Fidye yazılımının yeniden bulaşmasının ana nedenleri adli analiz yapılarak önlenebilir.
Birkaç ay önce fidye yazılımının yeniden bulaştığı bir olay hakkında yazmıştık. Fidye yazılımının yeniden bulaşması muhtemelen ilk kez kurban olmaktan daha kötü olabilir. Ne yazık ki bu düşündüğünüzden daha sık oluyor.
Araştırmalar, 2022 yılında ankete katılan kuruluşların üçte birinden fazlasının (%38) tekrarlanan bir fidye yazılımı saldırısının kurbanı olduğunu gösteriyor. Bu, aynı veya farklı fidye yazılımı saldırganları tarafından iki veya daha fazla saldırıya uğradıkları anlamına gelir.
İlk seferde ödeme yapmak bile pek yardımcı olmuyor. 2022’de yapılan bir araştırma, fidye ödeyen şirketlerin %80’inin daha sonra tekrar saldırıya uğradığını ortaya çıkardı. Bunlardan yüzde 40’ı ikinci kez ödeme yaparken, bu şirketlerin yüzde 70’i ilk saldırıdan sonra ödediklerinden daha yüksek bir miktar ödedi.
Yeniden enfeksiyonun en yaygın nedenleri şunlardır:
- suçluların geride bıraktığı arka kapılar
- İlk saldırı sırasında kimlik bilgileri çalındı
- yamalı güvenlik açıkları
- virüslü yedeklerin geri yüklenmesi
Bazı fidye yazılımı saldırılarında, suçlular hedef ağa haftalarca veya aylarca erişebilir, bu da onlara bir arka kapı açma veya geri dönüp başka bir saldırıyı tetiklemek için gerekli kontrolleri ve izinleri başka şekilde koruma fırsatı verir. Göz önünde bulundurulması gereken bir başka olası seçenek de, savunmasız bir ağ cihazının kötüye kullanılmasının, suçlulara, güvenlik açığı yamalanmış olsa bile hemen geri dönmek için kullanabilecekleri oturum açma kimlik bilgileri sunabilmesidir.
Her zincirin en zayıf halkası vardır ancak biri koptuğunda onu daha güçlü bir halkayla değiştirmek önemlidir. Savunmasız cihazlara, hizmetlere ve yazılımlara ya yama uygulanması gerekir ya da mümkün olduğunda internete erişimi durdurulmalıdır. Bunlar uygun seçenekler değilse, neyin daha ucuz olduğunu düşünmenin zamanı geldi. Bunu daha güvenli bir şeyle değiştirmek veya başka bir fidye yazılımı saldırısına uğramak. Diğer seçenekler ise saldırganların seçeneklerini sınırlamak için çok katı erişim politikaları, olası hasarı sınırlamak için ağ bölümlendirmesi ve ilk sorun belirtisinde uyarı almak için sürekli aktif izlemedir. Bu seçeneklere “birini seç” muamelesi yapılmamalı, mümkün olan yerlerde tam olarak uygulanmalıdır.
En zayıf halkayı bilmek ve suçluların hangi bilgileri elde etmiş olabileceğini anlamak, bir olaydan sonra tam bir adli tıp muayenesi yapmanın neden önemli olduğunu gösterir. Suçluların içeri girmek için kullandığı güvenlik açığını, geride bırakmış olabilecekleri arka kapıları ve çalınmış olabilecek kimlik bilgilerini değiştirmek gerekiyor.
Olayın neden olduğu kesintiyi sınırlamak için yakın zamanda eyleme geçirilebilir yedeklemelere sahip olmak önemlidir. Ancak son yedeklemeler, enfeksiyonun bazı kısımlarını veya arka kapıları içerme riskiyle birlikte gelir; bu da adli soruşturmanın önemli olmasının bir başka nedenidir. İlk ihlalin zamanını belirledikten sonra, saldırganların geride bıraktığı dosyaların geri yüklenmesini engelleyebilirsiniz.
Kapsamlı bir adli soruşturma, yalnızca düzeltilebilecek nedeni bulmanıza yardımcı olmakla kalmaz, aynı zamanda saldırganın ağınızda bıraktığı izleri takip edebilmek de önemlidir; böylece hangi erişimi elde etmiş olabileceğini ve neyi kopyalamış olabileceğini yeniden yapılandırabilirsiniz. geride bırakılır, değiştirilir veya silinir.
Etkili bir adli soruşturma gerçekleştirebilmek için güvenilir günlüklere ve tercihen yorumlanması kolay kayıtlara ihtiyacınız vardır. Bir EDR veya SIEM çözümü için alışveriş yaparken aklınızda bulundurmanız gereken bir şey.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE