İhmalkar şirketler hızla üç kez cezalandırılır: önce fidye yazılımı gaspı, ardından veri kaybı ve son olarak, kötü bir kurtarma planı için ceza ücreti. Karmaşık fidye yazılımları bu şekilde şirket kaynaklarını istila edebilir.
Geçen yıl fidye yazılımı, yakıt üreten bir ABD şirketini dize getirdi. Bunun arkasında kötü şöhretli DarkSide grubunun suçlu "ortak şirketleri" vardı. RaaS (hizmet olarak fidye yazılımı) saldırısının tipik bir örneği: Suçlulardan oluşan küçük bir çekirdek ekip kötü amaçlı yazılım geliştirir, onu diğer kötü adamların kullanımına sunar ve kurbanların fidyelerini ele alır. Ancak, kötü amaçlı yazılımı dağıtan ağa asıl saldırıyı gerçekleştirmezler. Bunların icabına “suç ortakları” tabiri caizse saha görevlileri bakıyor. Kural olarak, karşılığında kurbanlardan zorla alınan paranın aslan payını alırlar.
RaaS: Fidye yazılımı ile suç ortakları
Bu arada çekirdek grup, her ödemenin (kendi kabullerine göre) genellikle yüzde 30'unu cebe indirdikleri bir tür franchise operasyonu yürüterek arka planda görünmez bir şekilde pusuda bekliyor.
Cephe ekibi genellikle bunu yapar
- Girilecek potansiyel hedefleri bulmak için araştırma yapın.
- Bilinen güvenlik açıkları olan seçilmiş şirketlere girin.
- Resmi yöneticiler düzeyine ulaşmak için yönetici hakları elde edene kadar ağı tarayın.
- Her bir masaüstü PC'yi ve sunucu sistemlerini bulmak için tüm ağı eşleyin.
- Mevcut yedekleri bulun ve sık sık etkisiz hale getirin.
- Şantajda ekstra avantaj elde etmek için gizli şirket verilerini sızdırın.
- Saldırganlar yakalanırsa hızlı bir geri çekilme için ağ arka kapılarını hazırlayın.
- Zayıf veya savunmasız noktaları arayarak mevcut kötü amaçlı yazılım savunmalarını dikkatlice inceleyin.
- Yolunuza çıkan güvenlik ayarlarını kapatın veya en azından azaltın.
- Şirket için özellikle "rahatsız" bir günün seçimi, yani hafta sonu veya gece.
Ardından siber suçlular, perde arkasında beyni tarafından sağlanan fidye yazılımı kodunu serbest bırakır. Ağdaki (neredeyse) tüm bilgisayarların şifrelenmesi yalnızca birkaç dakika sürer.
Fidye yazılımı: Lütfen kontrol edin!
Bu tür saldırıların arkasındaki fikir, bilgisayarların tamamen silinmemesidir. Aslında, çoğu fidye yazılımı saldırısından sonra, işletim sistemleri her şeyin normalmiş gibi görünmesini sağlamak için bilgisayarları başlatmaya ve birincil uygulamaları yüklemeye devam eder.
Kurban dizüstü bilgisayarını başlatabilir, Word'ü yükleyebilir, dizinlerdeki tüm belgeleri görebilir, hatta açmaya çalışabilir, ancak daha sonra kıyılmış bir lahananın dijital eşdeğerini görecektir. Veriler şifrelenmiştir ve şifre çözme anahtarının yalnızca bir kopyası vardır ve saldırganlar buna sahiptir. Bu, genellikle “müzakerelerin” başladığı zamandır. Suçlular, kurbanın BT altyapısının şifrelenmiş verilerden artık işlevsel olmayacak kadar ciddi şekilde etkilendiğine ve dolayısıyla kurbanın fidye ödemeye razı olduğuna güveniyor.
“Bize bir 'kurtarma ücreti' ödeyin, biz de size herhangi bir bilgisayarı tekrar kullanılabilir hale getirmeniz için şifre çözme araçlarını sağlayalım - ve sizi yedeklerden geri yüklemek için gereken süreden kurtaralım. Yeter ki çalışan yedekleriniz olsun.” Talepler buna benziyor, örneğin yaklaşık 12 ay önce ABD şirketinden geldiler.
Ödeme yapanların yalnızca yüzde 4'ü tüm verileri geri alıyor!
Dünyanın dört bir yanındaki kolluk kuvvetleri fidye yazılımı kurbanlarına ödeme yapmamaları konusunda uyarıda bulunsa da (ve bugünün fidye yazılımı ödemelerinin yarının fidye yazılımı saldırılarını finanse ettiğini artık biliyoruz), bu örnekte şirket talep edilen yaklaşık 4,4 milyon doları bitcoin transferi için harcamaya karar verdi.
Bu yıllar Sophos Fidye Yazılımı Raporu 2022 Fidye Yazılımının Durumu dünya çapında ödeme yapanların yalnızca %4'ünün tüm verileri geri aldığını ortaya koyuyor. Ortalama olarak yalnızca üçte ikisini alırsınız (tam olarak: %60,56). Almanya'da ise pay %64'tür. Küresel bir bakış açısıyla, bu değer enerji tedarik şirketleri için sadece biraz daha yüksek, %62 (tam olarak: %61,59). Bu, bir şirketin fidyeyi ödemesi durumunda yine de çok yüksek veri kayıplarını kabul etmesi gerektiği anlamına gelir. Hiçbir şekilde olay orada bitmiyor.
Fidyeden sonra ceza geldi
Fidye Yazılımının Sophos Durumu 2022 (Resim: Sophos).
Boru hattı işletmecisine de resmi bir itirazda bulunuldu: ABD Ulaştırma Bakanlığı, Boru Hattı ve Tehlikeli Maddeler Güvenlik İdaresi'nin (PHMSA) yaptığı bir soruşturma sonucunda şirkete yaklaşık 1 milyon ABD doları tutarında bir para cezası verdi. Kontrol, Ocak ve Kasım 2020 arasında, yani fidye yazılımı saldırısının gerçekleşmesinden ÖNCEKİ yılda yapıldı. Yani enstitünün tespit ettiği sorunlar vardı ve biliniyordu. PHMSA, ücretin yüzde 85'inden (846,300 $) fazlasından sorumlu olan birincil operasyonel eksikliklerin "boru hattı sisteminin manuel olarak kapatılması ve yeniden başlatılması için yeterince planlama ve hazırlık yapılmaması muhtemel bir başarısızlık olduğunu" belirtti. Ve bu ihmallerin "Mayıs 2021 siber saldırısının ardından boru hattı çalışmaz durumda kaldığında ulusal serpintiye katkıda bulunduğunu" iddia ediyor.
Bireysel vaka mı yoksa herkes için önerilen eylem planı mı?
İlk bakışta, bu alışılmadık bir durum gibi görünüyor, çünkü aslında bir boru hattını kim işletiyor ve sonra bu boyutta da. Bununla birlikte, Muhtemel İhlalin resmi PHMSA bildirimi, herkesin öğrenebileceği birkaç ilgili sorunu tanımlar:
Boru hattı işletmecisi için sorunlar, gözetim kontrolü ve veri toplama, endüstriyel kontrol sistemleri ve operasyonel teknoloji gibi şirketin dahili alanlarında yatıyor; SCADA (Denetleyici Kontrol ve Veri Toplama): otomatik olarak izleyen ve kontrol eden bilgisayar sistemi teknik süreçler ve enerji sağlayıcılarından havalimanlarında kullanımdadır. ICS (Endüstriyel Kontrol Sistemlerinin kısaltması) ve OT (Operasyonel Teknoloji) de eksikti. OT, BT'nin endüstriyel karşılığı olarak anlaşılabilir, ancak SecOps (Güvenlik Operasyonları) her iki tür için de benzer bir zorluktur.
SecOps hatalarının sonuçları
Operasyonel teknoloji ve BT işlevleri iki ayrı ağ gibi görünse de, bir alandaki SecOps arızalarının olası sonuçları diğer alanı doğrudan ve hatta tehlikeli bir şekilde etkileyebilir.
Daha da önemlisi, özellikle birçok küçük şirket için, çalışan bir boru hattı, elektrik şebekesi veya elektrik santrali olmasa bile, büyük olasılıkla güvenlik kameraları, kapı kilitleri, hareket gibi IoT cihazlarından oluşan bir tür operasyonel mühendislik ağı çalışıyor. sensörler ve hatta resepsiyon alanında rahatlatıcı, bilgisayar kontrollü bir akvaryum.
Ve bunlar genellikle tüm BT sisteminin bulunduğu aynı ağda çalıştırılır. Bu nedenle, her iki cihaz türünün siber güvenlik önlemleri ayrılmaz bir şekilde iç içe geçmiş durumdadır.
Her şirketin ciddiye alması gereken beş nokta
PHMSA raporu, tümü bir BT departmanının ağ operasyon merkezinin (veya küçük bir işletmede basitçe "BT ekibinin") operasyonel teknoloji eşdeğeri olarak düşünülebilecek kontrol odası yönetimi şemsiyesi altına giren sorunları listeler.
Özetle, bu beş sorun tehlikede
- Geçilen operasyonel testlerin uygun bir kaydının tutulmaması.
- Alarm ve anormallik dedektörlerinin çalışmasının test edilip doğrulanamaması.
- Sistem arızası durumunda manuel kurtarma ve çalıştırma için acil durum planı yoktur.
- Yedekleme süreçlerini ve prosedürlerini test edememek.
- Eksik veya geçici olarak gizlenen güvenlik kontrollerinin yetersiz raporlanması.
BT güvenliğimiz için bundan ne öğrenebiliriz?
Yukarıdaki eksikliklerden herhangi biri yanlışlıkla meydana gelebilir. Sophos Fidye Yazılımı Raporu 2022'ye göre, ankete katılanların üçte ikisi (tam olarak: %66) geçen yıl bir fidye yazılımı saldırısının kurbanı olduklarını söyledi. Enerji tedarik sektörü %75 ile ortalamanın oldukça üzerindeydi. Bunların yaklaşık üçte ikisinin verileri şifrelendi ve yarısı suçlularla pazarlık yaptı.
Bu, BT veya SecOps ekiplerinin önemli bir oranının (beşte birinden biraz fazlası) yukarıdaki kategorilerden bir veya daha fazlasının izini kaybettiğini gösteriyor.
Bunlar arasında 1. ve 2. maddeler (Yedeğin gerçekten çalıştığından emin misiniz? Bunu resmi olarak kaydettiniz mi?), 3. Madde (Suçlular birincil yedeğinizi silerse B planınız nedir?), 4. Madde (Geri yüklemeyi olabildiğince dikkatli bir şekilde denediniz mi? yedekleme alıştırması yaparken?) ve 5. madde (O sırada belirtmeniz gereken hiçbir şeyi gözden kaçırmadığınızdan emin misiniz?).
Birçok BT ekibi veya özellikle BT'yi "yan tarafta" yapan daha küçük şirketler için, uzmanlaşmış bir SecOps ekibi bir lükstür ve karşılanabilir değildir, dolayısıyla oradaki strateji genellikle "yükle ve sonra unut" ilkesine eşdeğerdir. Bu durumda olan herkes, harici MTR uzmanlarından destek almalı ve onları daha güvenli bir geleceğe yatırım olarak görmelidir.
Siber güvenlik bir hedef değil, bir süreçtir. Başarılı bir saldırı her zaman hasar bırakır ve kaynaklar ile işlerlik üzerinde sonradan etkileri olur. Darbenin gücü, büyük ölçüde reaksiyon hızına, önlemlere ve yürürlükteki güvenlik sürecine bağlıdır.
Daha fazlası Sophos.com'da