Colonial Pipeline’a yapılan büyük çaplı fidye yazılımı saldırısının ikinci yıl dönümü yaklaşırken uzmanlar, ABD’nin kritik altyapısına yönelik potansiyel olarak zayıflatıcı tehdidi engelleme çabalarının yeterli olmadığı konusunda uyarıyorlar.
BT altyapısına yönelik siber saldırı, Colonial Pipeline’ı şimdiye kadar ilk kez tüm operasyonlarını durdurmaya zorlayarak, Doğu Kıyısı boyunca dört ABD eyaletini olağanüstü hal ilan etmeye sevk eden bir yakıt kıtlığını ve fiyat artışlarını tetikledi. Olay, fidye yazılımını derhal ulusal güvenlik düzeyinde bir tehdit düzeyine yükseltti ve Yürütme Organından ortak eylemi harekete geçirdi.
Saldırıdan bu yana – ve kısa bir süre sonra JBS’de yerel et kıtlığını tehdit eden başka bir saldırı – ABD hükümeti kritik altyapıda fidye yazılımı kullanımını terörizm olarak ele alacağını söyledi. Colonial Pipeline saldırısından sadece birkaç gün sonra Başkan Biden tarafından imzalanan bir Yürütme Emri, kritik altyapı kuruluşları için yeni güvenlik gereksinimleri zorunlu kıldı. Ayrıca, ABD’nin kritik altyapısına yönelik saldırılara karşı dayanıklılığı artırmak için federal düzeyde ve düzenleyici kurumlar tarafından çok sayıda başka girişimde bulunuldu.
Bununla birlikte, Amerika’nın en büyük soğuk hava deposu sağlayıcısı Americold’a yapılan yakın tarihli bir saldırının da gösterdiği gibi, iki yıl sonra kritik altyapıya yönelik fidye yazılımı tehdidi yüksek olmaya devam ediyor. Saldırı – Colonial Pipeline’daki gibi – Americold’u tehdidi ortadan kaldırmaya çalışırken soğuk depolama operasyonlarını kapatmaya zorladı. Geçen yıl FBI’ın aldığı 2.385 fidye yazılımı şikayetinin 870’i kritik altyapı kuruluşlarını içeriyordu. FBI’ın verileri, belirlenen 16 kritik altyapı sektöründen 14’ünde en az bir fidye yazılımı kurbanı olduğunu gösterdi.
Trend 2023’te hız kesmeden devam ediyor: BlackFog’un Nisan 2023 tarihli Fidye Yazılım Durumu Raporu, saldırı hacimlerinde bir yavaşlama olduğuna dair diğer satıcı raporlarına rağmen, sağlık hizmetlerine, devlete ve sağlık sektörüne yönelik fidye yazılımı saldırılarının büyümeye devam ettiğini gösterdi.
Bitmemiş iş
Güvenlik uzmanları, durumu şu ana kadar yapılan tüm çalışmalara rağmen yapılacak daha çok şeyin olduğu bir durum olarak görüyor.
Fortalice Solutions’ın CEO’su ve Beyaz Saray’daki Başkanlık Ofisinde eski bir CIO olan Theresa Payton, Colonial Pipeline’dan bu yana fidye yazılımlarına karşı mücadelede olumlu adımlar attığını düşündüğü birkaç önlemi işaretliyor. Bunlar arasında Başkan Biden’ın Ülkenin Siber Güvenliğini İyileştirmeye ilişkin 14028 sayılı İcra Emri; Özellikle kritik altyapı kontrol sistemlerini hedefleyen Ulusal Güvenlik Muhtırası 5; ve M-22-09 kapsamında federal kurumlarda sıfır güven siber güvenlik modelleri oluşturma çabaları. Ayrıca, Kritik Altyapı için Siber Olay Raporlama Yasası ve İki Taraflı Altyapı tasarısındaki siber güvenlik hükümleri gibi önlemler de dikkate değerdir.
Payton, FBI’ın son derece yıkıcı Hive fidye yazılımı grubunu sistematik olarak ortadan kaldırmasının ilerlemenin bir başka göstergesi olduğunu söylüyor.
Şu anda ihtiyaç duyulanın, kritik altyapı kuruluşları için daha spesifik direktifler olduğunu açıklıyor. “Kritik sektörler için minimum siber güvenlik gereksinimlerini geliştirmeliyiz [and enhance] Fidye yazılımı olaylarının oluşmasını önlemek için kimlik doğrulama ve kimlik doğrulama standartları” diyor.
Payton, “Colonial Pipeline gibi kritik altyapı kuruluşları, özellikle sosyal mühendislik daha gerçekçi, sofistike, kalıcı ve karmaşık hale geldikçe, fidye yazılımı saldırılarını önlemek için sıfır güven ilkelerini benimsemelidir” diyor.
Seattle’ın eski CISO’su ve şu anda siber güvenlik firması Critical Insight’ın CISO’su olan Mike Hamilton, Colonial Pipeline’ın saldırısı, ABD altyapı operatörleri arasında ciddi bir siber saldırıdan kurtulmak için iyi prosedürler bulunmadığını ortaya çıkardı.
“Colonial, boru hattı operasyonunu çok dikkatli bir şekilde kapattığında, yeniden başlatmak çok uzun sürdü, bu da mevcut yakıt tedarik sorununu uzattı,” diyor. “Bu bir dayanıklılık sorunu. O on sayı bitmeden bir yumruk atabilmeniz ve paspastan inebilmeniz gerekiyor.”
Fidye Yazılımı Saldırılarını Daha Maliyetli Hale Getirmek
Hamilton, Colonial Pipeline olayından bu yana geçen iki yılda, ABD hükümet kurumlarının fidye yazılımı saldırganlarını saldırganlar için daha zor ve daha maliyetli hale getirmek için çalıştığını belirtiyor. Örneğin Hazine Bakanlığı, haraç ödemeleri için kripto borsalarının kullanımını yasaklamak için mevcut Yabancı Varlık Kontrol Ofisi (OFAC) yetkisini kullandı. ABD Adalet Bakanlığı da proaktif olarak suç altyapısını çökertmek ve suçluları tutuklamak konusunda daha agresif davrandı.
İleriye dönük olarak, suç altyapısını savunmak ve ortadan kaldırmak üzerinde durulması gerektiğini söylüyor. Hamilton, nihai yakalama ve hapsetme için suçluları belirleyip cezalandırın ve fidye yazılımı kurbanlarının ödeme yapmasını yasaklayın, diyor Hamilton.
ABD Siber Güvenlik ve Altyapı Dairesi (CISA) de federal kurumların fidye yazılımlarına ve diğer siber tehditlere karşı savunmalarını güçlendirmelerini sağlamada aktif bir rol üstleniyor.
Örneğin, kurumun Bilinen Yararlanılan Güvenlik Açıkları kataloğu, tüm sivil devlet kurumlarının, siber tehditlere maruz kalmayı en aza indirmek için belirli bir zaman dilimi içinde (genellikle iki hafta) aktif olarak kullanılan güvenlik açıklarını düzeltmesini gerektirir. Yakın zamanda CISA, kritik altyapı sektörlerindeki kuruluşları, bir fidye yazılımı saldırganının yararlanabileceği güvenlik açıkları olan sistemler hakkında uyarmak için bir Fidye Yazılımı Güvenlik Açığı Uyarı Pilotu (RVWP) programı başlattı. Mart 2023’te CISA, herhangi bir veri şifreleme gerçekleşmeden önce tehdidi ortadan kaldırabilmeleri için kuruluşları ağlarındaki fidye yazılımı aktörleri hakkında uyardığı ilgili bir Fidye Yazılımı Öncesi Bildirim Girişimi başlattı.
Programlar, kurumun siber güvenlik araştırmacıları, altyapı oyuncuları ve tehdit istihbaratı firmalarından ipuçları ve tehdit bilgileri aldığı CISA’nın Ortak Siber Savunma İşbirliğinin (JCDC) bir parçasıdır.
Onapsis’in CEO’su ve kurucu ortağı Mariano Nunez, “CISA, fidye yazılımının kritik altyapıya yönelik tehdidini fark etti” diyor. Yılın başından bu yana sağlık, kamu hizmetleri ve diğer sektörlerdeki 60’tan fazla kuruluşu ağlarındaki potansiyel fidye yazılımı öncesi tehditler hakkında işaretlediklerini söylüyor.
Ransomware Yaşıyor
Nunez, kritik altyapıya yönelik fidye yazılımı saldırılarının arttığı için bu tür bir yardımın hayati önem taşıdığını söylüyor.
“Yardımcı kuruluşlar ve kritik altyapı çevrimiçi olarak daha bağlantılı veya birbirine bağlı hale geldikçe saldırı yüzeyi büyümeye devam edecek” diyor. “Buluta geçiş, aktif tehditleri izlemeyi ve güvenlik açıklarını zamanında değerlendirmeyi daha zor hale getirebileceğinden, bazı sorunları da ortaya çıkarabilir.”
Fidye yazılımı sorununu ele alma çabalarını karmaşıklaştırabilecek bir faktör, kurbanların bir olayı bildirmeyi geciktirme veya mümkünse tamamen örtbas etme eğiliminin artmasıdır.
BlackFog’a göre araştırması, markalarına, itibarlarına ve müşteri ilişkilerine gelebilecek potansiyel zarardan endişe duyan kuruluşların bir fidye yazılımı olayını geciktirdiğini ve bazen bildirmediğini gösteriyor.
BlackFog’un CEO’su ve kurucusu Darren Williams, “Artık tüm saldırıların %90’ından fazlasının artık kurbanın cihazlarını şifrelemediğini, yalnızca verileri sızdırdığını ve herkesi zorla aldığını görüyoruz” diyor. “Maruz kalmanın maliyeti çok yüksek; iş kaybı, iyileştirme, düzenleyici para cezaları ve toplu dava davaları, başa çıkılması gereken sorunlardan sadece birkaçı.”