Fidye yazılımı geniş bir hatalı kitlesinin ilgisini çekmeye devam ederken tehditlerin uyarlanabilirliği ve kalıcılığı da artıyor. Hatalılar çalınan dataları kamuoyu önünde sergileyebildikleri sürece bu usulü kullanmayı sürdürüyor ve fidye yazılımı hata iktisadı için kıymetli bir gelir kaynağı olmaya devam ediyor. Siber güvenlik şirketi ESET, kuruluşların fidye yazılımı tehdidi için almaları gereken savunma tedbirleri ile ilgili bilgilendirmede bulundu.
Siber cürümler yaşanan devrin özelliklerine ve teknolojinin gelişimine nazaran değişiyor. Siber şantaj, daha geniş bir cürüm kategorisi olarak kalıcılığını kanıtlamış olsa da en ziyanlı tiplerinden biri olan fidye yazılımı artık sadece şifreleme ile hudutlu değil. Geçmişte saldırganlar belge yahut sistemleri kilitleyerek şifre çözme anahtarı karşılığında ödeme talep ederken son yıllarda kampanyalar şifrelemeyi bilgi sızdırma ve çalınan bilgileri yayımlama tehditleriyle birleştiriyor. Bu noktada özel sızıntı siteleri yahut bilgi sızıntı siteleri (DLS’ler) devreye giriyor. Birinci olarak 2019’un sonlarında ortaya çıkan bu siteler, çift şantaj stratejisinin bel kemiği hâline geldi. Tehdit aktörleri kurumsal dataları şifrelemeden evvel çalıyor ve akabinde bu dataları kamuya açık formda kullanarak bir güvenlik olayını direkt bir krize dönüştürüyor.
Fidye yazılımı artık sadece sistemlerin kilitlenmesi değil, birebir vakitte data hırsızlığı ve şantaj sorunu olarak bedellendiriliyor. Kamuya açık takip projeleri de bu eğilimi doğrulasa da sızıntı sitelerinin sırf hatalıların duyurmayı seçtiği olayları yansıttığı, gerçek kurban sayısının daha yüksek olabileceği belirtiliyor.
Veri sızıntı siteleri nasıl kullanılıyor?
Dark web üzerinde barındırılan ve Tor ağı üzerinden erişilen bilgi sızıntı siteleri, çoklukla çalınan bilgilerin bir kısmını yayımlıyor. Ödeme yapılmazsa tüm dataların açıklanacağı tehdidinde bulunuyor. Kimi durumlarda kurban ödeme yapmayı reddettiğinde bilgiler yayımlanıyor ve baskı daha da artıyor. Kurbanlara ilişkin bilgiler, çalınan datanın kapsamı ve belirlenen son tarihler bu stratejinin modülü olarak sunuluyor. Bu yaklaşımın yıkıcı tesiri, sürat ve görünürlükten kaynaklanıyor. Olay kamuoyuna duyurulduğu anda birden fazla risk tıpkı anda ortaya çıkıyor ve birden fazla vakit kuruluşlar akının kapsamını tam olarak anlamadan ağır belirsizlik altında kalıyor.
Veri sızıntı siteleri bu nedenle direkt bir baskı aracı olarak kullanılıyor. Saldırganlar blöf yapmadıklarını göstermek için çoklukla hudutlu ölçüde data yayımlıyor. Kurban ödeme yapmazsa daha fazlası paylaşılmaya devam ediyor. Ziyan birden fazla vakit birinci kurbanla hudutlu kalmıyor. Sızdırılan yahut tekrar satılan datalar kimlik avı, iş e-postası dolandırıcılığı ve kimlik sahtekârlığı üzere sonraki kabahatlerin kaynağı hâline geliyor. Tedarik zinciri olaylarında ihlal müşterilere ve iş ortaklarına kadar yayılabiliyor. Bu domino tesiri, fidye yazılımının münferit olaylar değil sistemik bir risk olarak değerlendirilmesinin nedenlerinden biri olarak görülüyor.
Sızıntı sitesinin her öğesi, ruhsal baskıyı en üst seviyeye çıkarmak için tasarlanıyor.
Yetkisiz erişimin kanıtı. Çeteler, akının gerçek olduğunu ve tehdidin inandırıcı olduğunu göstermek için mukaveleler ve şirket içi e-postalar üzere örnek evraklar yayımlar.
Aciliyet: Zamanlayıcılar ve geri sayımlar, vaktin dolmakta olduğu hissini uyandırır zira vakit baskısı altında alınan kararlar ekseriyetle saati denetim eden tarafın lehine olur.
Kamuya ifşa: Çalınan bilgiler hiçbir vakit kamuya açıklanmasa bile ihlalle ilişkilendirilmek bile prestij kaybına neden olur ve bu zararın giderilmesi yıllar alabilir.
Yasal risk: Giderek genişleyen eyalet seviyesindeki saklılık kanunları üzere çerçeveler altında, ferdî dataları içeren doğrulanmış bir ihlal, mecburî açıklamalar, soruşturmalar ve para cezalarına yol açabilir.
Geniş tesirler ve kalıcı sonuçlar
Veri sızıntısı ihtimali; prestij kaybı, müşteri itimadının zedelenmesi, finansal ziyanlar ve yasal yaptırımlar üzere çok sayıda riski birebir anda tetikliyor. Çalınan dataların satılması hata iktisadını besliyor ve yeni atakların önünü açıyor. Birtakım kümelerin şifrelemeyi büsbütün atlayarak sırf data ele geçirip yayımlama tehdidiyle şantaj yaptığı da görülüyor.
Kurban durumunda olan kuruluşlar birçok vakit kâfi kıymetlendirme mühleti olmadan karar vermek zorunda kalıyor. İhlalden etkilenen bireyler ise uzun süren paklık süreçleri, hesap ele geçirmeleri ve kimlik dolandırıcılığı üzere risklerle karşılaşıyor. Fidyeyi ödemek kolay bir tahlil üzere görünse de belgelerin geri alınacağını ya da bilgilerin saklı kalacağını garanti etmiyor. Ödeme yapan birçok kuruluşun kısa müddet içinde tekrar hücuma uğradığı biliniyor ve yapılan her ödeme yeni taarruzların finansmanına katkı sağlıyor.
Kuruluşlar için fidye yazılımı tehdidi kapsamlı savunma tedbirleri gerektirir:
- EDR/XDR/MDR özelliklerine sahip gelişmiş güvenlik tahlilleri kullanmak. Bu tahliller, yetkisiz süreç yürütme ve kuşkulu yanal hareket üzere olağandışı davranışları izleyerek tehdidi anında durdurur.
- İyi tanımlanmış, sıkı erişim denetimleriyle yanal hareketleri kısıtlama. Sıfır İtimat prensipleri, rastgele bir varlık için varsayılan inanç varsayımlarını ortadan kaldırarak şirketin güvenlik durumunu güçlendirir.
- Tüm yazılımların şimdiki tutulması. Bilinen güvenlik açıkları, fidye yazılımı aktörleri için en önemli giriş vektörlerinden biridir.
- Fidye yazılımının erişemeyeceği yahut değiştiremeyeceği, izole edilmiş, hava boşluğu olan ortamlarda yedeklemeler saklayın. Fidye yazılımının birincil gayesi, hassas dataları bulmak ve şifrelemektir. Güçlü yedeklemeler ve fidye yazılımı giderme yetenekleri, tehdidin neden olduğu hasarı azaltmada büyük rol oynar.
- İyi tasarlanmış güvenlik farkındalığı eğitimleriyle tesirli bir savunma bariyeri oluşturulabilir. Berbat maksatlı e-postaları erken tespit edebilen bir çalışan, fidye yazılımı aktörlerinin en sevdiği giriş noktalarından birini ortadan kaldırır ve bu tek başına, tüm kuruluşunuzu mağdur eden bir akın riskini değerli ölçüde azaltabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
