Siber Korsanlar Fidye Yazılım Saldırılarını Daha Etkili Hale Getirmenin Yeni Bir Yolunu Test Ediyor

2018’de fidye yazılımı saldırılarının dünya genelinde önceki yıla kıyasla yüzde 20 azalmıştı, ancak pandemi her şeyi değiştirdi ve 2021’de yüzde 300’ün üzerinde arttı. Egreror’dan tutun Doppelpaymer ve Ryuk’a kadar sayısız fidye yazılım siber güvenlik medyasında manşetleri süsledi. Pandemi sürecinde patlama yapan oltalama saldırıları, uzak uç noktalar üzerindeki görünürlüğün yetersiz olması, tehdide karşı gösterilen belirsiz tutum gibi faktörler siber suç örgütlerinin faaliyetlerinin son yıllarda önemli ölçüde artmasına neden oldu. Daha da kötüsü, fidye yazılım artık ayrım yapmıyor. Fidye yazılımlar küçük kasabalardan belediye bürolarına, video oyun üreticilerinden sağlık ve eğitim kurumlarına kadar akla gelebilecek her türlü kurum ve işletmeye saldırıyor. Üstelik son analizlere bakılırsa fidye yazılım tehdidi önümüzdeki iki ile üç senede daha da büyüyebilir.

Dahası bu yüksek riskli ortamda siber korsanlar, yetinmeyerek fidye yazılım saldırılarında, verileri şifrelemek yerine tamamen yok eden yeni bir saldırı türünü deniyorlar. Amaç, fidyeyi ödemeyen kurbanların verilerini geri almalarını imkânsız hale getirmek.

Fidye yazılımı, günümüzde dijital dünyanın karşı karşıya olduğu en büyük siber güvenlik sorunlarından biri olarak kabul ediliyor. Siber saldırıya uğrayan mağdurların birçoğu siber korsanlara boyun eğmeyi reddederken, büyük bir kısmı da bir şifre çözme anahtarı için ödeme yapmaktan başka seçeneklerinin olmadığını düşünüyor. İşin kaotik kısmı ise ödeme yapılması halinde bile vadedilen veri erişiminin sağlanmasının kesin olmaması. Siber korsanlar genellikle verileri sözlerinde durarak teslim etmek yerine imha etmeyi ya da sızdırmayı tercih ediyor. Verdikleri zarar katlanarak artıyor böylelikle.

Son araştırmalar ise kıskacın iyice daraldığına işaret. Stairwell’deki siber güvenlik araştırmacılarına göre ise siber korsanlar artık veri imha saldırılarını test etmeye başladı. Bunun da kurbanlar için son derece tehlikeli olabileceği düşünülüyor, çünkü şifrelenmiş dosyaları fidye ödemeden almak çoğu zaman mümkün olsa da gasp taleplerinin karşılanmaması durumunda sunucuların tamamen bozulması ve verilerin silinmesi tehdidi, daha fazla kurbanı pes etmeye itebilir.

Amaçları pes ettirmek

Siber korsanların bu yeni taktiği denemelerinin en büyük nedenlerinin birinin de bu olduğu düşünülüyor. Verileri şifrelemek yerine yok etme tehdidi, saldırı kurbanlarının ödeme yapmaları için ekstra bir teşvik sağlayabilir. Cyderes siber güvenlik araştırmacıları konuyla ilgili olarak: “Verileri şifreleme adımını ortadan kaldırmak, süreci daha hızlı hale getiriyor. Ayrıca ödemenin tamamını alamama veya kurbanın, verilerin şifresini çözmenin başka yollarını bulma riskini ortadan kaldırıyor.” ifadelerini kullanıyor.

Bir diğer neden olarak ise yıkıcı kötü amaçlı yazılımlar geliştirmenin fidye yazılımı tasarlamaktan daha kolay olması şeklinde gösteriliyor. Dolayısıyla veri imha saldırılarını kullanmak daha az kaynak ve zaman harcayarak saldırganlara daha fazla kâr sağlayabilir.

Bununla ilgili olarak Stairwell siber tehdit araştırmacısı Daniel Meyer: “Kararlı, sağlam fidye yazılımı oluşturmak, dosyaları bozmak için tasarlanmış kötü amaçlı yazılımlar oluşturmaktan çok daha yoğun bir geliştirme sürecidir.” ifadelerini kullanıyor. Meyer gasp aktörlerinin, artan yaygınlık ile veri hırsızlığı ve imhası denemelerine devam edecek gibi görüneceğini de sözlerine ekliyor.

Tehdit büyüyor

Siber suçluların ağları ihlal edip dosya ve sunucuları şifreledikten sonra şifre çözme anahtarı karşılığında ödeme talep ettiği fidye yazılım saldırıları, günümüzde dijital dünyanın karşı karşıya olduğu en önemli siber güvenlik sorunlarından biri. Hatta son araştırmalar, farklı türdeki fidye yazılımlarının sayısının bu yıl ikiye katlandığını gösteriyor.

Kritik altyapıları, hastaneleri ve çok daha fazlasını hedef alan siber suçlular yüzünden hiçbir sektör saldırılara karşı korunaklı değil. Maalesef çoğu durumda kurbanlar ağı geri yüklemek için fidye talebini kabul ediyor ve önerilmemesine karşın ödemeyi gerçekleştiriyorlar.

Fidye yazılımlarının devam eden başarısı, daha fazla siber suçlunun harekete geçmek istediği anlamına geliyor. Fortinet’teki siber güvenlik araştırmacılarının bir raporuna göre bu durum, fidye yazılımı varyantlarının bu yıl iki katına çıkmasına neden oldu.

Rapora göre, bunun en büyük itici güçlerinden biri, hizmet olarak fidye yazılımının (RaaS) yükselişi. Dark web’de satılan bu abonelik hizmetleri, acemi veya düşük vasıflı siber korsanların bile fidye yazılımlarına dahil olmasına izin verecek şekilde tasarlanıyor ve bunların birçoğu da kendi kullanım kılavuzları, hatta üreticisinin destek hizmetleriyle birlikte geliyor. Çoğu zaman fidye yazılımı geliştiricileri fidye taleplerinden elde edilen kârdan pay bile alıyor.

Bu noktada Fortinet söz konusu raporunda, “Fidye yazılımı, kötüye kullanım ve tedarik zincirine yönelik saldırılar, kötü şöhretleri ve yıkıcı yapıları nedeniyle manşetlere hükmetmeye devam edecek. Bu nedenle bunların yakın zamanda ortadan kaybolmalarını beklememeliyiz” uyarısında bulunuyor.

Fidye yazılım saldırılarından korunmak

Fidye yazılımlarının başarılı olmaya devam etmesinin en önemli nedenlerinden biri, mağdurların fidyeyi ödemekten başka seçeneklerinin olmadığını düşünmeleri ki siber güvenlik uzmanları bunun teşvik edici olduğunu söylüyor. Fidye yazılımı ve kötü amaçlı yazılım saldırıları son derece zarar verici olabilir, ancak kuruluşların ağlarını daha sağlam hale getirmelerine ve siber saldırılara karşı kendilerini korumalarına yardımcı olmak için atabilecekleri adımlar var.

Bunlar arasında siber korsanların saldırı başlatmak için bilinen güvenlik açıklarından yararlanmasını önlemek için güvenlik yamalarının (güncellemelerle gelenler, patch’ler, vb.) ve güncellemelerin zamanında uygulanması gibi çözümler yer alıyor.

Birçok fidye yazılımı saldırısı, yama uygulanmamış güvenlik açıkları aracılığıyla siber suçluların ağa girmelerinin bir sonucu olarak gerçekleştiriliyor. Bu nedenle güvenlik güncellemelerini, yayımlandıktan kısa bir süre sonra (tercihen hemen) uygulamak, ağdaki olası açıkları kapatmak adına kritik önem taşıyor.

Siber suçlular, hibrit ve uzaktan çalışmanın yükselişinin bir sonucu olarak bulut hizmetlerinin artan kullanımından da yararlanıyor. Eğer kullanıcı adlarını ve şifreleri çalabilirlerse, ağa meşru bir kullanıcıymış gibi erişebiliyorlar. Kullanıcılara iki faktörlü (2FA) ya da çok faktörlü kimlik doğrulama (MFA) sağlamak, saldırganların çalınan parolaları kullanmasını önlemeye yardımcı olabilir.

Ek olarak kurumların, dosyalarının ve sunucularının düzenli olarak çevrimdışı yedeklemelerini yapmaları gerekiyor. Böylelikle başarılı bir fidye yazılımı saldırısının en kötü senaryosunda bile dolandırıcılara ödeme yapmadan ağı geri yüklemek mümkün olabilir.

Daha fazla detay için buraya tıklayabilirsiniz.