Ransomware zaman içinde gelişti. Üst düzey kurbanlara yönelik yeni bir saldırı dalgasının sadece bir parçası olan Colonial Pipeline fidye yazılımı saldırısı ne kadarını gösteriyor. Trend Micro Küresel Tehdit İletişimi Direktörü Jon Clay'in yorumu.
Amerika Birleşik Devletleri'ndeki en büyük benzin boru hatlarından birine yapılan siber saldırının ardından operasyonlar geçici olarak askıya alındı. Kötü niyetli aktörler, mümkün olan en yüksek haraç ücretlerini almak isterler, bu nedenle operasyonlarını kesintiye uğratmaları halinde ödemeye daha istekli olan kuruluşları hedef alırlar. Bu, daha önce hükümet ve eğitim sektörlerinden mağdurlarda gözlemlenmiştir. Suçlular bir kuruluşa ne kadar çok acı çektirebilirse, kurbanın bedelini ödemesi o kadar olasıdır. Şirketler ne yapabilir?
Fidye yazılımı saldırıları birçok aşamadan geçti ve şu anda 4. aşamayı gözlemliyoruz:
1. aşama: Basitçe fidye yazılımı, dosyalar şifrelenir ve ardından fidye notu yapılır... ve ardından bitcoin ödemesi beklenir.
2. aşama: Çifte Gasp. Aşama 1 + veri hırsızlığı ve ifşa tehdidi. Maze, bunu yapan ilk fidye yazılımıydı ve diğer oyuncu grupları da aynı şeyi yaptı.
3. aşama: Üçlü Gasp. Aşama 1 + Aşama 2 ve DDoS tehdidi. Avaddon, belgelenen ilk vakaydı.
4. aşama: Dörtlü Şantaj. Aşama 1 + (muhtemelen Aşama 2 veya Aşama 3) + kurbanın müşteri tabanına doğrudan postalama. Brian Krebs, Cl0p'nin ilk kez bu şekilde kullanıldığını açıkladı.
Bugün çoğunlukla çifte gasp, ancak kritik iş sistemlerini hedeflemeye doğru bir kayma görüyoruz. Bu son ABD vakasında, hiçbir OT sistemi etkilenmemiş gibi görünüyor, ancak ağa bağlı BT sistemleri muhtemelen hedef alındı. Ancak, birçok kuruluşun operasyonları için kritik olan ve bu nedenle hedef haline gelebilecek bir OT ağına sahip olması nedeniyle bu durum değişebilir. Üretim şirketlerinin modern fidye yazılımlarıyla nasıl saldırıya uğradığını ve etkisinin ne olduğunu zaten özetlemiştik.
şirketler için sonuçlar
Bir şirketin günlük operasyonlarını kontrol eden sistemlerin arızalanması mali ve itibar kaybına neden olabilir. Ancak bir saldırı, çok belirgin bir şekilde hedef alarak istenmeyen sonuçlara da yol açabilir ve Colonial Pipeline saldırısı buna bir örnek olabilir. Bir ülkenin kritik altyapısının önemli bir parçasını yok etmek, saik “yalnızca” mali kazanç olsa bile, saldırının arkasındaki aktörlere karşı sert eylemlere yol açabilir. Bu nedenle gelecekte, kötü niyetli aktörlerin saldırının hedefleri üzerindeki potansiyel etkisini değerlendirmesi ve bir saldırı başlatmanın iş açısından mantıklı olup olmadığına karar vermesi gerekebilir.
Uygun karşı önlemler
Ransomware gelecekte de kullanılmaya devam edecek. Bu nedenle kuruluşlar, fidye yazılımı saldırılarının yeni modelini ele alan bir olay müdahale planı oluşturmak için zaman ayırmalıdır. Birkaç şey dikkate alınmalıdır:
- İşletmenizin kurban olabileceğini kabul edin. Herhangi bir kuruluş potansiyel olarak kötü niyetli aktörlerin radarında olabilir, ancak kritik altyapıda faaliyet gösterenlerin artık saldırıya uğrama olasılığını değerlendirmesi gerekir.
- Access-as-a-Service artık düzenli olarak kullanılmaktadır. Bu durumda genellikle ilk erişimi başka bir grup gerçekleştirir ve başka bir gruba satar. Kararlı saldırganlar, ister kimlik avı, ister İnternet'e açık savunmasız bir sistem veya bir tedarik zinciri saldırısı olsun, her zaman ağınıza girmenin bir yolunu bulacaktır.
- Meşru araçların kötü amaçlı kullanımı, saldırı döngüsündeki en popüler taktiklerden biridir.
- Önemli yöneticilerinizin ve uygulamalarınızın hesap kimlik bilgileri hedeflenir.
- Fidye yazılımı aktörleri, çift namlulu şantaja uygun görünen verileri çekmeye çalışır.
- Fidye yazılımı bileşeni, bir saldırı döngüsünün en görünür kısmı olduğundan ve kurbana bir sistemin güvenliğinin ihlal edildiğini gösterdiğinden, kötü amaçlı etkinlikte son seçenek olacaktır.
OT ağlarını işleten şirketler aşağıdaki noktaları düşünmelidir:
- OT ağınız çökerse riskleri anlayın.
- OT ağındaki cihazlar için, özellikle bir güvenlik aracısını desteklemeyenler için bir güvenlik modeli kurun.
- Ağ segmentasyonu kritiktir.
- OT ağınızın bir BT ağı ihlali nedeniyle kapatılması gerekiyorsa, bu sınırlamanın nasıl üstesinden geleceğinizi düşünmelisiniz.
Bu son saldırı, tüm kuruluşların ağlarını saldırılara karşı güçlendirmeleri ve kötü niyetli aktörler ağlarında olduğunda farkındalıklarını artırmaları için başka bir uyandırma çağrısıdır. En son fidye yazılımı saldırılarının tespit edilmesini ve bunlara yanıt verilmesini iyileştirmeye ve görünürlüğü artırmaya yardımcı olabilecek çok katmanlı bir siber güvenlik platformumuz olan Trend Micro Vision One'a sahibiz.