Fidye yazılımı, son birkaç yıldır suç çeteleri için son derece karlı bir sektör olmuştur. 2020’den bu yana ödenen toplam fidye miktarının en az 2 milyar dolar olduğu tahmin ediliyor ve bu, bu faaliyetten kazanç sağlayan grupları hem motive etti hem de daha profesyonel hale getirdi.
Bu gruplar meşru teknoloji ekosistemini taklit ediyor ve daha fazla verimlilik ve kâr peşinde koşuyor: ortak, karmaşık sorunları dış kaynaktan sağlıyorlar; işi taşerona veriyorlar; ve serbest çalışanlar olarak adlandırılabilecek bir şey aracılığıyla istihdam ederler. iş ekonomisi operatörlerin. Bu hizmetlere olan talep, bu ihtiyaçları karşılamak için suç hizmeti sağlayıcılarının ortaya çıkmasına neden oldu ve neredeyse erdemli bir kötülük döngüsünde, bu siber suç hizmetleri arzı, tüm siber suç tehdit ortamını mümkün kılıyor.
Aktörler artık bir hizmet olarak kötü amaçlı yazılım, altyapı ve kimlik avı satın alabilir; hatta ilk erişim aracılarından (IAB’ler) kurbanlara erişimi kolayca satın alabilirler. Olgunlaşan bu pazar, motivasyonu (ve bazı kripto para birimleri) olan herhangi bir aktörün, etkili kötü amaçlı araçlar ve bunların nasıl kullanılacağına ilişkin talimatlar satın alabileceği anlamına gelir.
Bu defans oyuncuları için ne anlama geliyor?
Kurbanlara erişim için bir pazarın varlığıyla, güvenlik olayları hızla gelişebilir ve değişebilir. Bir ağı tehlikeye atan ilk aktör, bu erişimi özellikle o kurbanı, onların dikeyini veya coğrafi konumunu hedeflemek isteyen başka bir aktöre satabilir.
Bir saldırganın teknik becerilerinin sınırına ulaştığını ve bir uç sunucuda ayrıcalıkları artırmayı başaramadığını varsayalım. Bu durumda, yine de bu erişimi satışa sunabilirler ve daha yetenekli başka bir aktör gelip önceki aktörün başarısız olduğu yeri devralabilir.
Bu yeni, profesyonelleştirilmiş siber suç ekosisteminde tek bir uzlaşmanın modüler doğasının yanı sıra, yeniden satış veya erişim devri olmasa bile saldırganın hedeflerini belirlemek daha zor hale geliyor. Etkili kötü amaçlı yazılım, hazır altyapı ve kimlik avı kampanyaları satın alınabilir, böylece araçlar, altyapı ve TTP’ler artık bir güvenlik olayında aktif saldırganın güvenilir bir tanımlayıcısı değildir.
Saldırganın hedefini bilmek zorlaşıyor
Bir uç sunucusunun güvenliğinin aşılması, o sunucunun kripto-jacking için bir madencilik havuzuna veya bir kimlik avı ya da DDOS botnet’ine alınmasına yol açabilir. Bu kötü, ancak bir kuruluş için varoluşsal bir tehdit değil.
Bununla birlikte, bu hızlı kazançları arayan aktörler artık çok noktalı haraç fidye yazılımı gruplarının lideri olarak tamamen aynı araçları ve kalıcı yöntemleri kullanıyor olabilir. Hedeflerine ulaşmaya çok yaklaşana kadar aktörler arasında ayrım yapmak son derece zordur, bu nedenle her güvenlik olayı olabilecek en şiddetli ve tehlikeli olaymış gibi ele alınmalıdır.
İnternete dönük yaygın olarak kullanılan bir yazılımda yeni bir güvenlik açığı ortaya çıktığında, kripto hırsızlığı çetelerinden ulus destekli APT’lere kadar çok sayıda aktörün harekete geçtiği ve kitlesel sömürü altyapılarını onu hedeflemek ve istismar etmek için yapılandırdığı defalarca gözlemlendi. . Kuruluşlar, mevcut tehdit ortamının ve orada bulunan tehdit istihbaratının farkında olarak en son tehditlere hızla tepki verebilir.
Bir güvenlik veya altyapı ekibi için, yamalanmış olabilecek bir güvenlik açığından yararlanılarak bir ağın güvenliğinin ihlal edildiğini fark etmek, dünyadaki en kötü duygu olabilir. Zamanında yama yapmadığınız için ağınızın güvenliğinin ihlal edildiğini keşfetmenin daha da kötü olduğunu tahmin ediyorum.
Savunmacılar için fırsatlar bu yeni manzaradan doğar, ancak birden fazla aktör aynı araçları ve yöntemleri kullanıyorsa ve bunun nedeni etkili ve verimli olmaları olsa bile, bu üzerine odaklanılabilecek bir örtüşmedir. Savunmacılar, ortak araçlar ve taktiklerle yüzleşmek, mevcut popüler saldırgan davranış zincirlerini tespit edip tanımak ve harekete geçmek için kendilerini donatabilirler.
Bir uzlaşmadaki belirli bir aktörün nihai hedefini bilemeyebilirsiniz, ancak şunları yapabilirsiniz:
düşmanlarını tanı – Saldırganların popüler araçları, yöntemleri ve hedefleri hakkında güncel kalmak için tehdit istihbaratını kullanın. Mevcut büyük eğilimler, kimlik avı yoluyla ilk erişim veya dışarıdan erişilebilen savunmasız hizmetlerden yararlanma yönündedir.
Hedefe yönelik eylemlere genellikle arazi dışında yaşayarak, yani halihazırda mevcut olan işletim sistemi araçlarını kötüye kullanarak ve Cobalt Strike, Metasploit ve Sliver gibi sömürü sonrası yaygın emtia çerçevelerinin kullanımıyla ulaşılır. Saldırganlar için ortak hedefler, bilgi çalma (IAB’ler kısmen bunun kapsamına girer), dolandırıcılık ve gasptır (yani, fidye yazılımı).
Güvenlik açıklarınızı bilin – Hedef alınabilecek dış yüzeyleriniz nelerdir? Yama uygulanmamış web, e-posta ve uygulama sunucuları her zaman büyük hedefler olmuştur. Yine de, büyük markaların güvenlik duvarları gibi ağ altyapısının bile kötüye kullanılan güvenlik açıkları içerdiği tespit edildi. Mülkünüzden değerli varlıklarınıza giden saldırı yolları nelerdir? Hassas bilgilere erişimle ilgili kontroller var mı veya açık düz bir ağ mı kullanıyorsunuz? Herhangi bir eski sistem, ICS veya IoT cihazı kullanıyor musunuz?
Önce davran – Bu yaygın araçlar, yöntemler ve yollar için önleyici tespitler ve kontrollerin yanı sıra veri ve işlevlerle ilgili erişim kontrolleri ve kısıtlamaları uygulayın. Sitenizdeki olağandışı etkinlikleri izleyin, makine öğrenimi tabanlı davranışsal algılamaları uygulayın ve bunlara dikkat edin ya da bunu sizin yerinize yapacak bir yönetilen algılama ve yanıt (MDR) hizmeti edinin. Kullanıcı tabanınızı proaktif olarak eğitin ve sorumluluklarını netleştiren ve teknik kontrollerinizle uyumlu politikalar ve prosedürler belirleyin. Güvenlik yamalarını mümkün olan en kısa sürede uygulayın.
Bir olay müdahale planına sahip olun – Tehdit istihbaratınız, kişisel farkındalığınız, kontrolleriniz ve ilkeleriniz varsa, bir olay durumunda kuruluşunuzun izlemesi için bir eylem planı oluşturabilirsiniz.
Bir güvenlik olayı sırasında yine de öngörülemeyen durumlar ve virajlar meydana gelecektir, ancak işin büyük bölümünü zaten yaptıysanız, çok daha hızlı harekete geçebilir ve ardından öngörülemeyen uç durumlara odaklanabilirsiniz.