Kritik altyapılara - KRITIS - yönelik bir dizi siber saldırı duracak gibi görünmüyor. Şubat ayının başında bir hack saldırısı İsviçre şirketi Swissport'u yakaladı ve İsviçre'deki uçuş operasyonlarını kesintiye uğrattı, ardından Almanya'daki Oiltanking tank çiftliğine fidye yazılımı saldırısı, Belçika'da SEA-Invest ve Hollanda'da Evos'a saldırılar geldi. Bazı uzman yorumları.
“Siber saldırganlar, saldırılarını genellikle en fazla iş kesintisine neden olabilecekleri yerlere hedefler. Bu şekilde kurban, sistemlerini tekrar çevrimiçi hale getirmek için fidye ödemeye daha istekli olabilir. Bu nedenle kritik altyapılar, hastaneler, ulaşım merkezleri ve şehir elektrik şebekeleri fidye yazılımı saldırı haberlerinde sıklıkla yer alır. Saldırganlar her zaman kendilerine fayda sağlayan baskı durumları yaratmanın yollarını bulacaktır.
Saldırganlar her zaman yeni yollar buluyor
Hendrik Schless, Güvenlik Çözümleri Kıdemli Müdürü, Lookout (Resim: Lookout).
Fidye yazılımı yeni bir tehdit değil, ancak saldırganların kurumsal altyapıya sızmak ve kaynakları dondurmak veya çalmak için kullandıkları taktikler hızla gelişiyor. Yıllar önce, saldırganlar bir şirkette küçük bir güvenlik açığı bulmak için kaba kuvvet taktikleri kullanır ve ardından altyapıyı ele geçirmek için bundan yararlanırdı. Bugün, siber suçluların altyapıya girmesi için çok daha gizli yollar var. Çoğu zaman, şüphe uyandırmayan meşru kimlik bilgileriyle oturum açmak için bir çalışanın hesabını nasıl tehlikeye atacaklarını anlarlar.
Kimlik bilgileri genellikle mobil cihazlara yönelik kimlik avı saldırıları yoluyla çalınır. Saldırganlar, akıllı telefonlarda ve tabletlerde SMS, üçüncü taraf sohbet platformları ve sosyal medya uygulamaları aracılığıyla sosyal mühendislik yapmak için sayısız fırsata sahiptir. Kuruluşlar, uç noktayı korumaya ek olarak, bulut ve özel uygulamalarda erişimi ve eylemleri dinamik olarak güvenli hale getirebilmelidir. Sıfır Güven Ağ Erişimi (ZTNA) ve Bulut Erişimi Güvenlik Aracısı (CASB) çözümlerinin devreye girdiği yer burasıdır. Kuruluşlar, kullanıcılar, cihazlar, ağlar ve veriler arasındaki etkileşimleri anlayarak, fidye yazılımına veya büyük veri hırsızlığına işaret eden temel uzlaşma göstergelerini tespit edebilir. Çalışan mobil cihazlarının yanı sıra bulut ve kişisel uygulamaların güvenliğini bir arada sağlamak, şirketlerin Sıfır Güven felsefesine dayanan sağlam bir güvenlik duruşu oluşturmasına yardımcı oluyor."
Güvenlik sağlayıcısında Güvenlik Çözümleri Kıdemli Müdürü Hendrik Schless gözcü
İş modeli fidye yazılımı kârlı olmaya devam ediyor
Vectra AI, Fabian Gentinetta (Resim: Vectra AI).
“Fidye yazılımı, kâr amaçlı siber saldırılar gerçekleştiren gruplar arasında baskın iş modelidir. Son zamanlarda meydana gelen saldırılarda gördüğümüz şey, sınırlı kolluk kuvvetlerinin sorunu çözmeyeceği ve kesinlikle bir gecede çözmeyeceğidir. Ancak Swissport, saldırıyı operasyonel kapasitesine en az zarar vererek kontrol altına almış gibi görünüyor, bu da fidye yazılımının ya hep ya hiç kumarı olmadığı gerçeğini ortaya koyuyor - "başarılı ancak sınırlı fidye yazılımı saldırısı" aşina olduğumuz bir terim. umarım daha fazlasını görürüz.
Saldırganları ağdan tespit etmek ve ortadan kaldırmak, birçok kuruluşta günlük operasyonel bir görev haline geliyor. Saldırı şifrelemeden önce durdurulmamış olsa da, Swissport saldırıyı hızla kontrol altına almış ve hasarı başarılı bir şekilde sınırlamış görünüyor. Swissport'un etkileyici bir şekilde gösterdiği gibi, özellikle kritik altyapılar için en önemlisi, hızlı ve işleyen yedekleme süreçleridir."
Siber Güvenlik Uzmanından Fabian Gentinetta Vectra AI
Fidye yazılımının neden olduğu hasar çok büyük olabilir
“İşletmeler çöktüğünde fidye yazılımı saldırılarının verebileceği zararı gördük, bu da tedarik zincirini ve vatandaşların hayatını etkiliyor. Almanya'da Oiltanking, Belçika'da SEA-Invest ve Hollanda'da Evos ve Swissport'a yönelik son saldırılar endişe verici, ancak ulus devletlerin koordineli saldırılarından bahsetmek için erken. En olası senaryo, saldırganların benzer hedefleri içeren bir veri tabanıyla çalışması ve çabalarıyla hedefe ulaşmasıdır.
Bir saldırının ayrıntılarının ortaya çıkarılması aylar sürse de ilk raporlar, yeni bir BlackMatter markası olduğuna inanılan BlackCat'in Avrupa'daki akaryakıt endüstrisine yönelik saldırılardan sorumlu olabileceğini gösteriyor. Bu hafta başka bir vakada, KP Foods da fidye yazılımının kurbanı oldu ve kesintilerden Conti sorumlu tutuldu. Bu iki bilgisayar korsanı grubu hakkında bildiğimiz şey, hizmet olarak fidye yazılımı (RaaS) iş modeli işlettikleri. Bu, kurban veritabanları ve çok sayıda ortağı olan bir organize suç olduğu anlamına gelir. Bunlar kendilerini belirli bir fidye yazılımı grubuna bağlamaz, ancak genellikle birden çok grupla çalışır ve kötü amaçlı yazılımın yayılmasını otomatikleştirmek için güçlü botlar kullanır.
Bernard Montel, EMEA Teknik Direktörü ve Tenable Güvenlik Stratejisti (Resim: Tenable).
Botlar etkiyi artırır
Mağdurun bakış açısına göre, özellikle de bu muhtemelen ancak birkaç ay içinde bilineceğinden, kimin sorumlu olduğu aslında önemsizdir. Ancak asıl soru, saldırıların nasıl gerçekleştiği. Çoğu durumda, BlackMatter ve Conti'de olduğu gibi, kötü amaçlı yazılımın altyapıya girmesine ve sistemleri şifrelemesine izin veren bilinen bir güvenlik açığıdır. BlackMatter, uzak masaüstü yazılımlarını hedeflemesi ve daha önce güvenliği ihlal edilmiş kimlik bilgilerinden yararlanmasıyla tanınırken Conti, Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE- 2021-34527) ve EternalBlue (CVE) gibi güvenlik açıklarından yararlanmasıyla tanınır. -2017-0143, CVE-2017-0148). Başka bir saldırı yolu, Active Directory'deki yanlış yapılandırmalardan yararlanmaktır ve hem Conti hem de BlackMatter'ın bu taktiği kullandığı bilinmektedir.
Kuruluşların, temel güvenlik ilkelerinin fidye yazılımı saldırısı yolunu büyük ölçüde engelleyebileceğinin farkında olmaları gerekir. Güvenlik ekipleri, bulut ve bütünleşik altyapı üzerinde uygun görünürlük, güvenlik ve kontrol sağlayan çözümleri devreye almalıdır. İş dünyasına sesleniyorum: Çalışması için bağlı olduğu kritik sistemleri tanımlayın. Bu sistemleri etkileyen tüm güvenlik açıklarını belirleyin ve ardından riski yamalamak veya düzeltmek için harekete geçin. Ayrıca, saldırganların ayrıcalıklarını yükseltmelerine ve altyapıya daha fazla sızmalarına olanak tanıyan Active Directory'deki aşırı ayrıcalıklara dikkat edin! Bu temel önlemler alınmazsa şirket savunmasızdır ve saldıran kim olursa olsun bozulma riskiyle karşı karşıyadır.”
Bernard Montel, EMEA Teknik Direktörü ve Güvenlik Stratejisti savunulabilir