Rapor: Hizmet Olarak Fidye Yazılımı 'Kendi Kendini Sürdüren Bir Endüstridir'
Yayınlanan: 2022-06-24Yeni bir rapor, internetin fidye yazılımı ekosisteminin inceliklerini ortaya çıkardı ve fidye yazılımı gruplarıyla birlikte çalışan aktörlerin şu anda aldıklarından daha fazla ilgi talep ettiği sonucuna vardı.
Rapor, tehdit aktörlerinin, şirketleri müzakere etmeye ve nihayetinde verilerini korumak ve/veya geri almak için ücret ödemeye zorlamak için sayısız gasp tekniğini (genellikle birlikte) nasıl kullandıklarını ayrıntılarıyla anlatıyor.
İşletmeler, fidye yazılımı grupları tarafından en sık kullanılan saldırı vektörlerini anlayarak kendilerini korumak için harekete geçebilir. Örneğin parola yöneticileri , işletmenizin çalışanlarının zayıf hesap kimlik bilgileriyle kolay bir yol sağlamamasını sağlamanın bir yoludur.
Hizmet Olarak Fidye Yazılımı Artıyor
Tenable'ın raporu , son fidye yazılımı patlamasının arkasındaki temel nedenin “hizmet olarak fidye yazılımının (RaaS) ortaya çıkması” olduğunu açıklıyor.
Özünde, RaaS, Hizmet Olarak Yazılım gibi bir hizmet modelidir. Fidye yazılımı grupları yazılımı yapar, ancak daha sonra diğer aktörler sistemlere girip onu dağıtır.
Bundan önce, süreçteki her eylemi fidye yazılımı gruplarının kendileri gerçekleştiriyordu, ancak şimdi sistem sonsuz derecede daha karmaşık ve daha küçük aktörlerin para kazanabileceği çeşitli aşamalar var.
Fidye Yazılımı Ekosisteminin Açıklaması
Tenable, fidye yazılımı ekosisteminin sadece fidye yazılımı gruplarından oluşmadığını açıklıyor. Fidye yazılımı grupları, "ürünün" yaratıcıları ve sahipleridir ve sırayla ilginin çoğunu alırlar, ancak sonuç olarak, şirket çoğu fidye yazılımı saldırılarında rol oynayan üç ana "rol" tanımlar: IAB'ler, Bağlı Kuruluşlar ve fidye yazılımı grupları.
İlk Erişim Aracıları (IAB'ler), "çeşitli yollarla kuruluşlara erişim sağlamaktan sorumlu özel bir siber suçlu grubudur".
Rapor, kendi fidye yazılımı saldırılarını düzenlemek için haksız erişimlerini kullanmak yerine, IAB'lerin "kurban kuruluşlarının ağlarında kalıcılığı koruduğunu ve siber suç ekosistemindeki diğer bireylere veya gruplara sattığını" açıklıyor.
IAB'ler için pazar 2019'da 1,6 milyon dolar iken, 2021'de 7,1 milyon dolara (Grup-IB) ulaştı. Bu, fidye yazılımı zincirinde başka bir yerde kazanılan paradan çok daha küçük bir rakam, çünkü çok daha az risk var.
İlk Erişim Brokerleri (IAB'ler) pazarı 2019'da 1,6 milyon dolar değerindeydi, ancak 2021'de 7,1 milyon dolara ulaştı – Group-IB
IAB'ler devreye girdikten sonra, Ortaklar olarak bilinen aktörler, çıkardıkları erişimi birkaç yüz ile birkaç bin dolar arasında satın alacaklar. Alternatif olarak, şirket sunucularına girmek için kaba kuvvet kullanan uzak masaüstü protokol sistemleri, kimlik avı, sistem güvenlik açıkları veya çalınan kimlik bilgileri gibi saldırı vektörlerini kullanacaklar.
Rapor, bu aktörlerin normal, meşru iş uygulamalarında yol gösteren bağlı kuruluş pazarlamacıları gibi çalıştığını söylüyor - sisteme bulaşıyor ve fidye yazılımı grubunun "anlaşmayı kapatmasına" ve müzakere sürecini başlatmasına izin veriyorlar.
İştirakler, genellikle fidye yazılımı gruplarının kendi kreasyonlarını test etmelerine ve kullanmalarına yardımcı olan talimatlara tabidir.
“Çifte”, “Üçlü” ve “Dörtlü” Gasp Şirketlerin Ödemelerini Nasıl Yapıyor?
Geleneksel olarak, fidye yazılımı grupları bir şirketin dosyalarını şifreler ve şifrelerini çözmek için onlara ödeme yapar. Ancak günümüzde çoğu şirketin güvenli dosya yedeklemeleri var, bu nedenle bu yöntem giderek etkisiz hale geldi.
Ancak son birkaç yılda “çifte gasp” birçok fidye yazılımı grubu için standart haline geldi. Bu, karanlık web forumlarında ve sızıntı web sitelerinde “mağdur kuruluşlardan veri sızdırmaktan ve teaser yayınlamaktan” oluşur. Şirketler, özel ve gizli bilgilerin çevrimiçi olarak sızdırılacağından korktu ve ardından ödeme yaptı.
2021'de REvil, şirketin sisteminin ödeme anında “tamamen çalışır durumda” olmasına rağmen JBS'den 11 milyon dolarlık bir ödeme aldı.
Bununla birlikte, bu taktik artık birkaç yaşında ve Tenable, "üçlü" ve hatta "dörtlü" gasp girişimlerinde diğer tekniklerin birbiri ardına kullanıldığını söylüyor.
Yöntemler, çalınan verilerin atıfta bulunduğu müşterilerle iletişim kurmayı, çalınan verileri en yüksek teklifi verenlere satmakla tehdit etmeyi ve mağdurları kolluk kuvvetleriyle iletişime geçmemeleri konusunda uyarmayı içerir.
Fidye Yazılım Gruplarının Ötesine Odaklanın
Rapor, IAB'lerin ve bağlı kuruluşların fidye yazılımı ekosisteminde oynadıkları önemli role daha fazla dikkat edilmesi gerektiğini öne sürüyor.
Fidye yazılımı grupları özünde geçicidir. Daha fazla başarı elde ettiklerinde, daha fazla bağlı kuruluş onlara yönelmek ve yazılımlarını kullanmak ister, ancak daha sonra kolluk kuvvetleri onları takip etmeye çalışır.
Conti grubu gibi bugün manşetlere konu olan “kötü şöhretli” fidye yazılımı gruplarının çoğu, diğer fidye yazılımı gruplarının halefleridir. Bir grup hakkında soruşturma başlattıysanız, bundan bir yıl sonra bile var olmayabilir. Bununla birlikte, IAB'ler ve bağlı kuruluşlar olacaktır.
İşletmeler Kendilerini Korumak İçin Ne Yapabilir?
Tenable, işletmelerin gasp edilmiş bir fidye yazılımı saldırısının bir sonraki kurbanı olmadıklarından emin olmak için atabilecekleri bir dizi farklı azaltıcı adım sunuyor. Bunlar, çok faktörlü kimlik doğrulamayı kullanmayı, hesaplar için kullanıcı izinlerini sürekli olarak denetlemeyi, ağınızdaki savunmasız varlıklara yamalamayı, uzak masaüstü protokollerini sağlamlaştırmayı ve uygun virüsten koruma yazılımını kullanmayı içerir.
Liste aynı zamanda çalışanlarınızın şifrelerinin güçlendirilmesini de içeriyor ve “şifre gereksinimlerinin uzun ve sözlük dışı kelimeler içerdiğini” tavsiye ediyor. Parolaların, hatırlamak zorunda kalmadan yeterince uzun olmasını sağlamanın bir yolu, personelinizin sahip oldukları tüm hesaplar için onları yeniden kullanmak yerine benzersiz parolalar oluşturmasına olanak tanıyan bir parola yöneticisi kullanmaktır.
RaaS pazarı ve buna katılan kötü niyetli gruplar hiçbir yavaşlama belirtisi göstermezken, verilerinizle ilgili en üst düzeyde önlemler almak hiç bu kadar önemli olmamıştı.