INFOSEC23 – Londra – Fidye yazılımı kadar ısrarlı bir şekilde yaygın olan bir tehditle, mitler ve yanlış anlamalar birlikte ortaya çıkmaya mahkumdur. Bitdefender’ın teknik pazarlama müdürü Richard de la Torre, bu haftaki Infosecurity Europe konferansında podyumda geçirdiği zamanı, daha yaygın olanlardan bazılarını sıralamak ve ortadan kaldırmak için kullandı.
De la Torre’nin listesindeki bazı maddeler çoğu güvenlik uygulayıcısı için muhtemelen çok tanıdık olsa da, iş verilerinin bu çok yaygın rehin alınmasıyla mücadele etme yeteneğinin olmadığına dair bir fidye yazılımı yanlış algısından bahsediyor. Doğru değil – proaktif kuruluşlar giderek daha fazla şifre çözücü kullanıyor ve ayrıca saldırıları önlemek veya kesintiye uğratmak için tehdit istihbaratını daha stratejik bir şekilde kullanıyor, diye ekliyor.
Hizmet olarak fidye yazılımına ve daha önde gelen fidye yazılımı olaylarına yönelik tüm endişe ve ilgiye rağmen de la Torre, fidye yazılımı saldırı vektörlerinin nispeten basit kaldığını iddia ediyor. “Tehdit süreci değişmedi ve erişim kimlik avı saldırılarıyla başlıyor” diyor.
Fidye Yazılımı Büyük Bir İştir
Tüm söylenenler, çoğu kuruluş, fidye yazılımlarının bazen devlet destekli bir operatöre sahip RaaS iş modeli tarafından turboşarj edilerek büyük şirketlere dönüştüğünü hâlâ kavrayamadı. Operatör, fidye yazılımı kodunu çeşitli şekillerde satın alır, geliştirir ve yeniden satar ve genellikle ağlara sızan bağlı kuruluşlar, genellikle bilgisayar korsanları tutar. Daha sonra kötü amaçlı yazılım yerleştirirler, bir komuta ve kontrol (C&C) sunucusu kurarlar, fidye yazılımını patlatırlar ve fidye toplarlar.
“Bunlar, erişim simsarları, veri madencileri ve İK ekipleri kiralayan ve karanlık ve derin Web’de işe alan milyarlarca dolarlık kuruluşlar” diyor.
Başka bir yanılgı, kuruluşların bir fidye yazılımı bulaşmasına hızlı bir şekilde yanıt vermesi gerektiği ve bu sürenin, iş verilerinin şifrelenmesini ve kaybını önlemek için çok önemli olduğudur. De la Torre, bunun birkaç yıl önce doğru olmasına rağmen, zamanın değiştiğini belirtiyor. Saldırganların çoğu artık veri hırsızlığına daha fazla odaklanıyor ve “gerçek fidye yazılımı, [attackers] veri sızdırma.”
Daha yaygın olarak, saldırganlar bir ağın içinde günlerce hatta aylarca yanal hareket ederek bir kuruluşun siber sigortası olup olmadığını görmek, önemli müşterileri belirlemek ve en zengin veri kümelerinin nerede olduğunu belirlemek için keşif yapar.
De la Torre, saldırganların yalnızca büyük hedeflerin peşinden gitmelerinin yanlış bir kanı olduğunu da söylüyor. Daha büyük kuruluşların SOC ekipleri ve siber güvenliğe adanmış daha fazla kaynağı olduğundan, çoğu fidye yazılımı saldırısı genellikle küçük kuruluşları hedef alır. Ancak daha küçük hedefler ödül değil, sadece bir atlama taşı. Daha sık olarak, fidye yazılımı saldırganları “arka kapı olarak bir tedarik zinciri aracılığıyla daha büyük kuruluşlarla bağlantıları olan daha küçük kuruluşları hedefler” diye açıklıyor.
De la Torre, savunma açısından, kimlik avı e-postalarını durdurmak için e-posta güvenliği ve “örneğin Azure’da bir değişiklik olduğunda algılamak” için iyi bir algılama ve yanıtla derinlemesine iyi bir savunma yapılmasını önerdi. “Kurcalamaya dayanıklı ve ondan kurtulabileceğiniz bir şey istiyorsunuz.”