganlar, sosyal mühendislik ve kimlik avı taktikleri kullanarak ayrım gözetmeyen kurbanları cezbetti. Kurbanlar kötü amaçlı bir web sitesini ziyaret etmeye veya kötü amaçlı bir bağlantı veya eki açmaya kandırıldıklarında, hızla yayılacak ve değerli dosyaları ve klasörleri şifreleyecek kötü amaçlı yazılımları çalıştırırlardı. Daha sonra bilgisayar korsanları şifre çözme anahtarları karşılığında fidye talep ederdi. 

Modern Fidye Yazılımı Saldırganı 

Modern fidye yazılımı saldırıları günümüzde oldukça farklıdır çünkü çok aşamalı ve oldukça hedeflidir. İlk olarak saldırganlar hedef kuruluşu ve çalışanlarını araştırır. Daha sonra, özel kimlik avı saldırıları, çalınan kimlik bilgileri veya yamalanmamış güvenlik açıkları kullanarak saldırganlar kurbanın makinesine bir trojan yükler. Bu trojan daha sonra kurbanın makinesini değiştirir, komut ve kontrol sunucularından güncellemeleri ve talimatları indirir ve saldırganları saldırı hakkında bilgilendirir . Program talimatları beklerken, bir bilgisayarın önbelleğinde veya bir kullanıcının tarayıcısında depolanan parolalar dahil olmak üzere kurbanın ortamı hakkında bilgi toplar.

Fidye yazılımı korsanları daha sonra hangi şirketlerin ve bilgisayarların kırıldığını görmek için C&C (Komut ve Kontrol) sunucularını kontrol eder. Kurbanları IP adreslerine, bilgisayar ana bilgisayar adına ve ağ adına göre belirlerler. Buradan, Windows veya Linux gibi işletim sistemlerinin yerleşik programlarından yararlanarak ortamı sayarlar ve hakkında daha fazla bilgi edinirler.

Fidye yazılımı aktörleri genellikle kurbanın ortamında 24 saat ile 10 gün arasında kalırlar , ancak bu süre çok daha uzun olabilir. Bu süre zarfında e-posta yazışmalarını dinler, kurbanın ortamını keşfeder ve dışarı sızdırılmaya uygun kritik öneme sahip verileri belirlerler. Taç mücevherleri belirlenip dışarı sızdırma işlemi tamamlandığında, saldırganlar bilgisayarları şifrelemeye başlar ve fidye isterler. 

Saldırgan iş akışının dışında, geleneksel fidye yazılımı saldırıları ile modern saldırılar arasındaki fark, daha önce yedekleme ve kurtarma sistemleri kullanılarak şifrelenmiş dosyaları kurtarmanın çok daha kolay olmasıydı. Ne yazık ki bugün, saldırıların %91'i verileri sızdırıyor, bu da saldırganların çalınan verileri kullanarak kurbanları tehdit etmeye devam edebileceği ve yedekleri gasp açısından işe yaramaz hale getirebileceği anlamına geliyor. Kurban ödeme yapmazsa, saldırganlar çalınan verileri karanlık web'de satma seçeneğine hala sahip. 

Fidye Yazılımı İşletmesi Giderek Daha Düzenli Hale Geliyor

Fidye yazılımları, bodrum katlarından faaliyet gösteren yalnız kurt hackerlardan, tıpkı diğer profesyonel organizasyonlar gibi faaliyet gösteren karmaşık organize suç örgütlerine dönüşmüştür . Modern fidye yazılım çeteleri, kötü amaçlı yazılım ve platformu geliştiren mühendisler istihdam eder; teknik soruları yanıtlamak için yardım masası personeli istihdam eder; hedef organizasyonları tanımlayan analistler istihdam eder ve ironik bir şekilde, kriz yönetimi için halkla ilişkiler uzmanları istihdam eder. 

Fidye yazılımı ekosistemi ayrıca belirli rollere sahip birden fazla gruptan oluşur. Örneğin, bir grup (operatörler) kötü amaçlı yazılımı oluşturur ve bakımını yapar ve altyapısını ve uzmanlığını kiralar (diğer adıyla fidye yazılımı hizmeti). İlk erişim aracıları kuruluşlara girme ve elde edilen erişimi, verileri ve kimlik bilgilerini satma konusunda uzmanlaşmıştır. Fidye yazılımı iştirakleri saldırıyı gerçekleştirir, kurbanı tehlikeye atar, müzakereleri yönetir ve kârlarının bir kısmını operatörlerle paylaşır. Devlet destekli saldırganlar bile geniş çaplı bir kesintiye neden olma potansiyeli ve çok kazançlı olması nedeniyle fidye yazılımı oyununa katılmıştır.

Son İstatistikler Fidye Yazılımının Büyüdüğünü ve Geliştiğini Gösteriyor

2024 yılında fidye yazılımı saldırılarının azaldığını düşünüyorsanız, bir kez daha düşünün.

• 2023 yılında her 10 kuruluştan biri fidye yazılımı saldırılarına maruz kaldı; bu bir önceki yıla göre %33'lük bir artış anlamına geliyor.

• Geçtiğimiz yıl, tehdit grupları mağdurlardan tam 1 milyar dolar gibi inanılmaz bir parayı gasp etmeyi başardı .

• 2023 yılında fidye yazılımı ödemelerinin %75'i bir milyon dolar ve üzeriydi.

• Fidye yazılımı saldırılarının ortalama iş kesintisi süresi 21 ila 24 gün arasında değişmektedir.

Kuruluşlar Fidye Yazılımlarıyla Nasıl Mücadele Edebilir?

Fidye yazılımlarıyla mücadelede yardımcı olabilecek öneriler ve en iyi uygulamalar şunlardır:

1. Çalışanlarda Sosyal Mühendislik Savunması Oluşturun: Sosyal mühendislik ve kimlik avı dolandırıcılıkları, saldırganlar tarafından kullanılan en yaygın ilk erişim vektörleridir . Son kullanıcı eğitimi, sosyal mühendislikle mücadele için tek çözümdür. Sınıf içi eğitim, kimlik avı simülasyonu alıştırmaları ve oyunlaştırma kullanarak, kullanıcıları kimlik avı ve sosyal mühendislik saldırılarını tespit etmeleri ve raporlamaları için eğitin.
2. Çalışanlara Şifre Yöneticileri Sağlayın: Çalışanların %60'tan fazlası şifrelerini tekrar kullanıyor. Kötü niyetli kişilerin sızdırılan şifreleri kullanarak kuruluşlara sızmasını ve fidye yazılımı dağıtmasını önlemek için kuruluşların çalışanları ticari düzeyde şifre yöneticilerine erişimle donatmaları önerilir.
3. Sıfır Gün Güvenlik Açıklarını Düzeltin: Tehdit aktörleri, fidye yazılımı yüklerini (örneğin, PaperCut , MOVEit , SysAid ) iletmek için giderek daha fazla sıfır gün güvenlik açıklarından yararlanıyor. Kuruluşların, bilgisayar korsanlarının bu açıkları kullanmasını engellemek için sistemlerini hızlı ve sık bir şekilde yamalamaları önemlidir.
4. Kimlik Avına Karşı Dayanıklı Kimlik Doğrulama Kullanın: Bir saldırgan kimlik bilgilerini ele geçirirse, ortama erişimi korumak için çok faktörlü kimlik doğrulama (MFA) standarttır. Ancak MFA kimlik avına karşı savunmasız olabilir. 
5. Çevrimdışı Yedeklemeler Oluşturun: Kuruluşlar, fidye yazılımı çetelerinin erişim sağlamasını önlemek için veri yedeklemelerinin güvenli bir şekilde korunduğundan emin olmalıdır. En son yedeklemelerden en az birini çevrimdışı tutun, bunları tekrar çevrimiçi hale getirmek ve verileri geri yüklemek için fiziksel bir işlem gerektirin. 
6. Fidyeden Kaçının: Çalışmalar gönüllü fidye ödemelerinin yavaş yavaş azaldığını gösteriyor. Bu eğilim devam ederse, fidye yazılımı iş modelinin biraz karlılık ve popülerlik kaybetmesi muhtemeldir.

Fidye yazılımları sürekli olarak gelişmektedir ve tehdit aktörleri de öyle. Kuruluşlar güvenlik en iyi uygulamalarına uyabilir ve kullanıcı farkındalığı eğitimi sağlayabilir, sık sık yama yapabilir, çevrimdışı yedeklemeler uygulayabilir ve personeli kimlik avına dayanıklı MFA ve parola yöneticileri gibi araçlarla güçlendirebilirse, siber suçla mücadeleyi kesinlikle getirecek ve işletmeyi daha iyi savunacaklardır.