Kuruluşunuz fidye yazılımının saldırısına uğradı ve verilerinizin şifresinin çözülmesi, saldırganların sunucularından silinmesi ve/veya çevrimiçi olarak sızdırılmaması için fidye ödemesi yapılıp yapılmayacağı konusunda bir karar verilmesi gerekiyor.
Karar çeşitli faktörlere bağlı olacak ancak GuidePoint Security’ye göre önemli olanın, saldırıyı gerçekleştiren fidye yazılımı operatörlerinin genel olgunluğu ve şöhreti olması gerekiyor.
Olgunlaşmamış fidye yazılımı grupları: Belirgin bir tehdit
Dünyanın dört bir yanındaki kolluk kuvvetleri ve hükümetler kuruluşlara fidyeyi ödememelerini tavsiye ederken, ödemenin sorunun umulan bir çözümüyle sonuçlanmayabileceğini bilmemize rağmen birçoğunun bunu yaptığını ve yapacağını hepimiz biliyoruz.
GuidePoint araştırmacıları ek tavsiyelerde bulundu: “Fidye ödemesi veya ödememe konusunda bilinçli bir karara varmak için fidye yazılımı gruplarının bilinen geçmişini, güvenilirliğini ve inandırıcılığını ve operatörlerinin iddialarını göz önünde bulundurun.”
LockBit, Alphv veya Black Basta gibi yerleşik RaaS şirketlerinin aksine, olgunlaşmamış, fırsatçı grupların yalan söyleme, mağdurlara yeniden şantaj yapma ve işleyen kurtarma araçları (örneğin şifre çözücüler) sunmama olasılıkları daha yüksektir.
“Yeniden şantajın açgözlülükten kaynaklanabileceğini, aynı zamanda şifrelenmiş dosyaların şifresinin çözülememesi gibi teknik eksiklikleri örtbas etmenin bir yolu olarak da kullanılabileceğini belirtiyoruz; eğer tehdit aktörü mağdur reddedene kadar ödeme talep etmeye devam edebilirse, makul bir açıklama mevcuttur Bu, teknik olarak beceriksiz bir aktörün ‘elini sallamaktan’ kaçınır” diye belirttiler.
Önceki deneyimlere ve meslektaşlarla yapılan tartışmalara dayanarak araştırmacılar, olgun RaaS gruplarının sağlam bir itibara sahip olmak için çalıştığını, böylece kurbanların grup ve bağlı kuruluşlarının talep ettiği önemli fidyeleri ödeme olasılıklarının daha yüksek olduğunu, daha küçük, daha az bilinen grupların ise çok daha az teşvik edildiğini buldu. belirledikleri kurallara göre oynamak.
Fırsatçı fidye yazılımı operatörlerinin genellikle şunları yapma olasılığı daha yüksektir:
- Daha küçük, daha az iyi savunulan kurbanları hedefleyin (KOBİ’leri düşünün)
- Şirket sistemlerine daha az karmaşık tekniklerle erişim sağlayın (açık bağlantı noktaları, güvenliği ihlal edilmiş kimlik bilgileri, kimlik avı, sıfır gün istismarı yerine kaba kuvvet)
- İlkel veya “ikinci el” altyapı (müzakere altyapısı dahil), sızdırılmış veya kırılmış araçlar kullanın, özel bir sızıntı sitesine veya ek tehditleri (etkilenen müşterilere yapılan çağrılar, tekrarlanan saldırılar vb.) takip edecek kaynaklara/zamana sahip olmayın.
- Yetenekleri hakkında yalan söylemek (şifrelenmiş verilerin şifresini çözmek, belirli belgelere erişim, veri sızdırma)
- Daha küçük fidye miktarları isteyin / müzakereden sonra meblağı önemli ölçüde azaltın, ancak çoğu zaman sözlerini tutmayın ve daha fazlasını isteyin.
Yeniden gaspın neredeyse kesinliği
Araştırmacılar, fidye miktarı üzerinde pazarlık yapıldıktan sonra özellikle yeniden şantaj yapmaya eğilimli görünen Phobos ve DATA LOCKER gruplarını/bağlı kuruluşlarını içeren spesifik vaka çalışmalarını paylaştılar.
“Oluşturulacak veya savunulacak bir marka olmadığında veya adı anında değiştirilebildiğinde, olgunlaşmamış bir fidye yazılımı grubunun kurbanlara daha fazla ödeme yapmayı reddedene kadar yeniden şantaj yapma riski çok azdır veya hiç yoktur. Araştırmacılar, konuyla ilgili topluluk bilgi paylaşımının düşük olduğunu ve bu sınıftaki tehdit aktörlerinin genel olarak daha az güvenlik raporlaması veya incelemesine maruz kaldığını belirtti.
Ayrıca, “fidye yazılımı olaylarına yönelik tehdit modelleme veya müdahale planlaması sırasında, markasız veya olgunlaşmamış fidye yazılımı gruplarının, daha büyük, daha yerleşik fidye yazılımı gruplarının aksine ayrı bir tehdit olarak değerlendirilmesi gerektiğini” savunuyorlar.