Ransomware, son zamanlarda Colonial Pipeline ve JBS fidye yazılımı saldırılarıyla tüm haberlerde yer aldı. Görünüşe göre yerel bakkaldan üst düzey hükümet yetkililerine kadar herkes ana akım haber manşetlerine çıktığından beri fidye yazılımını tartışıyor. Bugün fidye yazılımının ne olduğuna, nasıl çalıştığına ve bununla ilişkili riski azaltmak için neler yapabileceğinize hızlıca göz atacağız.
Peki Fidye Yazılımı (Ransomware) tam olarak nedir?
Siber Güvenlik Uzmanları, Ransomware’i şu şekilde tanımlıyor:
“…bir cihazdaki dosyaları şifrelemek için tasarlanmış, dosyaları ve bunlara dayanan sistemleri kullanılamaz hale getiren, sürekli gelişen bir kötü amaçlı yazılım biçimi. Kötü niyetli aktörler daha sonra şifre çözme karşılığında fidye talep eder. Fidye yazılımı aktörleri, fidye ödenmezse genellikle sızdırılmış verileri veya kimlik doğrulama bilgilerini satmayı veya sızdırmakla tehdit eder.”
Bu, birinin kaçırılmasından sonra fidye talep edilmesinden farklı değil, ki bu da her zaman klasik Mel Brooks filmi Ransom’ı getiriyor….
Esasen, kötü adamlar ağınıza girmenin bir yolunu bulur ve dosyaları kilitlemek için kötü amaçlı yazılımları dağıtır, böylece kullanıcılar artık bunlara erişemez. Kullanıcılar daha sonra, bir şirketin bölümlerini veya tüm şirketi kapanmaya zorlayan günlük görevleri tamamlayamazlar. Tehdit aktörleri daha sonra dosyaların şifresini çözmek için gereken anahtarlar karşılığında genellikle Bitcoin veya başka bir kripto para birimi aracılığıyla ödeme talep eder. Ancak, bu kötü amaçlı yazılımı dağıtan tüm Ransomware türleri ve grupları farklı davranır. Örneğin, bazı tehdit aktörlerinin ödemenin ardından şifreleme anahtarlarını gerçekten sağladığı ve dosyalarınızı kurtarmanıza yardımcı olacak teknik desteğe sahip olduğu bilinirken, diğerleri ödemenizi alıp kaçar veya fidye yazılımı dosyaları, kurtarılması imkansız olacak şekilde şifreleyebilir.
Genellikle, fidye ödemelerinden aldıkları para, daha gelişmiş kötü amaçlı yazılımlar oluşturmak veya bu saldırıları gerçekleştirmek için yetenek havuzlarını geliştirmek için işletmeye yeniden yatırılır. Teknolojilerini daha sofistike saldırılarla geliştirebilirler ve süreç devam ettirilir.
Ransomware Nasıl Çalışır?
En yaygın saldırı yollarından biri sosyal mühendisliktir. Kötü adamlar kimlik avı e-postaları gönderir ve birisi bir bağlantıyı tıkladığında veya bir dosyayı indirdiğinde, kötü amaçlı yazılımı dağıtmak için o sistemi ele geçirebilir veya o belirli kullanıcıyı kullanabilir. Saldırganlar, ağ üzerinde bir yer edinmek ve kötü amaçlı yazılım dağıtmak için yama uygulanmamış sistemlerden, bilinen güvenlik açıklarından ve zero day güvenlik açıklarından da yararlanabilir.
Fidye yazılımı dağıtıldıktan sonra, genellikle kötü amaçlı yazılımın erişebildiği tüm dosyaları dizine ekleyerek (ve bazen indirerek) başlar. Tamamlandığında, tanımlanan tüm dosyaları şifrelemeye başlayacaktır. Bundan sonra, genellikle virüslü her sistemin göze çarpan bir yerine büyük bir fidye notu veya talimat dosyaları koyar. Bu yayılma, kötü amaçlı yazılımı dağıtan güvenliği ihlal edilmiş kullanıcı hesabının erişimi olan tüm ağ bağlantılı sistemleri veya dosya paylaşımlarını içerecektir. Bu, en düşük ayrıcalık uygulamanızı değerlendirmek için sürekli güvenlik değerlendirmeleri yürütmenizin zorunlu olmasının nedenlerinden biridir ve ayrıca tanımlanan fidye yazılımlarını hızlı bir şekilde içerecek bir olay müdahale planına sahip olmanız gerekir.
Fidye Yazılımı Nasıl Önlenir
Daha önce tartıştığımız gibi, güvenlikte fidye yazılımlarını veya bu konuda başka herhangi bir güvenlik olayını tamamen önleyebilecek gümüş bir kurşun yoktur . Ancak fidye yazılımı risklerini azaltmaya yardımcı olmak için atabileceğiniz adımlar var:
- Sızma Testi – Sızma testi, hem harici çevrenizin hem de dahili ağınızın güvenlik açıkları için test edildiğinden emin olmak için çok önemlidir.
- Güvenlik Bilinci Eğitimi – Çalışanlar, dahili ağ erişimine en hızlı yolu temsil ettikleri için genellikle saldırganlar tarafından hedef alınır. Çalışanların güvenlik programınızdaki rollerini anlamalarını ve takdir etmelerini sağlayın.
- Olay Müdahale Planı ve Eğitim – Bir güvenlik olayının meydana gelmesi durumunda kuruluşunuzun bir olay müdahale planı olmalıdır. Bu plan, tüm paydaşların rollerini anladığından ve herkesin gerçek bir olay sırasında net bir yön olmadan karıştırmadığından emin olmak için bir masa üstü alıştırma ile yıllık olarak test edilmelidir.
- Olağanüstü Durum Kurtarma ve Yedeklemeler – Bir olağanüstü durum kurtarma planınızın olması ve ağdan erişilemeyen, şifrelenemeyecek şekilde çevrimdışı yedeklerinizin olması zorunludur. Çoğu zaman, şirket ağında bulunan ve fidye yazılımı tarafından kolayca erişilebilen ve şifrelenebilen ve onları kullanılamaz hale getiren yedeklemeler görüyoruz. Çevrimdışı yedeklemeler, en kötü senaryoda bile işlemleri geri yükleyebilmenizi sağlar.
Ransomware yakın zamanda ortadan kalkmayacak ve zamanla daha karmaşık hale geliyor. Mağdur olmamanızı sağlamak için kuruluşunuzun hazırlıklı olması ve dirençli kalması gerekir. Risklerinizi belirlemek için bir Fidye Yazılımı
Değerlendirmesi ile ilgileniyor musunuz? Daha fazla bilgi almak, Siber Güvenlik Danışmanlığımızdan ve Penetrasyon testlerimizden yararlanmak için bize ulaşın!