2022’nin ikinci çeyreğinde fidye yazılımları bilgi güvenliğine yönelik ana tehditlerden biri olmaya devam ediyor. META bölgesi de bundan hissesini alıyor. Bunun en dikkate kıymet örneklerinden birini Afrika’nın en büyük perakende zinciri olan Shoprite’a yapılan hücumlar oluşturuyordu. Bölgedeki fidye yazılımlarına dair çarpıcı başka örnekler içinde LockBit kümesi tarafınca Sahra altında kalan Afrika bölgesinde gerçekleştirilen akınlar ve BAE’deki varlıkları gaye alan Cl0p atakları yer alıyor.
Dahası, Kaspersky uzmanları iç yapıları, reklamları ve ataklar sırasında kullandıkları yaratıcı teknikler açısından fidye yazılımı kümelerinin giderek endüstriyel hale gelişine şahit oluyor. Bu eğilim, bu yılın başlarında Kaspersky tarafınca yayınlanan fidye yazılımı trendlerinde de belirtilmişti.
Kaspersky Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout, şunları söylüyor: “Fidye yazılımlarının geliştirilmesinde, daha sofistike ve gayeli olmanın yanı sıra kurbanları daha fazla tehdide maruz bırakma tarafında besbelli bir eğilim görüyoruz. Son senelerda fidye yazılımı kümeleri, dağınık çetelerden sıyrılıp tam teşekküllü bir sanayinin ayırt edici özelliklerine sahip işletmelere uzanan uzun bir yol kat etti. Fidye yazılımı taarruzlarının daha evvel küçük ölçekli saldırganlarda pek rastlamadığımız, vakit alıcı fakat son derece verimli bir biçimde manuel olarak gerçekleştirildiği durumlarla daha fazla karşılaşıyoruz”.
Kaspersky Tehdit İstihbaratı grubu, en yaygın taktikleri, teknikleri ve prosedürleri (TTP’ler) daha güzel anlamak ve tahlil etmek için çağdaş fidye yazılımları hakkında kapsamlı bir çalışma hazırladı. Yapılan tahliller Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte ve BlackCat’in faaliyetlerine odaklanıyor. Amerika Birleşik Devletleri, İngiltere, Almanya ve başka ülkelerde faaliyet gösteren bu kümeler Mart 2021 ile Mart 2022 içinde imalat, yazılım geliştirme ve küçük işletme üzere bölümlerdeki 500’den çok kuruluşu gaye aldı.
Kaspersky uzmanları, bu fidye yazılımı kümelerinin MITRE ATT&CK bilgi tabanında açıklanan teknikleri ve taktikleri nasıl kullandığını tahlil etti ve siber taarruz zinciri boyunca TTP’ler içinde biroldukça benzerlik buldu. Şirket ağının yahut kurbanın bilgisayarının amaç alınması, makûs gayeli yazılımların teslimi, keşif, kimlik detaylarıne erişim, gölge kopyaları silme, yedekleri ortadan kaldırma ve son olarak ana maksada ulaşma olmak üzere fidye yazılımı atakları birbirine pek benzeyen ve kolaylıkla varsayım edilebilen bir prosedür izliyor.
Araştırmacılar ataklar içindeki benzerliğin nereden geldiğini şu biçimde açıklıyor:
Kendinizi ve işletmenizi fidye yazılımı ataklarından korumak için Kaspersky aşağıdaki şu kurallara uymanızı öneriyor:
Dahası, Kaspersky uzmanları iç yapıları, reklamları ve ataklar sırasında kullandıkları yaratıcı teknikler açısından fidye yazılımı kümelerinin giderek endüstriyel hale gelişine şahit oluyor. Bu eğilim, bu yılın başlarında Kaspersky tarafınca yayınlanan fidye yazılımı trendlerinde de belirtilmişti.
Kaspersky Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout, şunları söylüyor: “Fidye yazılımlarının geliştirilmesinde, daha sofistike ve gayeli olmanın yanı sıra kurbanları daha fazla tehdide maruz bırakma tarafında besbelli bir eğilim görüyoruz. Son senelerda fidye yazılımı kümeleri, dağınık çetelerden sıyrılıp tam teşekküllü bir sanayinin ayırt edici özelliklerine sahip işletmelere uzanan uzun bir yol kat etti. Fidye yazılımı taarruzlarının daha evvel küçük ölçekli saldırganlarda pek rastlamadığımız, vakit alıcı fakat son derece verimli bir biçimde manuel olarak gerçekleştirildiği durumlarla daha fazla karşılaşıyoruz”.
Kaspersky Tehdit İstihbaratı grubu, en yaygın taktikleri, teknikleri ve prosedürleri (TTP’ler) daha güzel anlamak ve tahlil etmek için çağdaş fidye yazılımları hakkında kapsamlı bir çalışma hazırladı. Yapılan tahliller Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte ve BlackCat’in faaliyetlerine odaklanıyor. Amerika Birleşik Devletleri, İngiltere, Almanya ve başka ülkelerde faaliyet gösteren bu kümeler Mart 2021 ile Mart 2022 içinde imalat, yazılım geliştirme ve küçük işletme üzere bölümlerdeki 500’den çok kuruluşu gaye aldı.
Kaspersky uzmanları, bu fidye yazılımı kümelerinin MITRE ATT&CK bilgi tabanında açıklanan teknikleri ve taktikleri nasıl kullandığını tahlil etti ve siber taarruz zinciri boyunca TTP’ler içinde biroldukça benzerlik buldu. Şirket ağının yahut kurbanın bilgisayarının amaç alınması, makûs gayeli yazılımların teslimi, keşif, kimlik detaylarıne erişim, gölge kopyaları silme, yedekleri ortadan kaldırma ve son olarak ana maksada ulaşma olmak üzere fidye yazılımı atakları birbirine pek benzeyen ve kolaylıkla varsayım edilebilen bir prosedür izliyor.
Araştırmacılar ataklar içindeki benzerliğin nereden geldiğini şu biçimde açıklıyor:
- Fidye yazılımı kümelerinin kendi başlarına makûs emelli yazılım dağıtmadıkları, sadece data şifreleme hizmetlerini sağladığı “Hizmet Olarak Fidye Yazılımı” (RaaS) isimli bir olgu giderek yayılıyor. Makus niyetli belgeleri dağıtan bireyler de bu işi daha kolay yoldan yapmak istedikleri için, erişim sağlarken aşikâr bir şablona uygun teslim biçimlerini yahut otomasyona dayalı araçları kullanıyor.
- Bilinen ve misal araçları bir daha kullanmak saldırganların hayatını kolaylaştırıyor ve taarruz hazırlama müddetini azaltıyor.
- Ortak TTP’lerin bir daha kullanılması, bilgisayar korsanlığını kolaylaştırıyor. Lakin bu tıp teknikleri tespit etmek mümkün olsa da mümkün tüm tehdit vektörlerine dair önleyici önlem almak son derece sıkıntı.
- Kurbanlar güncellemeleri ve yamaları yüklemekte geç kalıyor. Birden fazla vakit atağa uğrayanları savunmasız kalanlar oluşturuyor.
Kendinizi ve işletmenizi fidye yazılımı ataklarından korumak için Kaspersky aşağıdaki şu kurallara uymanızı öneriyor:
- Uzak masaüstü/yönetim hizmetlerini (RDP, MSSQL vb.) kesinlikle gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her vakit kuvvetli parolalar, iki faktörlü kimlik doğrulama ve güvenlik duvarı kuralları kullanın.
- Uzak çalışanlara erişim sağlayan ve ağınızda ağ geçidi nazaranvi nazarann ticari VPN tahlilleri için mevcut yamaları vakit geçirmeden kurun.
- Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm aygıtlarda yazılımlarınızı her vakit yeni tutun.
- Savunma stratejinizi yanal hareketleri ve internete bilgi sızmasını tespit etmeye odaklayın. Siber hatalıların temaslarını tespit etmek için giden istikametteki trafiğe bilhassa dikkat edin.
- Çevrimdışı yedekleme stratejilerine bilhassa dikkat edin ve bilgilerinizi sistemli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklediğiniz datalara süratli bir biçimde erişebildiğinizden emin olun.
- Bilinmeyen kaynaklardan yazılım indirmekten ve korsan yazılım indirip kurmaktan kaçının.
- Tedarik zincirinizin ve yönetilen hizmetlerin ortamınıza erişimini değerlendirin ve denetleyin.
- Herhangi bir bilgi hırsızlığı durumunda bilgilerinizin açığa çıkmasıyla ilgili prestij riski için bir hareket planı hazırlayın.
- Saldırganlar kesin gayelerine ulaşmadan evvel, saldırıyı erken kademede belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response Expert ve Kaspersky Managed Detection and Response hizmetleri üzere tahlilleri kullanın.
- Kurumsal ortamınızı korumak için çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform ile sağlanan özel eğitim kursları size bu bahiste yardımcı olabilir.
- Açıklardan yararlanma tedbire, davranış algılama ve berbat maksatlı hareketleri geri alabilen bir düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business üzere sağlam bir uç nokta güvenlik tahlilini tercih edin. KESB ayrıyeten siber hatalılar tarafınca kaldırılmasını engelleyebilecek müdafaa sistemlerine da sahiptir.
- Tehdit aktörleri tarafınca kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı ayrıntılarını kullanın. Kaspersky Tehdit İstihbarat Portalı, yaklaşık 25 yıldır grubumuz tarafınca toplanan siber taarruz datalarını ve öngörülerini sağlayan Kaspersky’nin TI’si için ortak bir erişim noktasıdır. İşletmelerin bu güç vakit içinderda daha tesirli savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber taarruzlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız olarak erişim sağladığını duyurdu. Teklife erişim isteğinde bulunmak için bu adresi kullanabilirsiniz.