Uzman Sophos, başarılı bir fidye yazılımı saldırısının sürecini ve sonuçlarını çok iyi biliyor. Kurbanın bakış açısından: Bir fidye yazılımı saldırısı böyle çalışır.
Hiçbir kuruluş siber suçun kurbanı olmak istemez. Ancak güvenlik açıkları varsa, saldırganların bunları bulup kullanması muhtemeldir. Ve kurbanın durumu fark etmesi aylar hatta daha uzun sürebilir. Sözde olay müdahale görevlileri, şirketlerin saldırıları ve etkilerini belirlemesine, engellemesine ve azaltmasına yardımcı olur. Uzmanlar tarafından yapılan bu izleme aynı zamanda saldırı kalıplarının kesin bir şekilde analiz edilmesini ve sonuç olarak siber suçun kurbanları gerçekte nasıl etkilediğinin yakından görülmesini sağlar.
Gerçek düşman makine değil insandır
Saldırganlar, güvenlik ekipleri arasında şüphe uyandırmaktan kaçınmak ve tespit edilmeden kalmak için gizlilik konusunda giderek daha ustalaşıyor. Bu nedenle, farklı konumlardaki saldırı zincirini kıran farklı güvenlik seviyeleri gereklidir. İlk ihlal otomatikleştirilirken, bilgisayar korsanları daha sonra güvenlik teknolojilerini atlatmak ve ağda yatay olarak hareket etmek için ağ tarayıcıları gibi meşru BT araçlarını yasa dışı amaçları doğrultusunda kullanır. Mağdurlar için zorluk, BT güvenlik ekiplerinin meşru ancak aynı zamanda popüler ve saldırganlar tarafından yaygın olarak kullanılan araçları değerlendirirken ekstra dikkatli olmaları gerektiğidir. Ek olarak, saldırganlar göz önünde saklanmak için mevcut yönetici hesaplarını düzenli olarak tehlikeye atarlar. Saldırılarında durdurulurlarsa başka bir şey denerler. Ve burada, siber suçun kurbanlar tarafından hâlâ çok fazla hafife alınan en önemli yönlerinden biri ortaya çıkıyor: kötü amaçlı yazılım koduyla savaşmıyorsunuz, insanlarla savaşıyorsunuz.
Fidye yazılımı bir siber saldırının finalidir
Olay müdahale ekiplerine göre, birçok kurban, bir saldırının görünür hale gelmeden hemen önce - örneğin fidye yazılımı mesajı aracılığıyla - gerçekleştiğine inanıyor. Ancak, bu çok nadiren böyledir. Aslında, saldırganlar genellikle bu noktadan önce oldukça uzun bir süredir ağda bulunurlar. Radarın altında gizlenerek çalışırlar, sistemi tararlar, arka kapılar kurarlar ve bilgi çalarlar. Tüm bu faaliyetler, saldırıdan tamamen kurtulmayı kolaylaştırmak için kontrol edilmesi gereken belirteçlerdir. Saldırının alarm zillerini en çok çalan kısmı, fidye yazılımı başlatmaktır. Bu noktada, saldırgan kurban ağında yukarıdaki yöntemlerin tümünü başarır (farklı fidye yazılımı davranışlarının grafiğine bakın), kurbanın saklanmasını ve var olmasını sağlar. Başka bir deyişle, fidye yazılımının uygulanması bir saldırının başlangıcını değil sonunu işaretler.
Mağdurlar ve saldırganlar büyük strese maruz kalıyor
Olay müdahale ekipleri tarafından görülen saldırıların yaklaşık yüzde doksanı fidye yazılımı içerir ve bu saldırıların etkisi genellikle yıkıcıdır. Bu, özellikle başarılı bir saldırının iptal edilen ameliyatlar, eksik röntgenler, şifrelenmiş kanser tarama sonuçları ve daha fazlası anlamına gelebileceği sağlık tesisleri gibi kritik kuruluşlar için geçerlidir.
Bazı kurbanlar kendilerini güçsüz hissediyor ve fidyeyi ödemeyi tek seçenek olarak görüyor, örneğin saldırganlar tarafından ele geçirilen veri yedeklerine yeniden erişim elde etmek için. Diğer kuruluşlar ödememeyi tercih ediyor. Yine de diğerleri, şifre çözme anahtarları için fidyeden çok itibarlarının zarar görmesinden (çalınan verilerin yayınlanması) endişe duyuyor. Fidye yazılımının kendisi, ticari ve sofistike ile düşük kaliteli ve kalitesiz arasında değişir. Fidye yazılımı analizleri, saldırıların yalnızca kurbanlar için yorucu ve korkutucu olmadığını, aynı zamanda suçluların da giderek artan bir şekilde "başarı stresi" altında kaldığını gösterdi: Ödemeyi reddeden şirketleri giderek daha fazla taciz ediyorlar.
Yeniden inşa etme mücadelesi: kaynağı bulun
Olaya müdahale eden kişi verileri, birçok kurbanın fidye yazılımının kuruluş içindeki hareketini anlamakta zorlandığını da gösteriyor. Başlangıç noktasından itibaren otomatik olarak ağın tüm yönlerinde genişlediğine dair genel bir varsayım vardır - gerçekte stratejik olarak önceden seçilmiş bir cihaz listesine ve ağ alanlarına odaklanır. Ayrıca, saldırganların yalnızca belgeleri ve diğer verileri hedef almadıklarını, aynı zamanda cihazları ve sistemleri, yalnızca fidye yazılımı bildirimini başlatmak için yeterli kaynağa sahip olacak şekilde devre dışı bırakmak istediklerini de gösterir.
Bir saldırının kurbanları için bu, sistemi geri yüklemenin bir yedeği geri yüklemek ve saldırganların ne yaptığını aramakla başlamadığı anlamına gelir. Kurtarma süreci genellikle, etkilenen tüm makinelerin yeniden inşa edilmesi gibi önemli bir zorlukla başlar. Ve bununla birlikte zor kimlik belirleme görevi: saldırı nereden geldi ve suçlular belki de hala sistemde mi?
Sadece makine ve insan ile tehlike savunması
Güvenlik kameraları suçları kaydedebilir ve failleri caydırabilir, ancak izinsiz girişi durduramaz. Belirleyici olan, kayıtları canlı olarak takip eden ve gerekli müdahaleyi yapan güvenlik gücünün müdahalesidir. Siber suçlular daha sinsi hale geldikçe ve meşru araçları ve süreçleri kullanma becerilerini geliştirdikçe, tehdit avcılığında insan faktörünün değeri arttı. Bu yöntem, son teknoloji güvenlik yazılımının gelişmiş algoritmalarını, bir saldırının nüanslarını değerlendirebilen günlük insan uzmanlığıyla birleştirir - yazılımın (henüz) sahip olmadığı bir beceri.
Sophos.com'da daha fazla bilgi edinin[yıldız kutusu kimliği=15]