Güvenlik liderleri üzerinde daha azla daha fazlasını yapma konusunda çok fazla baskı olmaya devam ediyor, ancak günümüzün karmaşık ve sık siber saldırıları durumu yalnızca daha da kötüleştiriyor. Ve kötü haber şu ki, bu siber olaylar, özellikle fidye yazılımı saldırıları yakın zamanda ortadan kalkmayacak. Aslında, kritik altyapı, tedarik zinciri ve finansal kurumlar gibi alanlarda daha yaygın hale geliyorlar. Örneğin, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2021’de ABD’deki 16 kritik altyapı sektörünün 14’üne yönelik fidye yazılımı olaylarını gözlemledi.
En hızlı büyüyen siber suç türlerinden biri olan fidye yazılımlarının mali sonuçları son yıllarda daha belirgin hale geldi. Bu saldırılar, diğer tek hedefli saldırılardan daha yaygın hasara neden oluyor, bu nedenle, fidye yazılımı olaylarıyla mücadele etmek için hükümet ve teknoloji satıcılarından artan bir yanıt görmemiz mantıklı. Yeterli mi?
RVWP: Önemli Bir İlk Adım
Mart 2022’de CISA, kritik altyapı kuruluşlarının güvenlik açıklarını düzelterek sistemlerini fidye yazılımı saldırılarına karşı korumalarına yardımcı olmayı amaçlayan Fidye Yazılımı Güvenlik Açığı Uyarı Pilotu (RVWP) programını başlattı. Fidye yazılımlarına ve diğer siber saldırılara karşı tam koruma sağlamak için iyi bir ilk adım olsa da kuruluşların teknoloji önlemlerini, çalışan eğitimini ve iyi tanımlanmış ve uygulanan güvenlik politikalarını içeren çok katmanlı bir güvenlik planına ihtiyacı vardır. Ancak, tüm kritik altyapı sağlayıcılarının en iyi güvenlik uygulamalarını kullanmadığı açıktır, bu nedenle RVWP başlatılmıştır. Ama yeterince uzağa gitmiyor.
Fidye yazılımı operatörleri, hedefleri etkilemek için yeni keşfedilen güvenlik açıklarından kesinlikle yararlanacak olsa da, bunlar fırsat saldırılarıdır. İyi bilinen güvenlik açıklarına yönelik daha küçük ölçekli saldırılar devam etse ve hala bir dereceye kadar başarılı olsa da, kritik altyapıyı etkileyen yaygın ağ istismarı olayları bu günlerde nispeten seyrek.
Büyük güvenlik açığı keşifleri arasındaki kesinti süresinde, fidye yazılımı operatörlerinin ağ ortamlarında bir dayanak elde etmek için insanları istismar eden sulama deliği saldırıları, mızraklı kimlik avı, kötü amaçlı reklamcılık ve diğer sosyal mühendislik taktiklerini sıklıkla kullandıklarına dikkat etmek önemlidir. Hiçbir ağ taraması ve raporlaması bu riskleri azaltamaz, dolayısıyla kritik altyapı fidye yazılımlarından etkilenmeye devam eder.
GootLoader: Kötü Amaçlı Yazılım Yayılmasına Bir Örnek
Potansiyel etkiyi daha iyi anlamak için, tehdit aktörlerinin kurbanın BT ortamına ilk erişimini sağlayan popüler bir kötü amaçlı yazılım olan GootLoader’a bakın. GootLoader, bir kuruluşun ağına sızabilen bir fidye yazılımı taktiğinin en iyi örneğidir ve hiçbir önleyici tarama onu durduramaz. GootLoader, yüksek düzeyde, kurbanları cezbetmek ve bulaştırmak ve meşru WordPress web sitelerini tehlikeye atmak için arama motoru optimizasyonu (SEO) zehirlenmesini kullanır. Bir kullanıcı bu web sitelerinden birini tıklar ve kötü amaçlı yazılımı dağıtırsa, tehdit aktörlerine ağ üzerinde bir yer sağlar.
GootLoader özellikle kritik altyapı varlıklarını hedef almıyor gibi görünse de yine de endişelenmeleri gerekir. GootLoader’ı izlerken, kötü amaçlı yazılımın enjekte edildiği 700.000’den fazla URL’yi izledik ve bunlar, birinin anahtar kelime aramasında kullanabileceği yaklaşık 3,5 milyon kelime öbeği içeriyor. Hızlı bir arama yaptım ve GootLoader açılış sayfalarında kritik altyapıda çalışan birinin arayabileceği terimlerin kısmi bir listesini burada bulabilirsiniz:
- Devlet Sözleşmelerinde Avans Ödemesi
- Devlet Tedarik Anlaşması
- Havacılık Hizmet Sözleşmesi
- Bermuda Anlaşması Havacılık
- Sivil Havacılık Anlaşması
- Elektrik Sayacı İşletmeci Sözleşmesi
- Genel Şartlar Sözleşmesi Havacılık
- Gürcistan Hizmet Kanunları
- Ortak İşletme Anlaşması Petrol ve Gaz
- Nükleer Enerji İnşaatı İş Sözleşmesi
- Petrol ve Gaz Ticari Anlaşmaları
- Petrol Ve Gaz Gizlilik Sözleşmesi
- Petrol ve Gaz Varlık Alım Sözleşmesi
- Hizmet Sözleşmesi Petrol ve Gaz
- İmza Havacılık İşbirliği Anlaşması
- Sürdürülebilir Havacılık Yakıtı Anlaşması
- Teksas Hizmet Yasaları
- Ulaşım Kiralama Sözleşmesi
- Petrol ve Gaz Ortak Girişim Anlaşması Türleri
- Hizmet Şirketi Sözleşmesi
- Florida’daki Kamu İrtifakı Yasaları
- Hizmet Hizmetleri Sözleşmesi
- Ana Hizmet Sözleşmesi Petrol ve Gaz Nedir?
Riskleri Azaltmak İçin Sonraki Adımlar
Kritik altyapıyı korumak göz korkutucu görünse de, endüstrinin daha siber dirençli hale gelmek ve riskleri azaltmak için şimdi atabileceği bazı kritik ilk adımlar var:
- Eğitim: İdeal bir dünyada CISA, üçüncü taraf güvenlik sağlayıcıları aracılığıyla kritik altyapı sağlayıcılarına ücretsiz son kullanıcı eğitimi ve kimlik avı simülasyonları sağlamak için RVWP’yi genişletecektir.
- Arama motorlarını geliştirmek: Sektörün, arama motoru şirketlerini proaktif olarak kötü amaçlı reklamları ve arama sonuçlarını aramaları ve platformlarından kaldırmaları için teşvik etmesi gerekiyor. CISA ayrıca, hızlı bir şekilde hafifletmek için kötü amaçlı reklamları ve arama sonuçlarını taramak ve büyük arama motorlarındaki sorumlu ekiplere doğrudan bildirmek için bir program uygulayabilir.
- Kötü amaçlı yazılımları anlama: Güvenlik ekiplerinin, fidye yazılımı operasyonlarının öldürme zincirine ilişkin daha iyi içgörüye ihtiyacı var. Örneğin, tehlikeli dosya uzantılarını bir uygulamayı çalıştırmak yerine Not Defteri’nde açılacak şekilde yeniden eşlemek, zinciri kırabilir, böylece birçok kötü amaçlı yazılım türü ağda tutunamaz.
Bu önlemlerin eklenmesi, fidye yazılımlarının yayılmasını durdurmada tek başına mevcut programdan çok daha büyük bir etkiye sahip olabilir.