Trace Id is missing

Hizmet olarak fidye yazılımı: Endüstrileşmiş siber suçların yeni yüzü

Paylaş
Bir çizgi üzerinde üst üste bindirilmiş ve birbirlerine doğru farklı yolları işaret eden iki ok

 Siber suç dünyasının en yeni iş modeli olan, insanlar tarafından yürütülen saldırılar, beceri seviyeleri fark etmeksizin tüm suçluların elini güçlendiriyor.

En ısrarcı ve yaygın siber tehditlerden biri olan fidye yazılımları gelişmeye devam ediyor ve geldiği son nokta, dünyanın her yerindeki kurumlar için tehlike arz etmeye başladı. Fidye yazılımının geçirdiği evrimin, teknolojideki gelişmelerle bir ilgisi yok. O, bunun yerine yeni bir iş modelinden güç alıyor: hizmet olarak fidye yazılımı (RaaS).

Hizmet olarak fidye yazılımı (RaaS), şantaj operasyonları için gereken araçları geliştiren ve kullanan bir operatör ile fidye yazılımı yükünü dağıtan bir iştirak arasında gerçekleşen bir anlaşmadır. İştirak, başarılı bir fidye yazılımı ve şantaj saldırısı gerçekleştirdiğinde iki taraf da bundan fayda sağlar.

RaaS modeli sayesinde kendi araçlarını geliştirecek beceriden ya da teknik araçlardan yoksun olduğu halde saldırı gerçekleştirmek için hazır sızma testlerini ve sistem yöneticisi araçlarını yönetebilen saldırganlar da bu işe başlayabilir. Bu düşük seviye suçlular, bir çevreyi aşmayı zaten başarmış daha sofistike bir suçlu grubundan ağ erişimi satın alma yoluna da gidebilirler.

RaaS iştirakleri daha sofistike operatörlerin sağladığı fidye yazılımı yüklerini kullanıyor olsalar da aynı fidye yazılımı “çetesinin” bir parçası değildirler. Onları daha çok, siber suç ekonomisinde faaliyet gösteren farklı kuruluşlar olarak değerlendirebiliriz.

Siber suçluların yeteneklerini geliştirmek ve siber suç ekonomisini büyütmek

Hizmet olarak fidye yazılımı modeli, daha yeteneksiz suçluların başarabileceklerinin hızla artırılmasını ve sanayileşmesini kolaylaştırdı. Eskiden bu suçlular, kendi oluşturdukları ya da satın aldıkları kötü amaçlı yazılımları kullanarak küçük ölçekli saldırılar gerçekleştiriyordu ancak artık RaaS operatörlerinden, elbette ücreti karşılığında, ihtiyaçları olan her şeyi temin edebiliyorlar: erişimden ağlara ve fidye yazılımı yüklerine kadar. Birçok RaaS programı bunlara ek olarak şifre çözme müzakeresi, ödeme baskısı ve kripto para birimi işlem hizmetlerinin yanı sıra sızıntı sitesi barındırma ve fidye notları ile bütünleştirme gibi şantaj destek teklifleri de sunuyor.

Bu da saldırganın yetenek seviyesi ne olursa olsun başarılı fidye yazılımı ve şantaj saldırılarının etkilerinin değişmemesi demek.

Ağdaki güvenlik açıklarını keşfetmek ve bunlardan yararlanmak... tabii ücret karşılığında

RaaS operatörlerinin, iştiraklerine değer sağlamasının bir yolu da ele geçirilen ağlara erişim sunmaktır. Erişim aracıları, ele geçirip ileride kar etmek için saklayacakları savunmasız sistemler bulmak için interneti tarar.

Saldırganların, başarılı olmak için kimlik bilgilerine ihtiyacı vardır. Ele geçirilen kimlik bilgileri, bu saldırılar için o kadar önemlidir ki siber suçlular ağ erişimi sattıklarında çoğu zaman bu fiyat karşılığında bir yönetici hesabı da garanti edilir.

Suçluların, elde ettikleri erişimle ne yapacakları, gruplara ve iş yükleri ya da motivasyonlarına göre oldukça büyük bir çeşitlilik gösterebilir. Bu nedenle de ilk erişimle klavye kontrolü arasında, dakikalar ya da günler hatta daha uzun bir süre geçebilir ancak şartlar elverişli olduğu anda zarar, oldukça hızlı bir şekilde verilecektir. Hatta ilk erişimle tam fidye arasındaki sürenin (erişim aracısından RaaS iştirakine iletim dahil) bir saatten az sürdüğü de gözlemlenmiştir.

Ekonomiyi hareket halinde tutmak: sürekli ve sinsi erişim yöntemleri

Saldırganlar bir ağa erişim sağladıklarında, fidyelerini aldıktan sonra dahi ayrılmak istemezler. Hatta fidyeyi ödemek, etkilenen ağdaki riski azaltmak yerine sadece sistemden uzaklaştırılana dek farklı kötü amaçlı yazılımlar ve fidye yazılımı yükleriyle para istemeye devam etmesi muhtemel olan siber suçlulara kaynak sağlamakla sonuçlanabilir.

Siber suç ekonomisinde geçişler meydana geldikçe farklı saldırganlar arasında gerçekleşen iletim; birden fazla etkinlik grubunun, bir fidye yazılımı saldırısında kullanılan araçlardan farklı, çeşitli yöntemler kullanarak aynı ortamda kalabildiği anlamına gelir. Örneğin bir bankacılık truva atı tarafından elde edilen ilk erişim, bir Cobalt Strike dağıtımına yol açar ancak erişimi satın alan RaaS iştiraki, kampanyasını yürütmek için TeamViewer gibi bir uzaktan erişim aracı kullanmayı seçebilir.

Kötü amaçlı yazılım yerleştirmelerine karşı Cobalt Strike gibi yasal araçları ve ayarları kullanmak, tespit edilmekten kaçınmak ve bir ağda daha uzun süre yerleşik kalmak isteyen fidye yazılımı saldırganları arasında popüler bir tekniktir.

Bir diğer popüler saldırgan tekniği de yerelde ya da Active Directory'de, daha sonra sanal özel ağ (VPN) ya da Uzak Masaüstü gibi uzaktan erişim araçlarına eklenebilecek yeni arka kapı kullanıcı hesapları oluşturmaktır. Fidye yazılımı saldırganlarının Uzak Masaüstü'nü etkinleştirmek, protokolün güvenliğini azaltmak ve Uzak Masaüstü Kullanıcıları grubuna yeni kullanıcılar eklemek için sistemlerdeki ayarları düzenledikleri de gözlemlenmiştir.

RaaS saldırılarının nasıl planlandığını ve uygulandığını açıklayan akış diyagramı

Dünyanın en zorlu ve kurnaz düşmanlarıyla yüzleşmek

RaaS'ın, bu tehdidi bu kadar endişe verici kılan özelliklerinden biri, bilinçli ve hesaplı kararlar verebilen ve hedeflerine ulaşabilmek için, ağda buldukları şeylere göre saldırı modellerini değiştirebilen insan saldırganlara dayanmasıdır.

Microsoft, bu saldırı kategorisini engellenmesi gereken bir dizi kötü amaçlı yazılım yükü olarak değil, bir fidye yazılımı yüküyle sonuçlanan bir faaliyet zinciri olarak tanımlamak için insan tarafından kullanılan fidye yazılımı terimini ortaya attı.

İlk erişim kampanyalarının çoğu otomatik keşfe dayansa da saldırı, klavyeyi ele geçirme aşamasına geçtiğinde saldırganlar, ortamdaki güvenlik ürünlerini yenmeye çalışmak için kendi bilgi ve becerilerini kullanacaktır.

Fidye yazılımı saldırganları kolay kazanç elde etme motivasyonuyla hareket ettiğinden, güvenliği güçlendirerek onların maliyetini artırmak, siber suç ekonomisini sekteye uğratmakta önemli bir adımdır. Bu insani karar verme süreci, güvenlik ürünleri belirli saldırı aşamalarını tespit etse bile saldırganların kendilerinin tamamen tahliye edilmediği anlamına gelir. Bir güvenlik kontrolü tarafından engellenmezlerse devam etmeye çalışırlar. Birçok durumda, bir araç veya yük, bir antivirüs ürünü tarafından algılanır ve engellenirse saldırganlar sadece farklı bir araç kullanmaya başlar veya yüklerini değiştirir.

Saldırganlar ayrıca güvenlik operasyonları merkezinin (SOC) yanıt sürelerinin ve algılama araçlarının yetenek ve sınırlamalarının da farkındadır. Saldırı, yedekleri veya gölge kopyaları silme aşamasına geldiğinde, fidye yazılımı dağıtımının üzerinden sadece birkaç dakika geçmiş olacaktır. Bu sırada saldırganlar verilerin dışarı sızdırılması gibi zararlı eylemleri muhtemelen çoktan gerçekleştirmiş olur. Bu bilgi, fidye yazılımlara yanıt veren SOC'ler için kilit öneme sahiptir: Cobalt Strike gibi algılayıcıları fidye yazılımı dağıtım aşamasından önce araştırmak ve hızlı düzeltme eylemleri ve olay yanıtı (IR) prosedürlerini uygulamak, insan olan bir düşmanı kontrol altına almakta kritik öneme sahiptir.

Uyarı yorgunluğunu önlerken tehditlere karşı güvenliği güçlendirmek

Kararlı, insan düşmanlara karşı uygulanacak dayanıklı bir güvenlik stratejisinin hedefleri arasında algılama ve azaltma olmalıdır. Yalnızca algılamaya güvenmek yeterli olmaz çünkü 1) bazı sızma olayları pratikte tespit edilemez (birden fazla masum eylem gibi görünürler) ve 2) birden fazla, farklı güvenlik ürünü uyarısının neden olduğu uyarı yorgunluğu nedeniyle fidye yazılımı saldırılarının gözden kaçması nadir değildir.

Saldırganların güvenlik ürünlerini atlatmak ve devre dışı bırakmak için birden fazla yolu olduğundan ve mümkün olduğunca uyum sağlamak için iyi huylu yönetici davranışlarını taklit edebildiklerinden, BT güvenlik ekipleri ve SOC'lerin, algılama çabalarını güvenlik güçlendirme önlemleriyle de desteklemesi gerekir.

Fidye yazılımı saldırganları kolay kazanç elde etme motivasyonuyla hareket ettiğinden, güvenliği güçlendirerek onların maliyetini artırmak, siber suç ekonomisini sekteye uğratmakta önemli bir adımdır.

Kurumların, kendilerini korumak için atabileceği bazı adımlar şöyle sıralanabilir:

 

  • Kimlik bilgisi hijyeni oluşturun: Yatay hareketi sınırlandırmak için ağ segmentasyonu ile birlikte uygulanabilecek, ayrıcalıklara dayalı, mantıksal bir ağ segmentasyonu geliştirin.
  • Kimlik bilgisi korunma düzeyini denetleyin: Fidye yazılımı saldırılarının ve genel olarak siber suçların önlenmesinde kimlik bilgilerinin korunma düzeyinin denetlenmesi kritik önem taşır. BT güvenlik ekipleri ve SOC'ler, yönetici ayrıcalıklarını azaltmak ve kimlik bilgilerinin hangi düzeyde korunduğunu anlamak için birlikte çalışabilir.
  • Bulutu güçlendirin: Saldırganlar bulut kaynaklarına yöneldikçe şirket içi hesapların yanı sıra bulut kaynaklarının ve kimliklerin güvenliğini sağlamak da önem kazanır. Güvenlik ekiplerinin; güvenlik kimlik altyapısını güçlendirmeye, tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmaya ve bulut yöneticilerine/kiracı yöneticilerine Etki Alanı Yöneticileriyle aynı düzeyde güvenlik ve kimlik bilgisi hijyeni sağlamaya odaklanması gerekir.
  • Güvenlik kör noktalarını ortadan kaldırın: Kurumların, güvenlik araçlarının optimum yapılandırmada çalıştığını doğrulaması ve bir güvenlik ürününün tüm sistemleri koruduğundan emin olmak için düzenli ağ taramaları gerçekleştirmesi gerekir.
  • Saldırı yüzeyini azaltın: Fidye yazılımı saldırılarında kullanılan yaygın saldırı tekniklerini önlemek için saldırı yüzeyini azaltma kuralları oluşturun. Gözlemlediğimiz, fidye yazılımı ile ilişkili çeşitli etkinlik grupların yaptığı saldırılarda, açıkça tanımlanmış kurallara sahip kurumlar, klavyeyi ele geçirme eylemlerini önlerken yapılan saldırıların sayısını da ilk aşamalarında azaltmayı başarmıştır.
  • Çevreyi değerlendirin: Kurumlar, saldırganların ağa erişmek için kullanabileceği çevre sistemlerini tespit etmeli ve güvenliklerini sağlamalıdır. Verileri artırmak için genel tarama arabirimleri kullanılabilir.
  • İnternete açık varlıklarınızı güçlendirin: Fidye yazılımı saldırganları ve erişim aracıları, özellikle ilk erişim aşamasında, ister önceden ifşa edilmiş ister sıfırıncı gün olsun, yamalanmamış güvenlik açıklarını kullanır. Ayrıca yeni güvenlik açıklarını da hızla fark ederler. Kurumlar, uç nokta algılama ve yanıt ürünleriyle güvenlik açıkları ve yanlış yapılandırmaları keşfedip önceliklendirerek ve düzelterek maruziyeti daha da azaltmak için tehdit ve güvenlik açığı yönetimi özelliklerinden faydalanabilir.
  • Kurtarmaya hazır olun: En iyi fidye yazılımı savunması, bir saldırı halinde yapılacak kurtarma planlarını da içermelidir. Sisteminizi bir saldırıdan kurtarmanın maliyeti, fidye ödemekten daha azdır. Bu nedenle kritik sistemlerinizin yedeklerini düzenli olarak aldığınızdan ve bu yedekleri kasıtlı silme ve şifrelemeye karşı koruduğunuzdan emin olun. Mümkünse yedekleri, çevrimiçi sabit depolamalarda veya tamamen çevrimdışı olan ya da farklı bir yerde olan alanlarda depolayın.
  • Fidye yazılımı saldırılarına karşı daha fazla savunma: Yeni fidye yazılımı ekonomisinin çok yönlü tehditleri ve insan tarafından kullanılan fidye yazılımı saldırılarının anlaşılması zor yapısı, kurumların daha kapsamlı bir güvenlik yaklaşımı benimsemesini gerektiriyor.

Yukarıda bahsettiğimiz adımlar, yaygın saldırı şekillerine karşı savunma yapmanıza yardımcı olur ve fidye yazılımı saldırılarını önlemekte epey mesafe kat etmenizi sağlar. Geleneksel ve insan tarafından kullanılan fidye yazılı ve diğer tehditlere karşı savunmanızı güçlendirmek için tüm etki alanlarında derin bir görünürlük ve birleşik araştırma özellikleri sağlayan güvenlik araçlarını kullanın.

Önleme, algılama ve düzeltmeye yönelik ipuçları ve en iyi deneyimlerle birlikte fidye yazılımlarına ilişkin ek bir genel bakış için Kurumunuzu fidye yazılımlarından koruyun başlığına göz atın veya insan tarafından kullanılan fidye yazılımları hakkında daha derinlemesine bilgiler için Kıdemli Güvenlik Araştırmacısı Jessica Payne’in Hizmet olarak fidye yazılımı: Siber suç esnek ekonomisini ve kendinizi nasıl koruyacağınızı anlamak başlıklı makalesini okuyun.

İlgili makaleler

Siber Sinyaller Sayı 2: Şantaj Ekonomisi

Bir hizmet olarak fidye yazılımının gelişimi hakkında ön saflarda yer alan uzmanları dinleyin. Programlar ve yüklerden, erişim aracıları ve iştiraklere; siber suçluların tercih ettiği araçlar, taktikler ve hedefler hakkında bilgi edinin ve kurumunuzu koruyabilmek için rehberlik alın.
Daha fazla bilgi edinin

Uzman Profili: Nick Carr

Microsoft Tehdit Analizi Merkezi Siber Suç Analizi Ekibi Lideri Nick Carr, fidye yazılımı trendlerine değinerek Microsoft’un müşterilerini fidye yazılımına karşı korumak için uyguladığı yöntemleri açıklıyor ve bu durumdan etkilenen kurumların neler yapabileceğini anlatıyor.
Daha fazla bilgi edinin

Kurumunuzu fidye yazılımına karşı koruyun

Kayıt dışı fidye yazılımı ekonomisinde faaliyet gösteren suç aktörlerine göz atın. Fidye yazılımı saldırılarının motivasyonlarını ve mekanizmalarını anlamanıza yardımcı olup size koruma, yedekleme ve kurtarma için en iyi deneyimleri sunuyoruz.
Daha fazla bilgi edinin