2020 Verizon Veri İhlali Raporu'na göre, fidye yazılımları en sık görülen 3. kötü amaçlı yazılım saldırısıdır. Bunun son kanıtı, Fortune 500'de yer alan bir hastane ve sağlık hizmeti sağlayıcısı olan Universal Health Services'in (UHS) iç ağına yapılan bir siber saldırının ardından ABD'deki farklı sağlık tesislerindeki sistemleri kapattığı 4 Ekim'de yaşandı.
Özellikle pandeminin mevcut durumu göz önüne alındığında, her türlü sağlık hizmeti saldırısı ölümcül olabilir. Bu, fidye yazılımı saldırısı nedeniyle IT altyapısının kapatılmasıyla sonuçlanan bir başka yeni siber saldırıdır. Bu durumda UHS bazı hastaları yakındaki hastanelere yönlendiriyor.
Ancak pek çok kişi fidye yazılımını etkinleştirmenin bir saldırının sadece son aşaması olduğunun farkında değildir. Saldırı gerçekleşmeden önce, saldırıyı durdurmak için birçok aşama ve fırsat vardır.
Peki, fidye yazılımı tam olarak nedir?
Fidye yazılımı, fidye ödeme talebiyle bilgisayar sistem dosyalarının kullanımını engellemek için tasarlanmış kötü amaçlı bir yazılımdır. Çoğu fidye yazılımı çeşidi, etkilenen cihazdaki dosyaları şifreleyerek kullanılamaz hale getirir ve bunlara yeniden erişim sağlamak için fidye ödemesi talep eder.
Fidye yazılımı kodu genellikle karmaşıktır, ancak öyle olmak zorunda değildir, çünkü diğer geleneksel kötü amaçlı yazılım türlerinin aksine, hedefine ulaşmak için genellikle uzun süre fark edilmeden kalması gerekmez. Bu göreceli uygulama kolaylığı ve yüksek kar potansiyeli, hem sofistike siber suç aktörlerini hem de acemi aktörleri fidye yazılımı kampanyaları yürütmeye çekmektedir.
"Suç forumlarında ve pazar yerlerinde bulunan fidye yazılımı konularının %7'sinde "hizmet "ten bahsedilmiştir; bu da saldırganların işi kendilerinin yapmasına bile gerek olmadığını göstermektedir." - 2020 Veri İhlali Araştırmaları Raporu, Sf. 16.
Ransomeware o kadar popüler ki, siber suçlular adına uygulamayla ilgilenen satın alabileceğiniz hizmetler var. Böylesine gelişen bir pazarda, fidye yazılımlarının ve fidye yazılım hizmetlerinin artması bekleniyor.
Fidye yazılımı ağa nasıl giriyor?
Bir saldırganın kötü amaçlı dosyalar göndermesi için en yaygın yaklaşım, saldırganın meşru gibi görünen bir e-posta gönderdiği, ancak kişiyi bağlantıları tıklamaya veya bir eki indirmeye teşvik ettiği kimlik avı saldırıları gibi yaygın insan hatalarından yararlanmaktır. Ek, genellikle kötü amaçlı yazılımı teslim eden bir yük taşır. Saldırganlar RDP veya yamalanmamış web uygulamaları gibi açıkta kalan arayüzlerden faydalanma eğilimindedir. Fidye yazılımları ayrıca tehlikeye atılmış ya da kötü niyetli web sitelerinden arabayla indirme saldırıları yoluyla da gönderilmektedir. Bazı fidye yazılımı saldırıları da sosyal medyadan mesajlaşma yoluyla gönderilmiştir.
Fidye yazılımları genellikle "av tüfeği" yaklaşımıyla kullanılır - saldırganlar e-posta listelerini veya ele geçirilmiş web sitelerini ele geçirir ve fidye yazılımlarını patlatır.
Fidye yazılımlarına karşı koruma
Saldırı yaşam döngüsü sırasında kötü amaçlı yazılımları durdurmak için çeşitli aşamalar mevcuttur. İlk aşama ağa girmesini engellemektir; fidye yazılımını durdurmak için ikinci aşama (otonom olmadığı varsayılırsa) Komuta ve Kontrol (C2) sunucusuyla iletişim kurmasını engellemek olacaktır; üçüncü aşama ise yürütmeye başladıktan hemen sonra ve ağ içinde yanal hareket yapmadan önce durdurmak olacaktır.
İlk aşama - kötü amaçlı yazılımların ağa girmesini önlemek - en önemli aşamadır. Saldırganlar genellikle kimlik avı tekniklerini kullanmaya veya yanlış yapılandırılmış RDP bağlantıları gibi güvenli olmayan uzaktan erişim bağlantılarından ve şirket politikasına uymayan uç noktalardan yararlanmaya çalışacaktır. Bu cihazlar, fidye yazılımının ağ organizasyonuna bağlantıda sırtlanmasını sağlayabilir.
İkinci aşama - kötü amaçlı yazılımın bir C2 ile iletişim kurmasına izin vermemek - genellikle ağ imzalarını aramak için bir Güvenlik Duvarı ve ağ tabanlı algılama sistemi uygulayarak yapılır.
Üçüncü aşama - fidye yazılımının etkinleştirilmesini ve ağda genişlemesini durdurmak - bu noktada çok daha karmaşık ve kaynak tüketen bir süreçtir.
OPSWAT saldırılara karşı kendinizi koruyabilmeniz için önleyici çözümler sunar. Çözümlerimiz, kimlik avını durdurmak için e-posta ağ geçidi güvenlik çözümü, uyumluluk doğrulamasına yardımcı olmak için güvenli erişim çözümü gibi kuruluşların kötü amaçlı yazılımların ağlara girmesini önlemesine yardımcı olur ve
kullanarak Deep CDR (Content Disarm and Reconstruction) gerçekleştiren dosya yükleme güvenliği MetaDefender Core. Bunlar, OPWAST'ın kritik altyapı ağlarını fidye yazılımlarına karşı güvende tutmaya yardımcı olmak için sunduğu birçok üründen sadece birkaçıdır. Daha fazla bilgi için bugün bizimle iletişime geçin.
Referanslar
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
