Trace Id is missing

Şantaj Ekonomisi

İndir
Paylaş
Renkli çember ve noktalarla dolu beyaz bir labirent

Siber Sinyaller Sayı 2: Fidye yazılımının yeni iş modeli

Fidye yazılımı, manşetlerde yer alan bir konu olmaya devam etse de aslında bir de siber suç ekonomisinin bu kısmını yöneten, nispeten daha küçük ve bağlantılı bir oyuncu ekosistemi mevcut. Siber suç ekonomisinde yaşanan uzmanlaşma ve konsolidasyon, hizmet olarak fidye yazılımının (RaaS) baskın bir iş modeli haline gelmesini sağlayarak teknik uzmanlıkları ne olursa olsun, daha geniş bir suçlu yelpazesinin fidye yazılımı dağıtmasına olanak tanıdı.
Fidye yazılımı saldırılarının yüzde 80'inden fazlası yazılım ve cihazlardaki yaygın yapılandırma hatalarından kaynaklanmaktadır.1

Microsoft Güvenlik Kurumsal Başkan Yardımcısı Vasu Jakkal'ın, fidye yazılımı ekonomisi ve kurumların kendilerini nasıl koruyabilecekleri konusunda en iyi tehdit analizi uzmanlarıyla röportaj yaptığı Siber Sinyaller dijital brifingini izleyin.

Dijital bilgilendirme: Fidye yazılımı ekonomisinden korunmak

Yeni iş modeli savunma tarafı için yeni içgörüler sunuyor

Tıpkı birçok sektörün verimlilik için kiralık işçilere yönelmesi gibi, siber suçlular da saldırıları kendileri gerçekleştirmek yerine karın bir kısmı karşılığında fidye yazılım araçlarını kiralıyor ya da satıyor.

Hizmet olarak Fidye Yazılımı, siber suçluların Fidye Yazılımı yüklerine ve veri sızıntısına erişimin yanı sıra ödeme altyapısını da satın almasına olanak tanır. Fidye yazılımı "çeteleri", gerçekte Conti veya REvil gibi RaaS programlarıdır ve RaaS programları ve yükleri arasında geçiş yapan birçok farklı aktör tarafından kullanılırlar.

RaaS bu alana girişi kolaylaştırır ve fidye yazılımının arkasındaki saldırganların kimliğini gizler. Bazı programların; farklı araç, çalışma yöntemi ve hedeflere sahip 50'den fazla kullanıcısı yani kendi tabirleriyle "iştiraki" bulunur. Tıpkı arabası olan herkesin bir araç paylaşım hizmeti verebilmesi gibi dizüstü bilgisayarı ve kredi kartı olan ve sızma testi araçları ya da kullanıma hazır kötü amaçlı yazılımlar için karanlık web'de arama yapmak isteyen herkes de bu sisteme katılabilir.

Siber suçun bu şekilde endüstrileşmesi, ağlara erişim satan erişim simsarları gibi uzmanlaşmış roller de ortaya çıkardı. Her bir saldırıda genellikle izinsiz girişin farklı aşamalarında görev alan birden fazla siber suçlu yer alıyor.

RaaS setleri karanlık web'de kolayca bulunabilir ve internette normal ürünler için verilen reklamlar gibi bunlar için de reklam verilebilir.

Bir RaaS setinin içinde müşteri hizmetleri desteği, paket teklifler, kullanıcı yorumları, forumlar ve diğer özellikler bulunabilir. Siber suçlular bir RaaS seti için belirli bir fiyat öderken ortaklık modeli altında RaaS satan diğer gruplar kardan pay alır.

Fidye yazılımı saldırıları, ağların yapılandırmalarına dayalı kararlar içerir ve fidye yazılımı yükü aynı olsa bile her kurban için farklılık gösterir. Bunlar, veri sızıntısı ve başka etkileri olabilecek bir saldırının zirve noktasıdır. Siber suç ekonomisinin bağlantılı doğası nedeniyle ilk bakışta ilgisiz gibi görünen izinsiz girişler aslında birbirlerine destek olabilir. Parolaları ve çerezleri çalan kötü amaçlı yazılımlar fazla ciddiye alınmasa da siber suçlular, başka saldırıların yapılabilmesi için bu parolaları satmaktadır.

Bu saldırılar, kötü amaçlı yazılım bulaştırma veya bir güvenlik açığından yararlanmaya dayanan bir şablonla ilk erişimi gerçekleştirir ve ardından ayrıcalıkları yükseltmek ve yatay hareket etmek için kimlik bilgilerini çalar. Endüstrileşme sayesinde, gelişmiş becerilere sahip olmayan ya da çok yönlü olamayan saldırganlar da üretken ve etkili fidye yazılımı saldırıları gerçekleştirebiliyor. Conti'nin kapatılmasından bu yana fidye yazılımı ortamında bazı değişimlere tanık olduk. Conti'yi kullanan bazı iştirakler, LockBit ve Hive gibi yerleşik RaaS ekosistemlerinin yüklerine geçerken diğerleri aynı anda birden fazla RaaS ekosisteminin yüklerini kullandı.

QuantumLocker ve Black Basta gibi yeni RaaS'lar Conti'nin kapatılmasıyla ortaya çıkan boşluğu dolduruyor. Fidye yazılımı haberlerinin çoğu, aktörler yerine yüklere odaklandığından bu yük değişimi muhtemelen hükumetlerin, kolluk kuvvetlerinin, medyanın, güvenlik araştırmacılarının ve savunucuların saldırıların arkasında kimin olduğu konusunda kafalarını karıştıracak.

Fidye yazılımları hakkında araştırma yaparken sonsuz bir ölçeklendirme sorunu var gibi görünebilir. Oysa gerçekte sadece belirli teknikleri kullanan sınırlı sayıda aktör vardır.

Öneriler:

  • Kimlik bilgisi hijyeni oluşturun: Yatay hareketi sınırlandırmak için ağ segmentasyonu ile birlikte uygulanabilecek, ayrıcalıklara dayalı, mantıksal bir ağ segmentasyonu geliştirin.
  • Kimlik bilgilerinin korunma düzeyini denetleyin: Fidye yazılımı saldırılarının ve genel olarak siber suçların önlenmesinde kimlik bilgilerinin korunma düzeyinin denetlenmesi kritik önem taşır. BT güvenlik ekipleri ve SOC'ler, yönetici ayrıcalıklarını azaltmak ve kimlik bilgilerinin hangi düzeyde korunduğunu anlamak için birlikte çalışabilir.
  • Saldırı yüzeyini azaltın: Fidye yazılımı saldırılarında kullanılan yaygın saldırı tekniklerini önlemek için saldırı yüzeyini azaltma kuralları oluşturun. Gözlemlediğimiz, fidye yazılımı ile ilişkili çeşitli etkinlik grupların yaptığı saldırılarda, açıkça tanımlanmış kurallara sahip kurumlar, klavyeyi ele geçirme eylemlerini önlerken yapılan saldırıların sayısını da ilk aşamalarında azaltmayı başarmıştır.

Siber suçlular, saldırı stratejilerine çifte şantajı da ekledi

Fidye yazılımlarının amacı, kurbandan zorla ödeme almaktır. Mevcut RaaS programlarının çoğu, buna ek olarak çaldıkları verileri de sızdırır, buna da çifte şantaj denir. Kesintiler tepkilere yol açtığı ve fidye yazılımı operatörleri, hükumetler tarafından giderek daha çok engellendiği için bazı gruplar fidye yazılımı yerine veri şantajının peşine düşmeye başladı.

Bu şantaj odaklı gruplara iki örnek olarak DEV-0537 (diğer adıyla LAPSUS$) ve DEV-0390’ı (eski bir Conti iştiraki) gösterebiliriz. DEV-0390, saldırılarına kötü amaçlı yazılımlar ile başlıyor ancak veri sızdırmak ve ödeme almak için yasal araçlar kullanıyor. Kurbana erişim sağlamak için Cobalt Strike, Brute Ratel C4 ve meşru Atera uzaktan yönetim yardımcı programı gibi sızma testi araçlarından yararlanıyorlar. Ayrıca kimlik bilgilerini çalarak ayrıcalıkları yükseltiyor, (genellikle kurumsal yedekleme ve dosya sunucularında) hassas verileri buluyor ve bir dosya yedekleme yardımcı programı kullanarak verileri bir bulut dosya paylaşım sitesine gönderiyorlar.

DEV-0537’nin ise hem stratejisi hem de çalışma yöntemi çok farklı. İlk erişimi, yeraltı suç dünyasından veya hedeflenen kurumlardaki çalışanlardan satın aldıkları kimlik bilgileri ile sağlıyorlar.

Sorunlar

  • Çalınan parolalar ve korunmayan kimlikler
    Saldırganlar başarılı olmak için kötü amaçlı yazılımlardan çok kimlik bilgilerine ihtiyaç duyarlar. Neredeyse tüm başarılı fidye yazılımı dağıtımlarında, saldırganlar bir kurumun ağına geniş bir erişim sağlayan ayrıcalıklı, yönetici düzeyinde hesaplara erişim elde eder.
  • Eksik veya devre dışı bırakılmış güvenlik ürünleri
    Gözlemlenen hemen hemen her fidye yazılımı olayında, saldırıda istismar edilen sistemlerin en az birinde, saldırganların belirli korumalarla oynamasına veya bunları devre dışı bırakmasına izin veren eksik veya yanlış yapılandırılmış güvenlik ürünleri vardı.
  • Yanlış yapılandırılan veya istismar edilen uygulamalar
    Siz popüler bir uygulamayı belli bir amaçla kullanıyor olabilirsiniz ama bu, suçluların onu başka amaç taşıyan bir silaha dönüştüremeyeceği anlamına gelmez. Çoğu zaman "eski" yapılandırmalar, bir uygulamanın varsayılan durumda olduğu ve tüm kullanıcılara, kurumun her tarafında geniş bir erişim izni verdiği anlamına gelir. Bu riski göz ardı etmeyin ve uygulamanın kesintiye uğraması korkusuyla ayarlarını değiştirmekten çekinmeyin.
  • Adım adım düzeltme ekleri uygulama
    Belki “Sebze yemen lazım!” kadar klişe ama bu önemli bir gerçek: Yazılımları güçlendirmenin en iyi yolu güncelleştirmektir. Bazı bulut tabanlı uygulamalar, kullanıcının bir şey yapmasına gerek olmadan güncelleştirmeleri alsa da diğer satıcı yamalarının, şirketlerce derhal uygulanması gerekir. 2022 yılında Microsoft, saldırılarda birincil etkenin, hala eski güvenlik açıkları olduğunu gözlemlemektedir.
  • Çalınan parolalar ve korunmayan kimlikler
    Saldırganlar başarılı olmak için kötü amaçlı yazılımlardan çok kimlik bilgilerine ihtiyaç duyarlar. Neredeyse tüm başarılı fidye yazılımı dağıtımlarında, saldırganlar bir kurumun ağına geniş bir erişim sağlayan ayrıcalıklı, yönetici düzeyinde hesaplara erişim elde eder.
  • Eksik veya devre dışı bırakılmış güvenlik ürünleri
    Gözlemlenen hemen hemen her fidye yazılımı olayında, saldırıda istismar edilen sistemlerin en az birinde, saldırganların belirli korumalarla oynamasına veya bunları devre dışı bırakmasına izin veren eksik veya yanlış yapılandırılmış güvenlik ürünleri vardı.
  • Yanlış yapılandırılan veya istismar edilen uygulamalar
    Siz popüler bir uygulamayı belli bir amaçla kullanıyor olabilirsiniz ama bu, suçluların onu başka amaç taşıyan bir silaha dönüştüremeyeceği anlamına gelmez. Çoğu zaman "eski" yapılandırmalar, bir uygulamanın varsayılan durumda olduğu ve tüm kullanıcılara, kurumun her tarafında geniş bir erişim izni verdiği anlamına gelir. Bu riski göz ardı etmeyin ve uygulamanın kesintiye uğraması korkusuyla ayarlarını değiştirmekten çekinmeyin.
  • Adım adım düzeltme ekleri uygulama
    Belki “Sebze yemen lazım!” kadar klişe ama bu önemli bir gerçek: Yazılımları güçlendirmenin en iyi yolu güncelleştirmektir. Bazı bulut tabanlı uygulamalar, kullanıcının bir şey yapmasına gerek olmadan güncelleştirmeleri alsa da diğer satıcı yamalarının, şirketlerce derhal uygulanması gerekir. 2022 yılında Microsoft, saldırılarda birincil etkenin, hala eski güvenlik açıkları olduğunu gözlemlemektedir.

Eylemler

  • Kimlikleri doğrulayın Yönetici rollerine ve diğer hassas rollere öncelik vererek tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın. Hibrit bir iş gücünüz varsa tüm cihazlarda, tüm konumlarda ve her zaman MFA'yı zorunlu kılın. Destekleyen uygulamalar için FIDO anahtarları veya Microsoft Authenticator gibi parolasız kimlik doğrulamayı etkinleştirin.
  • Güvenlik kör noktalarıyla ilgilenin
    Tıpkı duman alarmları gibi güvenlik ürünleri de doğru alanlara kurulmalı ve sık sık test edilmelidir. Güvenlik araçlarının en güvenli yapılandırmada çalıştığından ve ağın hiçbir bölümünün korumasız olmadığından emin olun.
  • İnternete açık varlıklarınızı güçlendirin
    Riskli, kullanılmayan hizmetleri ortadan kaldırmak için yinelenen veya kullanılmayan uygulamaları silmeyi düşünün. TeamViewer gibi uzaktan yardım masası uygulamalarına nerede izin verdiğinize dikkat edin. Bunlar, dizüstü bilgisayarlara hızlı erişim sağlamak için tehdit aktörleri tarafından hedef alınmaktadır.
  • Sistemleri güncel tutun
    Yazılım envanterini sürekli bir süreç haline getirin. Neleri çalıştırdığınızı takip edin ve bu ürünler için desteğe öncelik verin. Bulut tabanlı hizmetlere geçişin faydalı olduğu noktaları tespit etmek için hızlı ve kesin yama yapma becerinizi kullanın.

Modern teknoloji ekosistemlerinde kimliklerin ve güven ilişkilerinin birbirine bağlı doğasını anlayan saldırganlar; telekomünikasyon, teknoloji, BT hizmetleri ve destek şirketlerini hedef alıp bir kuruma erişim sağladıktan sonra bunu kullanarak kurumun ortaklarının veya tedarikçilerinin ağlarına da giriş yapar. Sadece şantaj amaçlı saldırılar, ağ savunucularının son aşama fidye yazılımlarının ötesine bakmaları ve hem veri sızıntısı hem de yatay hareketleri yakından takip etmeleri gerektiğini göstermektedir.

Bir tehdit aktörü, bir kurumdan, verilerini ifşa etmemek için para almayı planlıyorsa bu saldırı stratejisinin en önemsiz ve değersiz parçası fidye yazılımı yüküdür. Nihayetinde, operatörler neyi kullanacaklarını kendileri seçer ve fidye yazılımları, her zaman her tehdit aktörünün peşine düşeceği kadar yüksek bir getiriye sahip değildir.

Her sofistike saldırının kaçınılmaz sonucu fidye yazılımı ya da çifte şantajmış gibi görünse de fidye yazılımı önlenebilir bir felakettir. Saldırganların, güvenlik açıklarından faydalanıyor olması, siber hijyene yapılan yatırımların epey faydalı olacağı anlamına gelir.

Microsoft'un benzersiz görünürlüğü, bize tehdit aktörlerinin etkinliklerine göz atabileceğimiz bir pencere açıyor. Forum gönderilerine veya sohbet sızıntılarına güvenmek yerine, güvenlik uzmanlarından oluşan ekibimiz yeni fidye yazılımı taktiklerini inceliyor ve güvenlik çözümlerimize bilgi veren tehdit analizleri geliştiriyor.

Cihazlar, kimlikler, uygulamalar, e-posta, veriler ve bulut genelinde bütünleşik tehdit koruması, tek bir siber suçlu grubu olduğu halde birden fazla aktörmüş gibi etiketlenebilecek saldırıları tespit etmemize yardımcı oluyor. Teknik, hukuki ve ticari uzmanlardan oluşan Dijital Suçlar Birimimiz, siber suçları engellemek için kolluk kuvvetleriyle birlikte çalışmaya devam ediyor

Öneriler:

Bulutu güçlendirin: Saldırganlar bulut kaynaklarına yöneldikçe şirket içi hesapların yanı sıra bu kaynakların ve kimliklerin güvenliğini sağlamak da önem kazanır. Güvenlik ekiplerinin; güvenlik kimlik altyapısını güçlendirmeye, tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmaya ve bulut yöneticilerine/kiracı yöneticilerine etki alanı yöneticileriyle aynı düzeyde güvenlik ve kimlik bilgisi hijyeni sağlamaya odaklanması gerekir.
İlk erişimi önleyin: Makroları ve komut dosyalarını yöneterek ve Saldırı Yüzeyi Azaltma Kurallarını etkinleştirerek kodların yürütülmesine engel olun.
Güvenlik kör noktalarını kapatın: Kurumların, güvenlik araçlarının optimum yapılandırmada çalıştığını doğrulaması ve bir güvenlik ürününün tüm sistemleri koruduğundan emin olmak için düzenli ağ taramaları gerçekleştirmesi gerekir.

Microsoft'un ayrıntılı önerilerini  https://go.microsoft.com/fwlink/?linkid=2262350 başlıklarında bulabilirsiniz.

Tehdit Analisti Emily Hacker'dan ekibinin hizmet olarak değişen fidye yazılımı ortamını nasıl takip ettiğini dinleyin.

Microsoft’un Dijital Suçlar Birimi (DCU):
Temmuz 2021 ile Haziran 2022 arasında 531.000'den fazla benzersiz kimlik avı URL'sinin ve 5.400 kimlik avı setinin kaldırılmasını yöneterek çalınan müşteri kimlik bilgilerini toplamak için kullanılan 1.400'den fazla kötü amaçlı e-posta hesabının tespit edilmesini ve kapatılmasını sağladı.1
E-posta tehditleri:
Bir kimlik avı e-postasının kurbanı olmanız durumunda saldırganın özel verilerinize erişmesi için geçen ortalama süre 1 saat 12 dakikadır.1
Uç nokta tehditleri:
Bir cihazın ele geçirilmesi durumunda saldırganın kurumsal ağınızda yatay harekete başlaması için geçen ortalama süre 1 saat 42 dakikadır.1
  1. [1]

    Metodoloji: Anlık görüntü verileri için Defender ve Azure Active Directory dahil olmak üzere Microsoft platformları ve Dijital Suçlar Birimimiz, tehdit etkinliği hakkında kötü amaçlı e-posta hesapları, kimlik avı e-postaları ve ağlardaki saldırgan hareketleri gibi anonimleştirilmiş veriler sağlamıştır. Ek içgörüler; bulut, uç noktalar, akıllı uç ve Güvenlik İhlalinden Kurtarma Uygulaması ile Algılama ve Yanıt Ekiplerimiz dahil olmak üzere, Microsoft genelinde günlük olarak alınan 43 trilyon güvenlik sinyalinden elde edilmiştir.

Siber Sinyaller Siber destek Fidye yazılımı Tehdit Aktörleri

Uzman Profili: Emily Hacker

Tehdit Analizi Analisti Emily Hacker, ekibinin hizmet ortamı olarak değişen fidye yazılımı konusunda nasıl bilgi sahibi olduğunu ve fidye yazılımı öncesi aktörlerin yakalanmasına yardımcı olmak için aldıkları önlemleri anlatıyor.
Daha fazla bilgi edinin

Siber Sinyaller: Sayı 3: Büyüyen IoT ve OT’ye yönelik risk

IoT'nin artan dolaşımı, bir dizi potansiyel güvenlik açığı ve tehdit aktörlerine maruz kalma nedeni ile OT'yi riske atıyor. Kurumunuzu nasıl güvende tutabileceğinizi öğrenin
Daha fazla bilgi edinin

Siber Sinyaller: Sayı 1

Yeni savaş alanı, kimlik. Gelişen siber tehditler ve kurumunuzu daha iyi korumak için atmanız gereken adımlar hakkında bilgi edinin.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin