Fidye yazılımları, günümüzde kuruluşların karşı karşıya olduğu en önemli siber güvenlik tehdididir. Ancak son zamanlarda, Ulusal Güvenlik Ajansı ve FBI'dan liderler hem saldırıların azaldığını belirtti. Pek çok siber suç çetesinin çıkış noktası olan Rusya'ya yönelik yaptırımlar ile kripto para piyasalarının çöküşünün bir araya gelmesi, fidye yazılımı çetelerinin para çekmesini ve ödemelerini almasını zorlaştırmış olabilir.
Fakat henüz ormandan çıkmadık. Geçici bir düşüşe rağmen, fidye yazılımı sadece başarılı olmakla kalmıyor, aynı zamanda gelişiyor. Bugün, bir hizmet olarak fidye yazılımı (RaaS), önceden paketlenmiş istismar kitlerine dayanan metalaştırılmış, otomatik bir modelden, insan tarafından işletilen, yüksek oranda hedeflenmiş ve karmaşık bir iş operasyonuna dönüşmüştür. Her büyüklükteki işletmenin endişelenmesinin nedeni budur.
RaaS Olmak
Günümüzün siber suçlularının iyi donanımlı, yüksek motivasyonlu ve çok etkili oldukları yaygın olarak bilinmektedir. Bu şekilde tesadüfen olmadılar ve sürekli olmadan bu kadar etkili kalmadılar. teknolojilerini ve metodolojilerini geliştirmek. Muazzam finansal kazancın motivasyonu sabit olan tek şey olmuştur.
Erken fidye yazılımı saldırıları basit, teknoloji odaklı saldırılardı. Saldırılar, yedekleme ve geri yükleme yeteneklerine daha fazla odaklanmayı sağladı ve bu da rakiplerin çevrimiçi yedeklemeler aramasına ve bir saldırı sırasında bunları da şifrelemesine neden oldu. Saldırganın başarısı daha büyük fidyelere yol açtı ve daha büyük fidye talepleri kurbanın ödeme yapma olasılığını azalttı ve kolluk kuvvetlerinin müdahale etme olasılığını artırdı. Fidye yazılımı çeteleri gasp ile karşılık verdi. Yalnızca verileri şifrelemekle kalmayıp, sızdırma ve kurbanın müşterilerinin veya ortaklarının genellikle hassas verilerini kamuya açıklamakla tehdit ederek daha karmaşık bir marka ve itibar hasarı riski ortaya çıkardılar. Bugün, fidye yazılımı saldırganlarının fidye talebini belirlemeye ve tüm süreci (ödeme dahil) mümkün olduğunca verimli hale getirmeye yardımcı olmak için kurbanın siber sigorta politikasını araması alışılmadık bir durum değil.
Ayrıca daha az disiplinli (ancak eşit derecede zarar veren) fidye yazılımı saldırıları gördük. Örneğin, karşılığında fidye ödemeyi seçmek, kurbanı gelecekteki bir saldırı için güvenilir bir uygun olarak tanımlar ve aynı veya farklı bir fidye yazılımı çetesi tarafından tekrar vurulma olasılığını artırır. arasındaki araştırma tahminleri 50% 80% için (PDF) fidye ödeyen kuruluşlar tekrarlanan bir saldırıya uğradı.
Fidye yazılımı saldırıları geliştikçe, özellikle tehdit tanımlama ve engelleme alanlarında güvenlik teknolojileri de gelişti. Kimlik avı koruması, spam filtreleri, virüsten koruma ve kötü amaçlı yazılım algılama teknolojilerinin tümü, e-posta, kötü amaçlı web siteleri veya diğer popüler saldırı vektörleri yoluyla bir uzlaşma tehdidini en aza indirgemek için modern tehditleri ele alacak şekilde ince ayar yapılmıştır.
Rakipler ve güvenlik sağlayıcıları arasında, fidye yazılımı saldırılarını durdurmak için daha iyi savunma ve sofistike yaklaşımlar sunan bu meşhur "kedi ve fare" oyunu, küresel siber suç halkaları içinde daha fazla işbirliğine yol açtı. Geleneksel soygunlarda kullanılan kasa hırsızları ve alarm uzmanları gibi, kötü amaçlı yazılım geliştirme, ağ erişimi ve istismar uzmanları da günümüzün saldırılarına güç veriyor ve fidye yazılımlarında bir sonraki evrim için koşullar yarattı.
Bugün RaaS Modeli
RaaS, karmaşık, kar paylaşımlı bir iş modeliyle karmaşık, insan liderliğindeki bir operasyon haline geldi. Geçmişte bağımsız olarak çalışmış olabilecek bir RaaS operatörü, artık başarı şansını artırmak için uzmanlarla sözleşme yapıyor.
Belirli fidye yazılımı araçlarına sahip olan, kurbanla iletişim kuran ve ödemeleri güvence altına alan bir RaaS operatörü, artık genellikle izinsiz girişi kendisi gerçekleştirecek olan üst düzey bir bilgisayar korsanıyla birlikte çalışacak. Hedef ortam içinde etkileşimli bir saldırganın bulunması, saldırı sırasında canlı karar vermeyi sağlar. Birlikte çalışarak ağdaki belirli zayıflıkları belirler, ayrıcalıkları artırır ve ödemeleri sağlamak için en hassas verileri şifrelerler. Ayrıca, çevrimiçi yedeklemeleri bulup silmek ve güvenlik araçlarını devre dışı bırakmak için keşif yaparlar. Sözleşmeli bilgisayar korsanı genellikle, çalınan kimlik bilgileri veya halihazırda mevcut olan kalıcılık mekanizmaları aracılığıyla ağa erişim sağlamaktan sorumlu olan bir erişim komisyoncusu ile birlikte çalışır.
Bu uzmanlık işbirliğinden kaynaklanan saldırılar, "eski moda", devlet destekli gelişmiş kalıcı tehdit tarzı saldırıların hissine ve görünümüne sahiptir, ancak çok daha yaygındır.
Kuruluşlar Kendilerini Nasıl Savunabilir?
Yeni, insan tarafından işletilen RaaS modeli, geçmişin RaaS modellerinden çok daha karmaşık, hedefli ve yıkıcıdır, ancak kuruluşların kendilerini savunmak için izleyebilecekleri en iyi uygulamalar hala vardır.
Kuruluşlar güvenlik hijyenleri konusunda disiplinli olmalıdır. BT her zaman değişmektedir ve her yeni uç nokta eklendiğinde veya bir sistem güncellendiğinde, yeni bir güvenlik açığı veya risk oluşturma potansiyeline sahiptir. Güvenlik ekipleri, en iyi güvenlik uygulamalarına odaklanmalıdır: yama uygulama, çok faktörlü kimlik doğrulamayı kullanma, güçlü kimlik bilgilerini zorunlu kılma, Karanlık Web'i güvenliği ihlal edilmiş kimlik bilgileri için tarama, çalışanları kimlik avı girişimlerini nasıl tespit edecekleri konusunda eğitme ve daha fazlası. Bunlar en iyi uygulamalar saldırı yüzeyinin azaltılmasına yardımcı olur ve bir erişim aracısının giriş elde etmek için bir güvenlik açığından yararlanabilmesi riskini en aza indirir. Ek olarak, bir kuruluşun sahip olduğu daha güçlü güvenlik hijyeni, analistlerin güvenlik operasyonları merkezinde (SOC) sıralamak için daha az "gürültü" olacak ve bir tanesi tanımlandığında gerçek tehdide odaklanmalarına olanak tanıyacak.
En iyi güvenlik uygulamalarının ötesinde, kuruluşlar ayrıca gelişmiş tehdit algılama ve yanıt yeteneklerine sahip olduklarından emin olmalıdır. Erişim aracıları, kuruluşun altyapısında keşif yapmak için zaman harcadıklarından, güvenlik analistleri, yalnızca doğru araçlara sahip oldukları takdirde, onları tespit etme ve saldırıyı erken aşamalarında durdurma fırsatına sahiptir. Kuruluşlar, uç noktaları, ağları, sunucuları, e-posta ve bulut sistemleri ve uygulamaları genelinde güvenlik olaylarından telemetriyi algılayabilen ve çapraz ilişkilendirebilen genişletilmiş algılama ve yanıt çözümlerine bakmalıdır. Ayrıca, hızlı bir şekilde kapatmak için saldırının tanımlandığı her yerde yanıt verme yeteneğine de ihtiyaçları var. Büyük kuruluşlar, bu yetenekleri SOC'lerinde yerleşik olarak bulundurabilirken orta ölçekli kuruluşlar, 24/7 tehdit izleme ve yanıt için yönetilen algılama ve yanıt modelini düşünmek isteyebilir.
Fidye yazılımı saldırılarındaki son düşüşe rağmen, güvenlik uzmanları tehdidin yakın zamanda yok olmasını beklememeli. RaaS gelişmeye devam edecek, siber güvenlik yeniliklerine yanıt olarak en son uyarlamaların yerini yeni yaklaşımlar aldı. Ancak, temel tehdit önleme, algılama ve yanıt teknolojileriyle birleştirilmiş en iyi güvenlik uygulamalarına odaklanıldığında, kuruluşlar saldırılara karşı daha dirençli hale gelecektir.
