RaaS’ın nasıl çalıştığını, işletmeler için neden benzersiz bir tehdit oluşturduğunu ve küçük ve orta ölçekli (KOBİ’ler) işletmelerin yeni nesil RaaS saldırılarına nasıl hazırlanabileceğini derinlemesine inceliyoruz.
Fidye yazılımı saldırıları daha sık ve daha maliyetli hale geliyor; fidye yazılımının neden olduğu ihlaller geçen yıl yüzde 41 arttı ve yıkıcı bir saldırının ortalama maliyeti 5,12 milyon dolara yükseldi. Dahası, bu saldırıları gerçekleştiren siber suçluların önemli bir kısmı, hizmet olarak fidye yazılımı (RaaS) modeli üzerinde çalışır.
RaaS, teorik olarak, bulut sağlayıcılarının teknolojilerini size abonelik esasına göre “kiraladığı” hizmet olarak yazılım (SaaS) iş modelinden pek farklı değildir; sadece “bulut sağlayıcıları”nı “fidye yazılımı” ile değiştirin fidye yazılımı (ve ilgili suçlar) ile çeteler ve ‘teknoloji’.
Bu yazıda, RaaS’ın nasıl çalıştığı, işletmeler için neden benzersiz bir tehdit oluşturduğu ve küçük ve orta ölçekli (KOBİ’ler) işletmelerin yeni nesil RaaS saldırılarına nasıl hazırlanabileceği hakkında daha fazla konuşacağız.
Hizmet olarak fidye yazılımı nasıl çalışır?
Hizmet olarak fidye yazılımı oyunu nasıl değiştirdi?
Hizmet olarak fidye yazılımı saldırıları neden bu kadar tehlikeli?
Fidye yazılımı burada kalacak mı? RaaS saldırılarının gelişimi
KOBİ’ler kendilerini yeni nesil RaaS’ye karşı nasıl koruyabilir?
RaaS ile savaşmak için mükemmel bir-iki kombo
Hizmet olarak fidye yazılımı nasıl çalışır?
Olayı çarpıtmayın: RaaS çeteleri, birkaç yüz dolar kazanmak isteyen sıradan bilgisayar korsanları değildir. Yüze kadar çalışanı olan büyük, sofistike işletmelerden bahsediyoruz—LockBit, BlackBasta ve AvosLocker aylık fidye yazılımı incelememizde ele aldığımız RaaS çetelerinden sadece birkaçı.
Malwarebytes Güvenlik Evangelisti Mark Stockley, “Bu bir işletme olarak yürütülüyor” diyor. “Geliştiricileriniz var, yöneticileriniz var, müzakereleri yapan belki birkaç seviyeli insan var, bunun gibi şeyler. Ve bu çeteler son birkaç yılda her yıl yüz milyonlarca dolar kazandı.”
LockBit gibi RaaS çeteleri “satarak para kazanıyor”RaaS kitleri” ve fidye yazılımı saldırılarını gerçekten başlatan bağlı kuruluşlar olarak adlandırılan gruplara yönelik diğer hizmetler. Başka bir deyişle, bağlı kuruluşların saldırıları gerçekleştirmek için çılgınca teknik becerilere veya bilgilere ihtiyacı yoktur. “ ile yakın çalışarakİlk Erişim Aracıları” (IAB’ler), bazı RaaS çeteleri, bağlı kuruluşlara bir şirketin ağına doğrudan erişim bile sunabilir.
Hizmet olarak fidye yazılımı oyunu nasıl değiştirdi?
2015 yılına geri dönelim. Bunlar, fidye yazılımı saldırılarının otomatikleştirildiği ve çok daha küçük ölçekte gerçekleştirildiği “eski güzel günler”di.
İşte böyle oldu: Biri size eki olan bir e-posta gönderecekti, üzerine çift tıkladınız ve makinenizde fidye yazılımı çalıştı. Makinenize kilitlenirsiniz ve kilidini açmak için yaklaşık 300 $ Bitcoin ödemeniz gerekir. Saldırganlar bu e-postaları gönderir, birçok insan şifrelenir ve birçok insan onlara birkaç yüz dolar öderdi. Kısaca iş modeli buydu.
Ancak fidye yazılımı çeteleri altın bir fırsatın peşine düştü.
Bireysel uç noktalara saldırmak yerine ahmak değişikliğiiçin kuruluşları hedef alabileceklerini fark ettiler. büyük para. Çeteler, otomatik kampanyalardan, saldırının bir operatör tarafından kontrol edildiği, insan tarafından yürütülen kampanyalara geçti. İnsan tarafından yürütülen saldırılarda, saldırganlar bir kuruluş içinde yatay olarak hareket edebilmek için kendilerini bir ağa sıkıştırmaya çalışırlar.
Otomatik fidye yazılımından insan tarafından çalıştırılan fidye yazılımı saldırılarına bu evrimin ön saflarında hizmet olarak fidye yazılımı çeteleri yer alıyor ve yeni iş modelleri meyvelerini veriyor gibi görünüyor: 2021’de fidye yazılımı çeteleri en az 350 milyon dolar fidye ödemesi yaptı.
Hizmet olarak fidye yazılımı saldırıları neden bu kadar tehlikeli?
RaaS saldırılarının insanlar tarafından gerçekleştirildiği gerçeği, fidye yazılımı saldırılarının eskisinden daha fazla hedefli olduğu ve hedefli saldırıların, hedefsiz saldırılardan çok daha tehlikeli olduğu anlamına gelir.
Hedefli saldırılarda, saldırganlar bir işletme ağına sızmak ve bilgi çalmak için daha fazla zaman, kaynak ve çaba harcar. Bu tür saldırılar, erişim elde etmek için genellikle iyi bilinen güvenlik zayıflıklarından yararlanır ve saldırganlar ağınızda günlerce hatta aylarca zaman harcarlar.
RaaS saldırılarının insan tarafından yürütülen unsuru, RaaS bağlı kuruluşlarının, tatiller veya hafta sonları gibi kuruluşların daha savunmasız olduğu zamanlar da dahil olmak üzere, bir saldırının ne zaman başlatılacağını tam olarak kontrol edebileceği anlamına gelir.
“Ünlü olarak, RaaS üyeleri uzun hafta sonlarını severdedi Stockley. “Şifrelemenin tamamlanması için kendilerine ihtiyaç duydukları kadar zaman ayırmayı fark etmeyecekken fidye yazılımını çalıştırmak istiyorlar. Bu yüzden bunu gece yapmayı severler, tatillerde yapmayı severler”
Stockley, “Bir insanla uğraşıyorsun,” diye devam etti. “Bu, her şeyi çözmeye çalışan bir yazılımla ilgili değil; her şeyi çözmeye çalışan insandır. Ve sana saldırmanın en iyi yolunun ne olduğunu bulmaya çalışıyorlar.”
Fidye yazılımı burada kalacak mı? RaaS saldırılarının gelişimi
Son yıllarda RaaS alanındaki en büyük yeniliklerden biri, saldırganların verileri şifrelemeden önce çaldığı ve fidye ödenmezse verileri sızdırmakla tehdit ettiği çifte haraç düzenlerinin kullanılması olmuştur.
Şirketler fidye yazılımlarından daha fazla haberdar oldu ve örneğin yedekleme gibi şeyler açısından daha hazırlıklı hale geldi. Ancak bağlı kuruluşlar ortamınıza çoktan girdiyse, çalınan verileri ekstra kaldıraç olarak kullanabilir, dikkatinizi çekmek, müzakereleri hızlandırmak veya ne tür bir erişime sahip olduklarını kanıtlamak için bu verilerin parçalarını sızdırabilirler.
Bugünlerde tüm RaaS çeteleri, karanlık ağdaki özel sızıntı web sitelerine veri sızdırarak çifte şantaj yapıyor. Hatta birçok RaaS programı, kaçak site barındırma da dahil olmak üzere bir dizi haraç destek teklifi sunar. Bu eğilim artmakla kalmıyor, aynı zamanda tek başına veri sızıntısının RaaS için evrimin bir sonraki aşaması olup olmadığı konusunda da tartışmalar var.
Stockley, “Artık yalnızca veri sızdıran çeteler var ve şifrelemeyi hiç zahmet etmiyorlar” dedi. “Çünkü yeterince başarılı. Ve yazılım hakkında endişelenmenize gerek yok, yazılımın algılanması konusunda endişelenmenize gerek yok, çalışması hakkında endişelenmenize gerek yok.”
Bir LockBit veri sızıntısı sitesi. Kaynak.
Başka bir deyişle, “fidye yazılımı odaklı” RaaS’tan “sızıntı odaklı” RaaS’ye geçiş, işletmelerin sorunun doğasını yeniden düşünmesi gerektiği anlamına gelir: Bu tek başına fidye yazılımıyla ilgili değil, ağınıza izinsiz giren bir kişiyle ilgilidir. Gerçekten tehlikeli olan, fidye yazılımının kendisi değil, erişim olduğu ortaya çıkıyor.
KOBİ’ler kendilerini yeni nesil RaaS’ye karşı nasıl koruyabilir?
RaaS saldırılarına hazırlanmak, genel olarak fidye yazılımı saldırılarına hazırlanmaktan farklı değildir ve tavsiyeler, farklı büyüklükteki işletmeler veya endüstriler arasında çok fazla değişiklik göstermez. Yeni nesil RaaS izinsiz girişe çok odaklandığından, KOBİ’lerin bununla mücadelede kendilerine özgü zorlukları vardır.
Bir ağı izleme RaaS izinsiz giriş belirtileri için 7/24 zor bir iştir, dönem, bırakın kısıtlı bütçeleri olan ve neredeyse hiç güvenlik personeli olmayan kuruluşlar için. Bir tehdit aktörü bir hedef ağı ihlal ettiğinde hemen saldırmayacağını göz önünde bulundurun. Sistem güvenliğinin aşılması ile tespit edilmesi arasındaki ortalama gün sayısı 21 gündür.
O zamana kadar, genellikle çok geç olur. Veriler toplandı veya fidye yazılımı dağıtıldı. Aslında, İzinsiz girişlerin yüzde 23’ü fidye yazılımına yol açıyoryüzde 29’u veri hırsızlığına ve yüzde 30’u etkinlikten yararlanmaya – saldırganlar daha fazla izinsiz giriş başlatmak için güvenlik açıklarını kullandığında.
EDR, SIEM ve XDR gibi araçlarla bile, uyarıları gözden geçirmek ve Uzlaşma Göstergelerini (IOC’ler) tanımak, KOBİ’lerin karşılayamayacağı bir yetenek olan deneyimli siber tehdit avcılarının işidir. Yönetilen Tespit ve Müdahaleye (MDR) yatırım yapmanın bu nedenle RaaS saldırılarına karşı bir adım atmak isteyen KOBİ’ler için son derece faydalıdır.
“Açıkçası, en uygun maliyetli şey, insanları ilk etapta içeri almamaktır. Stockley, yama uygulama, iki faktörlü kimlik doğrulama ve çok vektörlü Uç Nokta Koruması (EP) gibi şeylerin bu yüzden çok önemli olduğunu söyledi. “Ama zorla girdikleri noktada, kötü bir şey yapmadan önce onları tespit etmek istersiniz. İşte burada MDR devreye giriyor.”
RaaS ile savaşmak için mükemmel bir-iki kombo
İnsan tarafından yürütülen, hedeflenen ve yürütmesi kolay olan RaaS saldırıları, fidye yazılımı tarihinde tehlikeli bir evrimdir.
Saldırganların çalıntı verileri karanlık ağa sızdırmakla tehdit ettiği çifte gasp taktikleri, bugün RaaS kampanyalarının bir başka önemli evrimsel aşamasıdır – fidye yazılımının kendisinin gelecekte geçerliliğini yitirebileceği noktaya kadar. Sonuç olarak, KOBİ’ler, RaaS karşıtı çabalarını, fidye yazılımı önleme ve dayanıklılık en iyi uygulamalarını uygulamaya ek olarak MDR ile izinsiz giriş tespitine odaklamalıdır.
Daha fazla kaynak
E-Kitabı edinin: MDR benim işim için uygun mu?
En iyi 5 fidye yazılımı algılama tekniği: Her birinin artıları ve eksileri
KOBİ’ler için siber tehdit avcılığı: MDR nasıl yardımcı olabilir?
Bir tehdit avcısı, 16 yılı aşkın siber güvenlik kariyerinde öğrendiklerini anlatıyor