Fidye Yazılım Saldırıları Nasıl Önlenir?
Fidye yazılımı, bir ağı gizlice ihlal eden ve ağdaki değerli dosyaları kilitleyen veya şifreleyen bir kriptografik saldırı gerçekleştiren kötü amaçlı yazılımdır. Büyüyen bir saldırı yöntemi olarak, fidye yazılımı saldırıları günümüzde yalnızca verileri ve sistemleri şifrelemekten daha ileri gidiyor.ilir olduğundan emin olmalısınız.
Geleneksel Olarak: Gelişmiş Şifreleme
Otuz yıl önce en genç fidye yazılımı türleri (örneğin, AIDS Truva Atı), bir kurbanın başka bir çabayla geri alabileceği zayıf simetrik şifreleme kullanıyordu, ancak günümüzün asimetrik şifreleme yöntemleri, kırılması neredeyse imkansız hale geliyor.
Günümüzün en gelişmiş şifreleme standartlarını kullanan fidye yazılımı çeteleri, bir kuruluşun dosyalarını şifrelemek ve şifresini çözmek için genellikle AES-256'yı kullanır. Diğer yenilikler gibi, şifrelemeyi ilerletmek, onlara karşı kullanıldığı durumlar dışında, genel olarak kuruluşlar için bir nimettir.
Artık Veri Sızıntısı ve Çifte Gasp Dahil
Fidye yazılımının başarısı, dünya çapındaki en iyi siber suçlu çeteleri tarafından benimsenmesine yol açtı. Hizmet olarak fidye yazılımı (RaaS), karanlık web'de satışa sunulurken, gelişmiş kalıcı tehditler (APT) kötü amaçlı araç kutularına fidye yazılımı ekledi
Günümüzün fidye yazılımı saldırıları, şifrelemeden önce ağ verilerini sızdırma yeteneklerine giderek daha fazla sahip oluyor. Bu nedenle, veri hırsızlığı, dosyaları şifreli bırakmakla tehdit etmenin yanı sıra, kötü niyetli aktörlerin kuruluşun hassas verilerini serbest bırakmakla tehdit edebileceği anlamına gelir. Ağ verilerinin bir kopyasıyla, grup daha sonraki bir tarihte daha fazlasını isteyebileceğinden, kuruluş çifte gasp saldırısı riski altındadır.
Fidye Yazılımlarına Karşı Savunmasız mıyım?
Fidye yazılımı, herhangi bir kötü amaçlı yazılım gibi, aşağıdakiler gibi geleneksel saldırı vektörleri aracılığıyla ağları ihlal eder:
Kimlik avı e-postaları, şüpheli bağlantılar, sosyal mühendislik ve kötü amaçlı web siteleri
Yazılım ve uzak masaüstü protokolü (RDP) güvenlik açıkları
Koronavirüs pandemisi sırasında, bilgisayar korsanları pandeminin neden olduğu güvenlik açıklarını giderek daha fazla hedef aldı. BYOD politikalarının akışı, uzaktan çalışmaya geçiş ve uzak masaüstü yazılımına bağımlılık ile kötü amaçlı e-postalar pandeminin ilk birkaç ayında %600 arttı. Benzer şekilde, kuruluşlar hibrit ekosistemlere doğru ilerledikçe, bulut depolama ve sistemlere dayanan güvenlik açıkları ortaya çıkıyor.
Kapsamlı bir ağ segmentasyonu veya mikro segmentasyon politikası olmadan, kötü niyetli kişiler kuruluşunuzun ağı içinde yanal olarak hareket edebilir, uç noktalara ve sunuculara bulaşabilir ve verilerinize erişmek için fidye talep edebilir.
Kötü Amaçlı E-postalar ve Bağlantılar
E-posta saldırı vektörü, fidye yazılımını durdurulması zor bir sorun haline getirebilir. Saldırgan kararlıysa, bir çalışanı ikna etmenin bir yolunu bulmasını engellemek neredeyse imkansızdır.
Saldırganlar, karmaşık kullanıcıları bile bekledikleri bir faturaya, tanıdıkları birinden gelen bir fotoğrafa veya patronlarından gelmiş gibi görünen bir belgeye tıklamaları için kandırabilir. Kuruluşlar en kötüsüne hazırlanmalı ve potansiyel etkiyi en aza indirmek için gerekli tüm adımları atmalıdır.
Fidye Yazılımı Nasıl Çalışır?
Suçluların bir kuruluşa bulaşmasının yaygın yollarından biri, bir çalışanın bir saldırı başlatmak için farkında olmadan tıkladığı kötü amaçlı bağlantılar veya ekler içeren bir e-posta göndermektir. Bunlar, milyonlarca potansiyel kurbana gönderilen e-postalar veya belirli bir kuruluştaki belirli bir kişiye gönderilen hedefli e-postalar olabilir.
Saldırganlar kurbana verilerinin şifreli olduğunu bildirecektir. Şifre çözme anahtarına erişim için kurbanın, genellikle saldırganın kimliğini (ancak cüzdan adresini değil) koruyan kripto para biriminde hızlı ödeme yapması gerekir. Cryptocurrency genellikle cüzdan adresini gizlemediğinden, ABD DOJ yetkilileri, Colonial Pipeline fidye yazılımı saldırısından sonra DarkSide'a ödenen fidyenin bir kısmını geri alabildi.
Saldırganlar, genellikle 48 ila 72 saat sonra, başlangıç döneminde ödeme yapmazlarsa, fidyeyi artırmaktan utanmazlar ve çoğu zaman verileri silmekle tehdit ederler. Kuruluşlar iyi niyetli müzakereler bekleyemediğinden, saldırganın anahtar sonradan ödemeyi sağladığının garantisi yoktur.
Fidye yazılımları sıklıkla kullanıcı adları ve parolalar gibi kritik bilgileri çalabilen çıkarma yetenekleri içerdiğinden, fidye yazılımlarının ağa girmesini durdurmak ciddi bir iştir. Şüphelenmeyen kullanıcılardan kaynaklanan güvenlik açıkları ile bu saldırıları önleme görevi, hem personel eğitimi hem de güçlü bir yedekleme programı içeren sağlam bir e-posta ve ağ güvenlik sistemi anlamına gelir; böylece, geri alabileceğiniz verilerinizin yeni bir kopyasına sahip olursunuz.
Fidye Yazılımı Neye benziyor?
Masaüstünüzde açık bir bölme, bir benioku.txt dosyası veya şunu yazan bir mesaj varsa, fidye yazılımının kurbanı olduğunuzu bilirsiniz:
“Dosyalarınız bu şifreli kapsayıcılar tarafından değiştirildi ve erişilemiyor; Bitcoin olarak 2500 $ ödemezseniz [tarih girin] tarihinde dosyalarınızı kaybedersiniz.”
Fidye Yazılımı Nasıl Önlenir?
Kuruluşların değişen derecelerde etkililiğe sahip fidye yazılımlarını önlemek için atabilecekleri çok sayıda adım vardır. Aşağıda, fidye yazılımı saldırısı riskinizi azaltmak için yapabileceğiniz eylemler için en iyi yirmi uygulamayı özetliyoruz:
1. Çevrimdışı Yedeklemeler
Sanal yedeklemeler harika olsa da, veri yedeklerini çevrimdışı olarak depolamıyorsanız, bu verileri kaybetme riskiniz vardır. Bu, düzenli yedeklemeler, birden çok kopyanın kaydedilmesi ve yedeklemelerin orijinaline sadık kalmasını sağlamak için izleme anlamına gelir. Bir saldırıdan sonra verileri geri yüklemek genellikle en iyi yaklaşımınızdır, bu da güvenilir yedeklemelerin temel fidye yazılımı koruması olmasını sağlar.
2. Personel Bilinci
Fidye yazılımı hakkında farkındalığı artırmak, temel bir güvenlik önlemidir. Ancak bir organizasyonun tehlikeye girmesi için yalnızca bir çalışanın gardını düşürmesi yeterli olabilir. Eğitim oturumlarının her olası saldırı için personel üzerinde çok az etkisi olduğundan, ek güvenliği daha zorunlu hale getirir.
3. İstenmeyen Posta Filtresi
Siber suçlular, rastgele kuruluşlara ve kullanıcılara milyonlarca kötü amaçlı e-posta gönderir, ancak bulut tabanlı bir tehdit istihbarat merkeziyle birlikte sürekli olarak uyum sağlayan etkili bir spam filtresi, bunların %99'undan fazlasının çalışanların masaüstlerine ulaşmasını engelleyebilir.
4. Masaüstü Uzantılarını Yapılandırın
Çalışanlar, yürütülebilir dosyalara (.exe uzantılı dosyalar) çift tıklamama konusunda eğitilmelidir. Ancak, Windows varsayılan olarak dosya uzantılarını gizleyerek "evil.doc.exe" gibi kötü amaçlı bir yürütülebilir dosyanın "evil.doc" adlı bir Word belgesi gibi görünmesine izin verir. Uzantıların her zaman görüntülenmesini sağlamak, bu tür bir tehdide karşı uzun bir yol kat edebilir.
5. Yürütülebilir Dosyaları Engelle
E-postalardan .exe uzantılı dosyaları filtrelemek, bazı kötü amaçlı dosyaların çalışanlara teslim edilmesini engelleyebilir, ancak bunun kusursuz olmadığını unutmayın. Kötü amaçlı e-postalar, çalışanlara dosyaları yeniden adlandırma talimatı verebilir ve fidye yazılımları da giderek artan bir şekilde JavaScript dosyaları olarak teslim edilmektedir (aşağıya bakın).
6. Kötü Amaçlı JavaScript Dosyalarını Engelleyin
Fidye yazılımlarının kötü amaçlı JavaScript dosyaları içeren .zip dosyalarında teslim edilmesi yaygındır. Bunlar, "readme.txt.js" gibi adlara sahip metin dosyaları olarak gizlenir ve genellikle bir metin dosyası için bir komut dosyası simgesiyle "benioku.txt" olarak görünür. Windows Komut Dosyası Ana Bilgisayarını devre dışı bırakarak personel için bu güvenlik açığını önleyebilirsiniz.
7. Yükseltilmiş Ayrıcalığın Kullanımını Kısıtlayın
Fidye yazılımı, yama ve sıfır güvenin devreye girdiği saldırının bir parçası olarak bir kullanıcının ayrıcalıklarını yükseltebilecek bir kod içermedikçe, yalnızca sistemlerinde belirli bir kullanıcının erişebildiği dosyaları şifreleyebilir.
8. Yazılımı Derhal Yamalayın
Tüm yazılımların en son güvenlik yamalarıyla güncellenmesini sağlamak için temel bir güvenlik önlemidir, ancak yinelemeye değer çünkü gecikmeli güncelleme nedeniyle ihlaller devam ediyor. Sadece 2020'de, SolarWinds hack'i, yazılımı hemen yamalayan kuruluşlar için önlenebilirdi.
9. Sıfır Güven
Sıfır güvene doğru ilerlemek, fidye yazılımını durdurmak da dahil olmak üzere ağınız üzerinde görünürlük ve kontrol sağlar. Sonraki üç eylem: varlıklara öncelik verin ve trafiği değerlendirin, mikro segmentasyon ve uyarlanabilir izleme, sıfır güven mimarisinin temel adımlarıdır ve saldırı risklerinizi büyük ölçüde azaltır.
10. Varlıklara Öncelik Verin ve Trafiği Değerlendirin
Envanter araçlarının ve IOC listelerinin kullanılmasıyla bir kuruluş, en değerli varlıklarını veya bölümlerini tanımlayabilir. Bu tam resim, personele bir saldırganın ağınıza nasıl sızabileceğine dair bir bakış sağlar ve trafik akışlarına ilişkin gerekli görünürlüğü sağlar. Bu, ekibinize hangi segmentlerin ek korumaya veya kısıtlamaya ihtiyaç duyduğu konusunda net yönergeler sağlar.
11. Mikrosegmentasyon
Mikrosegmentasyon, yanal hareketi durdurmak için nihai çözümdür. Uygulama düzeyinde katı politikalar uygulayarak, segmentasyon ağ geçitleri ve NGFW'ler, fidye yazılımlarının en önemli şeylere ulaşmasını engelleyebilir.
12. Uyarlanabilir İzleme ve Etiketleme
Mikro çevreniz en hassas segmentlerinizi çevrelediğinde, sürekli izleme ve uyarlanabilir teknolojiye ihtiyaç duyulur. Bu, iş yüklerinin aktif olarak etiketlenmesini, tehdit avcılığını ve virüs değerlendirmelerini ve görev açısından kritik uygulamalar, veriler veya hizmetler için trafiğin tutarlı bir şekilde değerlendirilmesini içerir.
13. Bir CASB Kullanın
Bir bulut erişim güvenlik aracısı (CASB), kuruluşunuzun bulut altyapısı için politika zorlamasını yönetmeye yardımcı olabilir. CASB'ler, verilerinizin güvenliğini sağlamada ek görünürlük, uyumluluk, veri güvenliği ve tehdit koruması sağlar.
14. Hızlı Tepki Testi
Başarılı bir ihlal durumunda, ekibiniz sistemleri geri yüklemeye ve veri kurtarmaya hazır olmalıdır. Bu, rollerin önceden atanmasını ve dijital adli tıp ve olay müdahale planının yürürlükte olmasını sağlamayı içerir.
15. Sandbox Testi
Güvenlik analistlerinin yeni veya tanınmayan dosyaları test etmesi için yaygın bir yöntem, bir korumalı alan kullanmaktır. Korumalı alanlar, dosyayı test etmek için daha büyük ağla bağlantısı kesilen güvenli bir ortam sağlar.
16. Fidye Yazılımına Karşı Yazılımı Güncelleyin
Belirtildiği gibi, ağ yazılımının tutarlı bir şekilde güncellenmesi çok önemlidir. Bu, özellikle mevcut izinsiz giriş algılama ve önleme sisteminiz (IDPS), virüsten koruma ve kötü amaçlı yazılımdan koruma için geçerlidir.
17. E-posta Ağ Geçidini Güncelleyin
Ağınız için tüm e-postalar genellikle güvenli bir web ağ geçidinden (SWG) geçer. Bu sunucuyu aktif olarak güncelleyerek e-posta eklerini, web sitelerini ve dosyaları kötü amaçlı yazılımlara karşı izleyebilirsiniz. Kuruluşunuz için trend olan saldırılara ilişkin bu görünürlük, ileriye doğru hareket eden personeli ne bekleyecekleri konusunda bilgilendirmeye yardımcı olabilir.
18. Reklamları Engelle
Tüm cihazlar ve tarayıcılar, açılır reklamları otomatik olarak engelleyen uzantılara sahip olmalıdır. İnternetin yaygın kullanımı ile kötü niyetli reklamlar engellenmediği takdirde uzun süreli bir tehdit oluşturmaktadır.
19. Kendi Aygıtını Getir (BYOD) Kısıtlamaları
Uzaktan çalışan bir personeliniz veya ağ erişimi için kabul edilebilir cihazları çevreleyen gevşek bir politikanız varsa, önlem alma zamanı gelmiş olabilir. Yeni veya benzersiz cihazların düzensiz kullanımı, ağınız için gereksiz bir risk oluşturur. Kurumsal mobilite yönetimi (EMM) bir çözümdür.
20. Adli Analiz
Herhangi bir fidye yazılımı tespitinden sonra, giriş noktası ve ortamdaki zamanı hakkında bir araştırma yapılması ve tüm ağ cihazlarından tamamen kaldırıldığının doğrulanması gerekir. Oradan, asla geri dönmemesini sağlama görevi başlar.