Dünya giderek daha dijital hale gelirken, dünya çapındaki kuruluşlar hizmetlerini yürütmek için giderek daha fazla BT sistemlerine bağımlı hale geliyor. Tehdit aktörleri bu gerçeği çok iyi biliyor.
Kısa bir süre önce, bilgisayar virüslerini yaymak ve hedef sistemlere zarar vermek, onları kararsız hale getirmek için siber saldırılar kullanılıyordu. Ancak modern saldırı araçları geliştikçe, hem hedeflenen sistemlere zarar verebilecek, hem de kurbanların dosyalarını şifreleyerek ve onları rehin alarak onlardan zorla para alabilecek yeni, yıkıcı bir suç modeli ortaya çıktı.
Yeni saldırı modeline fidye yazılımı adı veriliyor ve her geçen yıl daha da ivme kazanıyor.
Malwarebytes tarafından hazırlanan yakın tarihli bir rapora göre, küresel fidye yazılımı saldırıları 2023’te artış gösterdi. Raporda, bir yıl içinde dört ülkeye (ABD, Almanya, Fransa ve İngiltere) yönelik 1.900 fidye yazılımı saldırısı kaydedildi.
Cyber Security Ventures, fidye yazılımı saldırılarının zaman içinde maliyetli hale geleceğini tahmin ediyor; Cyber Security Ventures, 2031 yılına kadar her iki saniyede bir fidye yazılımı saldırısının gerçekleşeceğini ve bunun dünyaya yılda yaklaşık 265 milyar dolar (USD) zarara mal olacağını tahmin ediyor.
Fidye yazılımı yalnızca büyük kuruluşlara mı odaklanıyor?
Kaydedilen fidye yazılımı saldırılarının çoğu büyük kuruluşları hedef alıyor; ancak artık durum böyle değil. Fidye yazılımı operatörleri daha çok küçük ve orta ölçekli işletmelerin yanı sıra bireyleri de hedef alıyor. Örneğin okula dönüşle birlikte okullara yönelik fidye yazılımları arttı.
Recorded Future’a göre, bu Ağustos ayında en az 27 okul ve bölge fidye yazılımının saldırısına uğradı (bkz. Şekil 1).
Hizmet olarak fidye yazılımı (RaaS) iş modeli, teknik becerilere sahip olmayan siber suçluların, fidye yazılımı saldırılarını geliştirmeden başlatmasına olanak tanır. RaaS operatörleri, başarılı fidyelere dayalı bir ortaklık ücreti karşılığında fidye yazılımı yükünü, altyapısını ve ödeme sistemlerini sağlar.
Bu, acemi saldırganların çeşitli hedeflere karşı yıkıcı fidye yazılımı kampanyaları başlatmasına olanak tanır ve fidye yazılımı saldırılarının dünya çapında yayılmasını hızlandırmaya yardımcı olur.
Son fidye yazılımı saldırıları
Neredeyse her gün, büyük bir kuruluşu etkileyen büyük bir fidye yazılımı olayıyla ilgili haberlerde duyuyoruz; İşte son dönemdeki fidye yazılımı olaylarından bazıları:
- LockBit fidye yazılımı grubu, Nisan 2023’te Oakland şehrine bir fidye yazılımı saldırısı başlatarak 311 kamu hizmetini durdurdu
- Royal fidye yazılımı, Dallas şehrinin BT altyapısını vurarak birçok kamu hizmetinin durmasına ve Teksas’ta yaşayan 26.212 kişinin kişisel bilgilerinin açığa çıkmasına neden oldu.
- Nisan 2023’te Harvard Pilgrim Health Care’e yapılan fidye yazılımı saldırısı, 2.550.922 hastanın tıbbi verilerine erişilmesiyle sonuçlandı
Fidye yazılımı çeteleri hedeflerine bulaşmak için daha gelişmiş teknikler kullanıyor
Fidye yazılımı saldırılarından elde edilen büyük karlar, bunu siber suçluların para kazanması için kazançlı bir yöntem haline getirdi. Fidye yazılımı grupları genellikle fidye taleplerini kurban şirketin yıllık gelirinin bir yüzdesine, genellikle de %3’e dayandırır.
Bilgisayar korsanları fidye ödemelerinin bir kısmını daha sağlam saldırı araçları geliştirmek ve yeni saldırı yöntemleri icat etmek için yatırıyor. İşte bazı fidye yazılımı saldırı teknikleri:
- Fidye yazılımlarını dağıtabilmeleri için kimlik avı, yararlanma kitleri veya çalınan kimlik bilgileri aracılığıyla hedef ağlara erişim elde etmek amacıyla hedef BT ortamlarına ilk erişimi Erişim Aracılarına devretmek
- Erişim elde etmek için hedef güvenlik kontrollerindeki ve uygulamalardaki sıfır gün güvenlik açıklarından yararlanma
- Yükleri teslim etmek için Cobalt Strike gibi yasal sızma testi araçlarını kullanma
- Web sitelerinin güvenliğini ihlal etmek ve bunları site ziyaretçilerine yararlanma kitleri dağıtmak için kullanmak. Bu, saldırganların ziyaretçilerin web tarayıcılarındaki ve işletim sistemindeki güvenlik açıklarından yararlanmasına olanak tanır
Fidye yazılımı operatörlerinin hedef BT ortamlarına erişmesinin yaygın bir yöntemi, parolayla ilgili saldırılardır. Örneğin, kimlik bilgileri doldurma, parola püskürtme, parola sıfırlamanın kötüye kullanılması, kimlik avı saldırıları, parola tahmin etme ve varsayılan parolalardan yararlanma, fidye yazılımı grupları tarafından kullanılan yaygın parola tabanlı saldırılardır.
LockBit fidye yazılımı, 2022’de en çok kullanılan fidye yazılımı çeşidi oldu ve 2023’te de yaygınlaşmaya devam ediyor.
LockBit operatörleri, hedeflerine saldırmak için, özellikle parolayla ilgili saldırılar yoluyla, aşağıdakiler gibi karmaşık tekniklerden yararlanır:
- İyi araştırılmış hedeflere karşı özelleştirilmiş kimlik avı saldırıları (Spearphishing) gerçekleştirme
- Kuruluşların RDP ve VPN gibi internete yönelik uygulamalarına karşı kaba kuvvet saldırıları gerçekleştirin
- TOR ağı gibi karanlık ağ pazarlarından çalıntı erişim bilgilerinin satın alınması
- Yetkisiz erişim elde etmek ve ayrıcalığı yükseltmek amacıyla hedef sistemin belleğinden kimlik bilgileri toplamak için Mimikatz gibi güvenlik araçlarını kullanma
Bilgisayar korsanları kötü şifre davranışlarından nasıl para kazanıyor ve bu davranışlardan nasıl yararlanıyor?
Bilgisayar korsanlarının zayıf parola uygulamasından yararlanabileceği çok sayıda yol vardır:
- Kimlik bilgisi doldurma: Bilgisayar korsanları, kullanıcıların aynı kimlik bilgilerini kullandığı diğer hesaplara erişmek için daha önce güvenliği ihlal edilmiş kullanıcı adı/şifre çiftlerini kullanır. Kullanıcıların birden fazla çevrimiçi hesabı güvence altına almak için aynı şifreyi yeniden kullanması yaygındır ve bu da bu saldırıyı gerçekleştirilebilir kılmaktadır.
- Kaba kuvvet saldırıları: Bilgisayar korsanları, Karındeşen John ve Cain ve Abel gibi otomatik araçları kullanarak kullanıcıların şifrelerini tahmin eder
- Şifre püskürtme: Saldırganlar, kullanıcı adlarından oluşan bir liste hazırlar ve ardından tüm bu hesaplara giriş yapmayı denemek için ortak bir şifre (örneğin, varsayılan şifre) dener.
- Kimlik avı saldırıları: Bilgisayar korsanları, meşru web sayfalarına benzeyen sahte oturum açma web sayfaları oluşturur ve kullanıcıları, bilgisayar korsanlarının daha sonra topladığı hesap kimlik bilgilerini girmeleri için kandırır.
- Specops Şifre Politikası fidye yazılımı saldırılarını azaltmanıza nasıl yardımcı olabilir?
Son kullanıcıların zayıf parola uygulamalarından yararlanan fidye yazılımı saldırılarını durdurmak için, Active Directory’deki Grup İlkesi’nin işlevselliğini genişleten ve aşağıdakiler de dahil olmak üzere gelişmiş parola ilkesi özellikleri sağlayan Specops Parola İlkesi’nin kullanılması önerilir:
- Şirket adı ve konumu gibi kuruluşunuzda yaygın olarak kullanılabilecek şifrelerin kullanımını engellemek için özel sözlük listesi
- Eski şifrenin bir kısmının, ardışık karakterlerin ve artan karakterlerin yeniden kullanılması gibi öngörülebilir kompozisyon kalıplarıyla mücadele etmeye yönelik ayarlar
- Bilinen ihlal edilmiş listelerde bulunan 4 milyardan fazla benzersiz şifrenin kullanımını engellemek için günlük kontrollerle ihlal edilmiş şifre koruması
- Parola desteği
Fidye yazılımı, tercih edilen bir siber suç iş modeli olarak gelişmeye devam ediyor.
Fidye yazılımıyla mücadele etmek için kuruluşların, güçlü parola politikalarının uygulanmasını ve farklı güvenlik çözümlerinin dağıtılmasını içeren katmanlı bir güvenlik modeli kullanarak siber savunmalarını güçlendirmeleri gerekir.
Örneğin, çoğu fidye yazılımı saldırısı, güvenliği ihlal edilmiş bir parolayla başlar; bu nedenle, 4 milyardan fazla güvenliği ihlal edilmiş parolanın kullanımının engellenmesi, bu saldırı vektöründen yararlanan tüm siber saldırıların önlenmesine yardımcı olur.
Specops Software tarafından desteklenmiş ve yazılmıştır.