Fidye yazılımı saldırıları, manşetlerde düzenli bir demirbaş haline geldi; sektörleri kasıp kavuruyor, kuruluşları operasyonlarını yeniden canlandırmak için yarışırken, müşteriler ise verilerinin güvenliği konusunda endişeleniyor. Bir fidye yazılımı olayının sonuçları, operasyonel aksaklıkların çok ötesine geçerek (itibar kaybı, hisse senedi fiyatlarında keskin düşüşler ve ciddi para cezaları riski) her kuruluş için bir kabus senaryosu oluşturur.
2024 yılının 1. ve 2. çeyreği arasında, fidye yazılımı sızıntısı sitelerinde listelenen kuruluşların sayısında %20’lik bir artış yaşandı ve bu da artan fidye yazılımı saldırı tehdidinin altını çizdi. Siber suçlu davranışını tahmin etmenin veya ele geçirilen verilerin güvenli bir şekilde kurtarılmasını sağlamanın bir yolu olmasa da kuruluşlar, sürekli gelişen bu tehditlere karşı uyanık kalmak ve savunmalarını güçlendirmek için ortaya çıkan öngörüleri ve eğilimleri kullanabilir.
Fidye yazılımının bir kuruluşun sistemlerine sızmasının yaygın bir yolu, kimlik avı saldırıları ve fidye yazılımı sağlayan kötü amaçlı yazılımların kullanılmasıdır. Tehdit aktörleri, bireyleri kötü amaçlı bir bağlantıya tıklamaları veya virüslü bir eki indirmeleri için kandırmak üzere tasarlanmış aldatıcı kimlik avı e-postaları oluşturur. Güvenlik sistemlerini aşan kötü amaçlı e-postaların sayısı yalnızca geçen yıl %104,5 oranında endişe verici bir artış gösterdi. Güvenli E-posta Ağ Geçitleri (SEG’ler), gelişen ve giderek daha karmaşık hale gelen kimlik avı kampanyalarına ayak uydurmaya çalışırken, fidye yazılımı dağıtan kötü amaçlı yazılımların kullanıcıların gelen kutularına girdiği ortak yöntemleri anlamak çok önemlidir.
Kötü Amaçlı Yazılım: Saldırının İlk Adımı
Fidye yazılımı, bir sisteme olan yolculuğuna kötü amaçlı yazılım veya daha spesifik olarak Uzaktan Erişim Truva Atları (RAT’lar) veya Yükleyiciler yoluyla başlar. RAT’ları, bilgisayar korsanlarına bilgisayarınıza arka kapı açan bir tür kötü amaçlı yazılım olarak düşünün. İçeri girdikten sonra bilgileri çalabilir, kontrolü ele geçirebilir veya tehlikeli fidye yazılımları yükleyebilirler. RAT’lar, yetenekler açısından en genelleştirilmiş kötü amaçlı yazılımlardan bazılarıdır, ancak genellikle kurulum ve bakımları, basit bilgi hırsızları veya tuş kaydedicilerden daha fazla çaba gerektirir.
Fidye yazılımı dağıtmak için sıklıkla kullanılan RAT’ın öne çıkan bir örneği DarkGate RAT’tır. Bu kötü amaçlı yazılımın en çok ekli Office belgelerinde teslim edildiği ve kurbanların DarkGate RAT ikili dosyasını indiren kötü amaçlı bir komut dosyası bağlantısına tıklamalarına neden olduğu görüldü. Bu Hizmet Olarak Kötü Amaçlı Yazılım (MaaS), tipik RAT işlevlerinin yanı sıra kripto para birimi madenciliği, odaklanmış kimlik bilgisi hırsızlığı, yükleyici yetenekleri ve analiz karşıtı davranışı da gerçekleştirebilir. BlackBasta da dahil olmak üzere fidye yazılımı grupları tarafından fidye yazılımını dağıtmak için kullanıldı ve bu da onu tehdit ortamında dikkate değer bir faktör haline getiriyor.
Office Belgelerinin gömülü URL’lerle yeni kullanımı, bu RAT’ı özellikle SEG’leri atlamada etkili kılmaktadır. Sadece bu da değil, Office dosyaları iş ortamlarında genellikle e-posta yoluyla alınıp verildiğinden, bunların şüphelenmeyen kullanıcılar tarafından kötü amaçlı olarak algılanması zor olabilir.
2024’te Fidye Yazılımı sunma kapasitesine sahip SEG’leri atladığı gözlemlenen diğer yaygın RAT’ler arasında Async RAT, Remcos RAT, XWorm RAT ve ConnectWise RAT yer alıyor. Bunların tümü, çevrimiçi olarak ücretsiz olarak bulunabilmeleri ve kullanım kolaylıkları nedeniyle tehdit aktörleri tarafından yaygın olarak kullanılıyor ve deneyimsiz saldırganların bile temel kötü amaçlı yazılımlardan büyük etki yaratacak şekilde yararlanmasına olanak tanıyor. SEG korumalı ortamlarda görülen en popüler RAT’lar Async RAT ve Remcos RAT’tır. Eşzamansız RAT genellikle e-postaya katıştırılmış bir bağlantıdan veya ekteki PDF’den indirilen bir komut dosyası aracılığıyla teslim edilir. Remcos RAT ise şifre korumalı bir arşiv indiren meşru dosya paylaşım siteleri aracılığıyla sunulur. Meşru dosya paylaşım web sitelerinin kullanılması, Remcos RAT gönderen e-postaların çok çeşitli SEG’leri atlamasına olanak tanır.
Bunlar yalnızca RAT’ların e-posta yoluyla iletilebileceği çeşitli yolların örnekleri olarak hizmet etse de, bu kampanyalarda güvenilir çevrimiçi paylaşım araçlarının ve yerleşik bağlantıların ortak kullanımına dikkat etmek önemlidir. Microsoft Office ve Google Drive gibi meşru dosya paylaşım platformlarının kullanılması, kötü niyetli davranışların ayırt edilmesini zorlaştırarak beklenmedik bağlantılarla veya indirmelerle etkileşimde bulunulurken dikkatli olunması gerektiğinin altını çiziyor.
RAT’lardan Fidye Yazılımlarına: Saldırının Sonraki Aşaması
Bu RAT’ların e-posta yoluyla nasıl yayıldığını anlamak çok önemlidir, ancak bu denklemin yalnızca bir parçasıdır. Fidye yazılımı çoğunlukla İlk Erişim Aracıları (IAB’ler) kullanılarak dağıtılır. Tehdit aktörleri ek kötü amaçlı yazılım indirme kapasitesine sahip bir RAT yükleyecek ve ardından virüslü bilgisayarlara erişimi satacaktır. Fidye yazılımı grupları daha sonra belirli virüslü makinelere erişim satın alacak ve fidye yazılımını bir kuruluş içindeki tüm sistemlere dağıtmak için virüslü ağ boyunca yanal olarak yayılacak.
Bazı fidye yazılımı grupları kasıtlı olarak yüksek değerli işletmeleri hedef alıyor. Bu gruplar iyi organize olmuş ve son derece stratejiktir; hangi hedeflerin en önemli kazançları sağlayacağını bilirler. Son altı ayda SEG’leri atladığı gözlemlenen bazı önemli fidye yazılımı grupları arasında LockBit 3.0, BlackCat, BianLian, Akira ve BlackSuit yer alıyor. Bu grupların her birinin farklı ilişkileri vardır ve belirli sektörlere odaklanırlar; bu da modern fidye yazılımı saldırılarının çeşitli ve uyarlanabilir doğasını gösterir.
Farkındalık Yoluyla Önleme
Ne yazık ki insan hatası, herhangi bir kuruluştaki bu fidye yazılımı tehditlerine karşı en büyük güvenlik açıklarından biridir. Tüm doğru savunmalar mevcut olsa bile, bir kuruluşta fidye yazılımının yayılması için yalnızca bir kişinin yerleşik bir bağlantıya tıklaması veya kötü amaçlı bir belge indirmesi yeterlidir. Bu nedenle bir şirketin proaktif savunmasını güçlendirmek için atabileceği en etkili adımlardan biri güvenlik farkındalığı eğitiminin uygulanmasıdır. Temel siber okuryazarlık daha yaygın hale geliyor, ancak çevrimiçi etkileşimler ve faaliyetler söz konusu olduğunda gerçekten şüphe duygusu uyandırmak zaman alıyor ve şirket açısından ciddi bir yatırım gerektiriyor.
Ek olarak güvenlik ekipleri, mevcut tehdit ortamını daha derinlemesine anlamak için SEG’leri atlayan gerçek dünyadaki kötü amaçlı yazılım örneklerini, fidye yazılımı gruplarının kullandığı taktikleri, teknikleri ve prosedürleri yakından incelemelidir. Hem güvenlik stratejilerini hem de farkındalık eğitimini bilgilendirmek için bu saldırılardan yararlanmak, kuruluşları gerçek dünya senaryolarına karşı savunmaya daha iyi hazırlayacaktır.
Reklam