Saldırganlar, fidye yazılımı saldırılarına erişim sağlamak için çalınan kimlik bilgilerini kullanır veya yazılım açıklarından yararlanır; bu da ilk enfeksiyon yöntemini etkiler.
Araştırmada, geçen yıl fidye yazılımının saldırısına uğrayan küçük ve orta ölçekli işletmelerdeki BT uzmanlarına anket uygulandı.
İstismar edilen güvenlik açıklarının genellikle daha yüksek maliyetlerle daha ciddi saldırılara yol açtığını, güvenliği ihlal edilen kimlik bilgilerinin ise daha az zararlı enfeksiyonlarla sonuçlanabileceğini buldular. Ayrıca bu farklı giriş noktalarından en çok etkilenen sektörleri de belirlediler.
Düzeltme eki uygulanmamış güvenlik açıklarından yararlanan fidye yazılımı kullanan saldırılar, çalıntı kimlik bilgileri kullanan saldırılardan daha zarar vericidir.
Bu saldırılardan etkilenen kuruluşlar, daha yüksek oranlarda güvenliği ihlal edilmiş yedeklemeler, şifrelenmiş veriler ve fidye ödemeleriyle karşılaştı; bu da önemli ölçüde daha yüksek kurtarma maliyetlerine ve daha uzun kurtarma sürelerine neden oldu.
Sebepler tam olarak anlaşılmasa da, güvenlik açıklarından yararlanan saldırganların daha yetenekli olabileceği ve fidye yazılımı risklerini azaltmak için yazılıma yama uygulanmasının öneminin vurgulanmasıyla daha kapsamlı bir uzlaşmaya yol açabileceği ileri sürülüyor.
Fidye Yazılım Saldırıları Yamasız Güvenlik Açıkları Yoluyla Yapılıyor
Fidye yazılımı saldırılarının neredeyse üçte biri yamalı güvenlik açıklarından yararlanıyor; yüzdesi sektöre göre değişiyor; enerji, petrol ve gaz ise büyük olasılıkla sınırlı yama seçeneklerine sahip daha eski, daha savunmasız teknolojilere güvenilmesinden dolayı (saldırıların %49’u) en ağır darbelerden etkileniyor.
Yamalar mevcut olsa bile, son saldırıların yarısından fazlası (%55) ProxyShell ve Log4Shell gibi bilinen güvenlik açıklarını içeriyordu; bu güvenlik açıklarında saldırı riski, daha büyük saldırı yüzeyine sahip karmaşık BT ortamlarının yönetilmesi ve etkin bir şekilde yama uygulanması zorlaştığından organizasyon boyutu arttıkça da artar.
Sophos tarafından yapılan bir analiz, güvenlik açıklarından yararlanan fidye yazılımı saldırılarının, çalıntı kimlik bilgileri kullananlara göre daha zarar verici olduğunu gösteriyor.
Güvenlik açığından yararlanma yöntemi, her üç açıdan da daha kötü sonuçlara yol açtı: yedeklemelerin tehlikeye atılması, verilerin şifrelenmesi ve fidye ödemelerinin alınması.
Saldırganların her iki yöntemde de yedeklemeleri hedefleme olasılığı aynıdır ancak güvenlik açıklarından yararlanırken daha sık (%75’e karşı %54) başarılı olurlar; bu da ya daha yüksek saldırgan becerisine ya da daha zayıf yedekleme korumasına işaret eder.
Veri şifreleme ayrıca, muhtemelen saldırganın becerisinden veya genel olarak daha zayıf savunmalardan kaynaklanan güvenlik açıklarından yararlanıldığında önemli ölçüde artar (%67’ye karşı %43); şifrelenmiş verilere sahip kuruluşların, yedekler alındığında fidyeyi ödeme olasılıkları daha yüksektir (%71’e karşı %45). kritik verileri kurtarma baskısını vurgulayarak tehlikeye girdi.
Yamasız güvenlik açıklarından yararlanan fidye yazılımı saldırılarının, çalıntı kimlik bilgileri kullananlara göre önemli ölçüde daha pahalı ve yıkıcı olduğu tespit edildi.
Fidye tutarları benzer olsa da, giriş noktası ele geçirilen kimlik bilgileri olduğunda kuruluşların fidyenin tamamını kendilerinin ödemek zorunda kalma olasılığı çok daha düşüktü.
Tam kurtarma önemli ölçüde daha uzun sürdü (kurbanların %45’i için bir aydan fazla) ve güvenlik açıklarından yararlanıldığında dört kat daha fazla maliyete neden oldu (3 milyon ABD Doları’na karşı 750 bin ABD Doları). Bunun nedeni, muhtemelen güvenlik açıklarını yamalamanın ve hasarlı sistemleri geri yüklemenin, tehlikeye atılmış kimlik bilgilerini sıfırlamaktan daha karmaşık olmasıdır.