Müzakere etmeli miyiz? Ödemeli miyiz? Bunlar, her kuruluşun siber suçlular verilerini kilitlediğinde karşılaştığı sorulardır. Saldırganlar sistemlerinizi şifrelediğinde, odak önlenmeden yanıt vermeye odaklanır. Artık nasıl olduğu hakkında değil, bir sonraki adımda ne yapmak isteyeceğinizle ilgili.
Fidye yazılımı çeteleri daha organize ve agresif hale geliyor ve birçoğu şimdi işletmeler gibi çalışıyor. Müşteri hizmetleri, ödeme portalları ve müzakere oyun kitapları var. Hiçbir kuruluş sınır dışı değildir. Hastaneler, okullar, kritik altyapı ve küresel şirketlerin hepsi vuruldu.
Bir Zscaler raporu, Dark Angels Grubuna ödenen 75 milyon dolarlık fidye’nin diğer fidye yazılımı operatörlerini daha yüksek ödemeler yapmaya teşvik etmiş olabileceğini gösteriyor.
Olumlu tarafta, umut verici bir eğilim var. Chaintalysis’in son raporuna göre, artan sayıda kurban fidye ödemeyi reddediyor.
Bu değişim kısmen fidye yazılımı çetelerine önemli darbeler yapan son küresel kolluk eylemleri tarafından yönlendirilebilir. Bunlar arasında Lockbit altyapısının sökülmesi, Phobos Fidye Yazılımı Yöneticisi’ne yönelik ücretler, Radar/Dispossor grubunun bozulması ve ALPHV/Blackcat sızıntı alanlarının yayından kaldırılması yer alıyor.
Suçlular ve kolluk kuvvetleri arasında sürekli bir kedi ve fare oyunu.
Şirketler neden fidye yazılımı müzakerelerine katılmayı seçiyor?
Bu sorunun basit bir cevabı yok. Hükümetler ve kolluk kuvvetleri genellikle ödemeye karşı tavsiyelerde bulunur, bunu yapmanın sadece siber suç döngüsünü güçlendirmekle kalmayıp aynı zamanda organize suçu finanse ettiğini ve potansiyel olarak devlet destekli siber operasyonları desteklediğini savunur.
Ancak diğerleri, ilk sorumluluğun kuruluşu ve paydaşlarını korumak olduğunu söylüyor. O anda, etik ve hayatta kalmakla ilgili daha az.
Birçoğu için, fidye ödemek çevrimiçi olmanın en hızlı yolu gibi geliyor. Sistemler daha uzun süre kalırsa, maliyet o kadar yüksek olur.
Bazı durumlarda, ödeme tek seçenek olabilir. Yedeklemeler tehlikeye girmez veya kullanılamazsa, şirketlerin verilerine erişimi yeniden kazanmak için müzakere etmekten başka seçeneği olmayabilir.
Peki ya hastaneler? Hasta kayıtlarına erişemezlerse veya kamu hizmetleri gücü geri yükleyemezlerse, hayatlar tehlikede olur. Bu durumlarda, uzlaşma için çok az yer var. Bununla birlikte, değişim sağlık hizmeti verilerinin ihlali durumunda görüldüğü gibi, fidye ödemek kritik verilerin geri dönüşünü garanti etmez.
Mayıs 2021’de, ABD’nin büyük bir yakıt tedarikçisi olan Colonial Pipeline, Darkside fidye yazılımı grubu tarafından saldırıya uğradı. Operasyonları geri yüklemek için yakıt arzı aksaklıklarını en aza indirmek için, şirket fidye 5 milyon dolarlık bir fidye ödedi. Adalet Bakanlığı, koordineli soruşturma çabalarıyla fidye ödemesinin 2,3 milyon dolarlık ödemesini başarıyla kurtardı.
TANIUM’un baş güvenlik danışmanı Tim Morris şunları söyledi: “Eğer sadece yasal ve etik bir husus olsaydı, bir prensip meselesi olarak ödememelisiniz ve kolluk kuvvetleri bu yaklaşımı kabul edecektir. Bu, bazen, bir fidye yazılımı ödemesinin etik bir sorudan ziyade bir iş kararına geldiğini söyledi. Etik şey yapmak sadece ransom yazılımı ödemekten çok daha pahalıya mal olabilir.”
Profesyoneller süreci nasıl ele alıyor
Bir şirket müzakere etmeye karar verdiğinde, profesyoneller durumu yönetmek için adım atar. Olay müdahalesi ekipleri genellikle işleri kontrol altında tutmak için yasal, BT ve iletişim ekipleriyle birlikte çalışır.
Üçüncü taraf müzakereciler yaygın olarak getirilir. Bunlar, çok kolay vermeden saldırganlarla nasıl konuşulacağını bilen uzmanlardır. Müzakereleri profesyonel tutarlar ve veri kaybı riskini artırmadan fidye talebini düşürmeye çalışırlar.
Sygnia, İngiltere ve Kuzey Avrupa MD Azeem Aleem, “Üçüncü taraf yüksek yetenekli bir olay müdahale ekibi, geleneksel şirket içi güvenlik ekiplerinde eksik olabilecek tek bir çatı altında işletmelere çok sayıda uzmanlık sunabilir” dedi.
Saldırganlar genellikle bir senaryo izler. Bazıları ilk başta agresif davranır, daha sonra görüşmeler başladıktan sonra yararlı olmaya geçer. Hızlı bir ödeme almak için baskı ve korku kullanırlar. Verileri sızdırmak, fidye yükseltmek veya sahte son tarihler belirlemekle tehdit edebilirler. İyi müzakereciler panik yapmamayı biliyorlar.
Zaman sizin lehinize çalışabileceğinden, durdurma ortak bir taktiktir. Konuşmanın genişletilmesi, ekiplere yedeklemeleri geri yüklemeleri, yasal riskleri değerlendirmeleri veya kolluk kuvvetlerini içermesi için zaman tanır.
İlk talep nadiren kesindir. Yetenekli müzakereciler, saldırganı üzmeden daha düşük miktarlar sunar, indirim isteyin veya daha fazla zaman talep eder.
Herhangi bir ödemeden önce, müzakereciler örnek bir dosyanın açılmasını ister. Saldırganlar bunu yapamazsa, tüm müzakere parçalanabilir.
Bir fidye yazılımı saldırısına kolluk kuvvetlerini dahil etmek kritik bir adımdır, ancak zamanlama anahtardır. Yetkililer ne kadar erken bilgilendirilirse, saldırıyı soruşturma, suçluları tanımlama ve gelecekteki saldırıları önleme şansları o kadar iyi olur. Kolluk kuvvetleri genellikle saldırganlarla müzakere etmez, ancak süreç boyunca şirkete rehberlik etmeye yardımcı olabilirler.
Şirketler ayrıca siber sigorta poliçelerinin kolluk kuvvetlerini bilgilendirmeyi gerektirip gerektirmediğini kontrol etmelidir. Birçok politika bunu talep sürecinin bir parçası olarak içerir.
Bir Fidye Yazılımı Yanıt Planı Oluşturma
Hazırlık
Organizasyonların fidye yazılımı oyun kitabına ihtiyacı var. Bu plan, müzakerelere nasıl karar verileceği de dahil olmak üzere bir saldırıyı ele almak için adımlar atmalıdır. Önceden tanımlanmış bir çerçeve, ekiplerin bir kriz sırasında hızlı ve güvenle hareket etmesine yardımcı olur.
Masa üstü egzersizler
Simüle edilmiş fidye yazılımı saldırıları veya masa üstü egzersizleri, ekipleri gerçek olaylara hazırlar. Bu sahte matkaplar zayıflıkları belirlemeye ve karar almayı iyileştirmeye yardımcı olur. Ayrıca kilit oyuncuların yüksek basınçlı durumları ele almalarına izin verir.
“İşletmeler, olay müdahale planlarının veri hırsızlığının ortaya koyduğu benzersiz zorlukları ele almasını sağlamalıdır. Bu, potansiyel çifte gasp senaryolarına hazırlanmayı ve serpinmeyi müşteriler ve diğer paydaşlarla yönetmeye hazır olmayı içerir” dedi.
Fidye müzakereleri başarısız olduğunda
Aşağıdaki adımlar, fidye yazılımı saldırısının etkisini en aza indirmek için kuruluşların nasıl yanıt verebileceğini özetleyin:
Durumu değerlendir: Hangi sistemlerin etkilendiğini ve yedeklemelerin mevcut olup olmadığını belirleyin.
Egzersiz uzmanları: İhlali analiz etmek ve iyileşme çabalarına yardımcı olmak için siber güvenlik uzmanlarını dahil edin.
Sistemleri izole: Saldırının daha fazla yayılmasını önlemek için uzlaşmış cihazları ağdan ayırın.
Yetkililere bildirin: Olayı kolluk kuvvetlerine ve ilgili düzenleyici organlara gerektiği gibi bildirin.
Şeffaf bir şekilde iletişim kurmak: Paydaşları ihlal ve ele almak için atılan adımlar hakkında bilgilendirin.
Verileri kurtar: Tüm kötü amaçlı yazılımların ortadan kaldırılmasını sağlayarak sistemleri ve verileri geri yüklemek için temiz yedeklemeler kullanın.
Savunmaları güçlendirmek: Güvenlik önlemlerini, yama güvenlik açıklarını güncelleyin ve çalışanları gelecekteki olayları önlemek için eğitin.
İnceleyin ve Öğrenin: Zayıflıkları tanımlamak ve yanıt stratejilerini geliştirmek için bir Nefri sonrası analiz yapın.
Her seçenek acıtığında
Gördüğümüz gibi, bu müzakerelerde hiçbir kural yoktur, çünkü hırsızlar arasında onur yoktur. Bu grupların izlediği kalıplar taktiklerini geliştirirken değişiyor. Kimse bu durumlarda CISO’nun veya organizasyonun yerine olmak istemez.
Sonucu tahmin edemediğiniz için psikolojik baskı ezici olabilir ve hiçbir çözüm ideal değildir. Eğer öderseniz, şirketler para kaybeder. Eğer yapmazsanız, sadece verileri değil, aynı zamanda müşterilerinizin güvenini de kaybetme riskiyle karşı karşıya kalırsınız, bu da işletmenizin geleceği için daha da yıkıcı olabilir.