Fidye Yazılım Saldırıları, Dijital Adli Tıp ile Engellenebilir mi? 

Britanya Ulusal Siber Güvenlik Merkezi’ne göre, 2021’in ilk çeyreğinde yaşanan fidye yazılım saldırıları 2019’un tamamında yaşanan saldırıların üç katı olarak belirdi. Bir diğer rapora göre, küresel alandaki şirketlere yönelik saldırılarda %93 oranında artış yaşandı.

Siber suçlular düzenledikleri saldırıların sayısı, fidye talepleri ve bilgileri sızdırmaya yönelik tehditleriyle giderek daha fazla agresif olmaya başlıyor. Bu sebeple şirketlerin giderek artan tehdide dijital adli tıp kullanarak karşı koyması gerekiyor.

Fidye yazılım saldırılarında zararın anlaşılması, yayılmasını önlemek ve geri kazanımı sağlamak için kullanılabilecek yöntemler şu şekilde:

Enfekte sistemlerin izole edilmesi ve yedekleme

Fidye yazılım saldırılarına başlangıcında dosyaların şifrelenmesi için gereken sürenin sadece üç saniye olduğu belirtiliyor. Bilişim teknolojileri ekiplerinin enfekte sistemleri en kısa zamanda izole etmesi, yedeklemeleri hazırlamaları ve birebir kopyaların enfekte olmadığını temin etmeleri gerekiyor.

Enfekte sistemlerin izole edilmesini sağlamak saldırının diğer sistemleri etkilemesini önleyen en iyi senaryo olarak beliriyor. Diğer adım ise geri kurtarma aşamasına giriyor: Eğer yedeklemeler ve birebir kopyalar enfekte edilmemiş ise güvenlik ekipleri fidye ödemek zorunda kalmadan sistemleri tekrar yükleyebilir.

Etkilenen sistemlerin denetlenmesi 

Büyük şirketler fidye yazılım saldırısının kuşatması altındayken sistemlerine binlerce cihaz bağlı olabilir. Her bir cihaza tek tek adli tıp analizi gerçekleştirmek aylar süren bir işlemdir. Öte yandan, uzmanlar analizlerini dijital adli tıp triyaj yöntemini kullanarak gerçekleştirebilir.

Bu aşamada ağ bağlantıları denetlemesi, işlem kayıtları, RAM ve diğer hassas veriler incelenir. Bu şekilde saldırının detayları hakkında bilgi elde edilir ve soruşturmanın nasıl devam edeceği anlaşılır.

Analizler saldırının etkilediği noktaların belirlenmesi, gerçekleştirilen kötü amaçlı işlemler ve veri sızdırma eylemlerinin tespit edilmesini sağlar. Ek olarak, saldırganların yöntemleri, saldırı taktikleri ve süreçleri (TTPs) hakkında bilgi edinilir. Son noktalar üzerinde yapılan detaylı analizle, fidye yazılım saldırısının türünü ortaya çıkarmayı sağlayacağı gibi tam bir adli tıp analizi gerçekleştirilmesini sağlayacaktır.

Tam kapsamlı adli tıp analizi 

Tüm sistemler üzerinde gerçekleştirilecek adli tıp analizi sayesinde hangi verilere erişim sağlandığı ve bu bilgilerle neler gerçekleştirildiği anlaşılabilir. Saldırganlar giderek daha fazla “double extortion” taktiği kullanarak ilk olarak bilgileri şifreliyor, ardından sızdırıyor ve sonrasında fidye ödenmemesi halinde yayınlamak ile tehdit ediyor.

Double extortion (Çifte ifşa veya zorlama), siber saldırganların bilgisayar ağındaki bilgileri şifrelemekle yetinmeyip ele geçirdikleri bilgileri fidye almadıkları sürece internete sızdırma tehdidinde bulunmalarını kapsıyor.

Yakın zamandaki bir araştırma, fidye yazılım saldırılarının ardından internete sızdırılan şirket bilgilerinde %935 oranında artış olduğunu gösterdi. Bir saldırının tüm boyutunu anlayabilmek için adli tıp uzmanları saldırının zaman çizelgesini çıkararak siber saldırganların sistem içindeki hareketlerini deşifre ediyor. Bu noktada belli sorula beliriyor: Siber saldırganlar yönetici hesaplarına erişim sağladı mı? Kişisel tanımlanabilir bilgileri şifrelediler mi? Fikri mülkiyet haklarını sızdılar mı?

Başlangıç olarak analistler, fidye yazılımın ağ içerisinde yayılmasını sağlayan merkezileşmiş varlıkların tanımlanmasına başlar. Saldırıda rol oynayan her bir enfekte cihazı inceleyerek sisteme giriş, içinde yanal ilerleme veya veri sızdırma işlemlerinden hangisi için kullanıldıklarını anlarlar.

Her bir cihazı tek tek toplamak yerine, hedef son noktalar üzerinde uzaktan inceleme yapılabilir. Şirket ağına bağlı olmadıkları zamanda bile tam disk görüntüleri alabilir, hassas verileri inceleyebilir, en son yedekleme ve sistem girişlerini denetleyebilirler. Böylece, fidye yazılımın türü ve TTP’ler ortaya çıkarılacaktır. Fidye yazılımların varyantları ağ bağlantılarını öne çıkarabileceği gibi takvimde belirlenmiş görevleri incelemelerini de sağlayabilir. Nihayetinde tüm siber saldırı zinciri ortaya çıkarılır ve saldırının tüm boyutu anlaşılır.

Sonuçların kurtarma için kullanımı

Soruşturmanın tamamlanmasının ardından sonuçlar sistemin geri kazanılması için kullanılır. İlk olarak saldırı ile bağlantılı IP adreslerinin bloke edilmesi dışa giden trafiği durdurur. Ardından bir adli tıp analizi ile siber müdahalenin izlerinin silindiği kontrol edilir; saldırının yenilenmesi için bir arka kapı bulunmadığından emin olunur. Bu durumun çok sık yaşandığı da altı çizilen bir uyarı olarak beliriyor. Güvenlik uzmanları, fidye yazılım saldırısına maruz kalan şirketlerin %80’inin ikinci bir saldırı ile karşılaştığını belirtiyor.

Siber saldırı zincirinin tanımlanması, sistemin geri kazanılması için de kritik önem taşır. Eğer saldırının nasıl gerçekleştiği anlaşılırsa, hatalardan ders çıkarma şansı doğar. Hiçbir güvenlik bariyeri geçilemez diye bir durum olmasa da, güvenlikteki zayıf noktaların belirlenmesi ve yamanması sayesinde gelecekteki tehditlere karşı önlem artırılmış olur.