Günümüzün fidye yazılımları birçok kuruluşun başına beladır. Peki nerede başladı?
Fidye yazılımını, sistem sahibine şantaj yapmak için dosyaları şifreleyen kötü amaçlı yazılım olarak tanımlarsak, fidye yazılımı olarak sınıflandırılabilecek ilk kötü amaçlı yazılım, 1989 AIDS Truva Atı’dır. Ancak, dosya(ad)ları şifreleyip fidye istese de etkili olmaktan uzaktı.
AIDS Truva Atı, DSÖ’nün HIV hakkındaki konferansına katılanlara bir disket üzerindeki salyangoz postasıyla gönderildi. Yaklaşık 20.000 kişiye ve sağlık kurumuna ulaştı. Virüs bulaşan sistemde kendisini autoexec.bat dosyasına ekledi ve C: sürücüsündeki tüm dosyalar için bir şifreleme rutini başlatmadan, dizinleri gizlemeden önce 90 yeniden başlatmayı bekledi ve bir fidye notu görüntüledi. Fidye notunda kurbana Panama’daki bir posta kutusuna en az 189 dolar göndermesi talimatı veriliyordu. Pek çok kurban bunu yapmadı ve simetrik şifrelemenin kırılması nispeten kolaydı.
Günümüzde işler oldukça değişti. İşte birkaç yol:
Artık salyangoz postası ve disket yok
Günümüzde fidye yazılımı için popüler dağıtım yöntemleri; kötü amaçlı spam, kötü amaçlı reklamcılık ve popüler yazılım veya ağ cihazlarındaki güvenlik açıklarıdır. Ancak gerçekte yüksek hızlı internet bağlantısı gerektiren şey, fidye yazılımı çetelerinin fidye taleplerine ekstra avantaj sağlamak için etkilenen ağlardan çaldığı büyük miktarda veridir.
Tüm dosyalar şifrelenmez
Suçlular, kurbanın cihazını talimatları okuyabilecek ve fidyeyi ödeyebilecek kadar kullanabilmesinin faydalı olacağını hemen anladı. Dolayısıyla modern fidye yazılımları, sistemin çalışması için gerekli olan dosyaları şifrelemekten kaçınmak için bir dışlama listesi kullanır.
Ödeme kripto para birimi cinsinden yapılır
Sahte anonim kripto para birimlerindeki fidye ödemeleri, ödemelerin blok zinciri aracılığıyla izlenmesine olanak tanır, ancak alıcının gerçek kimliği, para ödeme yapmak için kullanılıncaya veya fiat para birimiyle değiştirilene kadar gizlenebilir. Kripto para biriminin kullanılması, siber suçluların fonlarını güvenli bir şekilde kullanabileceklerini düşündükleri bir yere aktarmalarına olanak tanır.
Daha güçlü bilgisayarlar daha güçlü şifreleme anlamına gelir
Güçlü şifreleme rutinleri nispeten kaynak açısından yoğundur (1989’dan kalma bir makine kesinlikle zorlanırdı), ancak modern makinelerin bununla neredeyse hiç sorunu yoktur. Anahtar için para ödemeden şifresi çözülebilecek fidye yazılımı türlerine yol açan hatalar, suçluların birbirlerinin hatalarından ders alması ve birçok kodun kamuya açık hale getirilmesi nedeniyle daha nadir hale geliyor. Asimetrik şifrelemenin kullanılması, şifreleme rutinlerinin, etkilenen sistemde bir şifre çözme anahtarı bırakmadan işlerini yapmasına olanak tanır.
Sızan Kod
Çalınan veya sızdırılan kod, göreceli olarak yeni başlayanların kendi fidye yazılımlarını oluşturmasını mümkün kıldı. Örnek olarak, en kötü şöhrete sahip fidye yazılımı çetelerinden birinin (Lockbit), fidye yazılımı oluşturucusunun hoşnutsuz bir geliştirici tarafından çevrimiçi olarak sızdırılmasını sağladı.
Kurşun geçirmez barındırma
Dark Web ve kurşun geçirmez barındırma, web sitelerini ve diğer gerekli hizmetleri daha uzun süre açık tutmalarına olanak tanıdığından suçlulara faydalıdır. Sızıntı sitenizi ve komuta ve kontrol (C2) sunucularınızı her gün taşımak zorunda kalmak, fidye yazılımı operatörlerinin hayatını çok daha zorlaştıracaktır; çünkü sitelerinin ele geçirilmesi veya başka bir şekilde kontrollerinden çıkarılması gerçeğine hazırlıklı olmaları gerekir. .
Kalem test araçları
Birçok İlk Erişim Aracısı (IAB), ağların güvenliğini ihlal etmek ve ihlal tespit edildikten sonra yanal hareketi etkinleştirmek için pen test araçlarını (örn. Cobalt Strike) kullanmaktan memnuniyet duyar. Penetrasyon testi veya pen testi, yamalanmamış güvenlik açıklarını veya kusurları bulmak amacıyla bir bilgisayar sistemine, ağa, yazılıma veya başka bir uygulamaya kontrollü saldırılar gerçekleştirme uygulamasıdır. Bir kuruluş, kalem testleri gerçekleştirerek sistemlerini gelecekteki olası gerçek saldırılara karşı güçlendirmenin yollarını bulabilir ve böylece onları daha az istismar edilebilir hale getirebilir. Bu amaçla suçluların eline geçmesi kaçınılmaz olan bazı araçlar geliştirildi.
Koruyucu hükümetler
Ayrıca bazı fidye yazılımı çetelerine yerli makinelere saldırmadıkları sürece hükümetler tarafından izin verildiği söylentisi de suçlulara yardımcı oluyor. Hatta bazı hükümetlerin, düşmanlarının veya rakiplerinin kritik altyapısını bozdukları için fidye yazılımı çetelerine sponsor oldukları bile iddia ediliyor. Bağımsız Devletler Topluluğu (BDT), Rusya ve eskiden Sovyetler Birliği’nin parçası olan diğer cumhuriyetlerden oluşan uluslararası bir kuruluştur. Fidye yazılımı yaratıcılarının BDT ülkelerinden kaçınmak için ülke adlarını ve coğrafi bölgeleri sabit kodlamak ve sistem dilini kontrol etmek gibi yaygın olarak kullandıkları ve kodlarına dahil ettikleri bir dizi teknik vardır.
Hizmet olarak fidye yazılımı
Fidye yazılımı çetelerinin teknolojilerini abonelik temelinde diğer gruplara “kiraladığı” hizmet olarak fidye yazılımı (RaaS) modeli, operasyonların ölçeklendirilmesini ve iş yükünün etkili bir şekilde bölünmesini mümkün kılıyor. Aynı zamanda daha az yetenekli siber suçluların “sektöre” erişmesini de kolaylaştırıyor.
RaaS iş modeli aynı zamanda karşılıklı güveni de gerektirir; herkes anonim kalmaya çalışırken bunun sürdürülmesi her zaman kolay değildir. Bir tutuklama veya altyapının kapatılmasından sonra üye kuruluşların sık sık taraf değiştirdiğini görüyoruz. Diğerleri artık gelirleri paylaşmak istemiyor ve bunu tek başlarına ya da daha küçük bir grupla yapabileceklerine inanıyorlar.
Neyse ki fidye yazılımlara karşı savunmalar da gelişti. Kuruluşunuzu güvence altına almanın birkaç yolu:
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Bu makale ilk olarak Carrie Mackenzie ve Pieter Arntz’ın ev sahipliği yaptığı, fidye yazılımının tarihi ve gelişimi hakkında Almanca bir Malwarebytes web semineri olarak sunuldu.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE