CISA, 2023’ün başında kullanıma sunulan fidye yazılımı öncesi bildirimlerinin ilk sonuçlarını yayınladı. Ve çalışıyor gibi görünüyorlar.
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), 2023’ün başında uygulamaya koyduğu fidye yazılımı öncesi bildirimlerinin ilk sonuçlarını yayınladı.
Bu girişim nispeten yeni olmasına rağmen, CISA enerji, sağlık, su/atık su, eğitim ve diğer sektörlerdeki 60’tan fazla kuruluşu potansiyel fidye yazılımı saldırıları hakkında bilgilendirdiğini ve birçoğunun tespit edildiğini ve düzeltildiğini doğruladık. şifreleme veya veri kaybı meydana gelmeden önce izinsiz giriş.
Fidye yazılımı öncesi bildirimleri geliştirmek amacıyla CISA, “dünya çapındaki kuruluşlardan siber savunucuları birleştirmek” için Ortak Siber Savunma İşbirliğini (JCDC) kurdu. Ekip, eyleme dönüştürülebilir siber risk bilgilerini proaktif olarak toplar, analiz eder ve paylaşır.
Operasyonun başarısı birkaç temel faktöre bağlıdır:
- Potansiyel erken aşama fidye yazılımı etkinliği hakkında siber güvenlik araştırma topluluğu, altyapı sağlayıcıları ve siber tehdit istihbaratı şirketleri tarafından istihbarat paylaşımı.
- Bu bilgileri mağdur kuruluşa ulaştırmak ve tehdidi kontrol altına alma konusunda özel rehberlik sağlamak.
- Siber suçluların ilk güvenlik ihlalinden tam teşekküllü fidye yazılımı saldırısına kadar geçen süre.
Temel olarak, kuruluşlar erken aşamadaki fidye yazılımı etkinliği hakkında ne kadar çok bilgi verirse, JCDC’nin sağlayabileceği bilgiler o kadar iyi olur. Bu bilgi aynı zamanda istismar edildiği bilinen güvenlik açıkları kataloğu gibi listelerin güncel tutulmasına yardımcı olur ve fidye yazılımı tehdit aktörleri tarafından kullanılan bir güvenlik açığının ağlarında bulunduğunu kuruluşlara bildiren fidye yazılımı güvenlik açığı uyarıları oluşturmaya yardımcı olur.
Ancak fidye yazılımı öncesi bildirimler gerçek hayatta nasıl çalışır?
Geçen hafta bildirdiğimiz sahte IRS postasını örnek olarak alalım. Meslektaşlarım, “IRS Çevrimiçi Merkezi”nden gönderilmiş gibi görünen “IRS Vergi Formları W-9” başlıklı bir e-posta buldu. Gerçekte, ek kötü amaçlı bir makro içerir. Ekin içeriğinin etkinleştirilmesi, Emotet’in sisteme indirilmesiyle sonuçlanacaktır.
JCDC karşılığında bu bilgiyi potansiyel kurbanlarla paylaşabilir. “Bu maili gördünüz mü? Eki açan oldu mu? “İçeriği Etkinleştir” butonunu kullandılar mı? Sistemlerinizin şifrelenmesini önlemek için yapabilecekleriniz bunlar. Taktikler, teknikler ve prosedürler (TTP’ler) ve Aramanız gereken Uzlaşma Göstergeleri (IOC’ler) Ve bu harekete geçirici mesaj oldukça spesifik olabilir çünkü potansiyel kurbanların Emotet’i araması gerektiğini bilirler.
Kendi güvenlik ekibini veya harici bir Yönetilen Tespit ve Müdahale (MDR) hizmetini karşılayamayan birçok kar amacı gütmeyen kuruluş için bu çok faydalıdır ve CISA’nın vardığı sonuca göre yararlılığı kanıtlanmıştır. Fidye yazılımı öncesi bildirim hizmeti ABD kuruluşlarına yönelik olsa da JCDC, ABD dışındaki bir şirketle ilgili olduğunda zamanında bildirim sağlamak için uluslararası Bilgisayar Acil Durum Hazırlık Ekibi (CERT) ortaklarıyla birlikte çalışır.
Ne kadar çok bilgi paylaşırsak, JCDC’nin sağlayabileceği bilgiler o kadar iyi olur. Erken aşamadaki fidye yazılımı etkinliği hakkında bilgi sahibi olan herhangi bir kuruluş veya kişinin [email protected] ile iletişime geçmesi önerilir. Kuruluşunuz fidye yazılımlarını durdurmak için bu ortak çabalara katılmakla ilgileniyorsa, lütfen cisa.gov/JCDC-faqs adresini ziyaret edin veya [email protected] adresine e-posta gönderin.
Her ABD fidye yazılımı olayı ABD hükümetine bildirilmelidir. Raporlama hakkında bilgileri stopransomware.gov adresinde bulabilirsiniz.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE