Fidye yazılımı virüsleri, diğer kötü amaçlı yazılım türleri gibi, yıllar içinde gelişir ve değişir; kullanıcının sisteme giriş yapmasını engelleyen basit dolaplardan, yasanın hayali ihlalleri nedeniyle kovuşturmayı tehdit eden "polis" fidye yazılımlarına kadar şifreleme programlarına geldik. Bu kötü amaçlı yazılımlar, sabit sürücülerdeki (veya sürücülerin tamamındaki) dosyaları şifreler ve sisteme erişimin iadesi için değil, kullanıcının bilgilerinin silinmemesi, karanlık ağda satılmaması veya çevrimiçi olarak halka açıklanmaması için fidye talep eder. . Üstelik fidyeyi ödemek, dosyaların şifresini çözecek anahtarın alınacağını hiçbir şekilde garanti etmez. Ve hayır, bu “yüz yıl önce zaten oldu” ama hâlâ güncel bir tehdit.
Bilgisayar korsanlarının başarısı ve bu tür saldırıların karlılığı göz önüne alındığında uzmanlar, gelecekte sıklıklarının ve yaratıcılıklarının artacağına inanıyor. İle Cybersecurity Ventures, 2016 yılında fidye yazılımı virüslerinin şirketlere yaklaşık 40 saniyede bir saldırdığını, 2019'da bu saldırının her 14 saniyede bir gerçekleştiğini, 2021'de ise sıklığın her 11 saniyede bir saldırı olacağını belirtiyor. Gerekli fidyenin (özellikle büyük şirketlere veya kentsel altyapıya yönelik hedefli saldırılarda) genellikle saldırının neden olduğu zarardan kat kat daha düşük olduğunu belirtmekte fayda var. Böylece, Mayıs ayında ABD'nin Maryland eyaletinin Baltimore kentindeki hükümet yapılarına düzenlenen saldırı, XNUMX milyon liradan fazla hasara yol açtı. Bilgisayar korsanlarının beyan ettiği fidye tutarının ise 76 bin dolar bitcoin karşılığı olduğu belirtildi. A , Georgia, Ağustos 2018'de şehre 17 milyon dolara mal oldu ve gerekli fidye 52 dolardı.
Trend Micro uzmanları, 2019'un ilk aylarında fidye yazılımı virüsleri kullanılarak yapılan saldırıları analiz etti ve bu yazımızda ikinci yarıda dünyayı bekleyen ana trendlerden bahsedeceğiz.
Fidye yazılımı virüsü: kısa bir dosya
Fidye yazılımı virüsünün anlamı, adından da bellidir: Kullanıcının gizli veya değerli bilgilerini yok etmekle (veya tam tersine yayınlamakla) tehdit eden bilgisayar korsanları, bu virüsü, erişime geri dönmek için fidye talep etmek amacıyla kullanır. Sıradan kullanıcılar için bu tür bir saldırı hoş olmasa da kritik değildir: Son on yılda bir müzik koleksiyonunu veya tatillerden fotoğrafları kaybetme tehdidi, fidyenin ödenmesini garanti etmez.
Organizasyonlar için ise durum tamamen farklı görünüyor. İş kesintisinin her dakikası paraya mal olur, dolayısıyla modern bir şirket için bir sisteme, uygulamalara veya verilere erişimin kaybı kayıplara eşittir. Bu nedenle son yıllarda fidye yazılımı saldırılarının odak noktası yavaş yavaş virüs bombardımanından aktiviteyi azaltmaya ve fidye alma şansının ve büyüklüğünün en yüksek olduğu faaliyet alanlarındaki kuruluşlara yönelik hedefli baskınlara yöneldi. Buna karşılık kuruluşlar kendilerini tehditlere karşı iki ana yolla korumaya çalışıyor: Saldırılardan sonra altyapıyı ve veritabanlarını etkili bir şekilde geri yüklemenin yollarını geliştirerek ve kötü amaçlı yazılımları tespit edip anında yok eden daha modern siber savunma sistemlerini benimseyerek.
Güncel kalmak ve kötü amaçlı yazılımlarla mücadeleye yönelik yeni çözümler ve teknolojiler geliştirmek için Trend Micro, siber güvenlik sistemlerinden elde edilen sonuçları sürekli olarak analiz ediyor. Trend Micro'ya göre , son yıllarda fidye yazılımı saldırılarında durum şöyle görünüyor:
2019'da Mağdurun Seçimi
Bu yıl siber suçlular kurban seçiminde açıkça çok daha seçici hale geldiler: Daha az korunan ve normal işleyişine hızlı bir şekilde geri dönmek için büyük meblağlar ödemeye hazır kuruluşları hedef alıyorlar. Bu nedenle, yılın başından bu yana, Lake City (fidye - 530 bin ABD doları) ve Riviera Beach (fidye - 600 bin ABD doları) dahil olmak üzere hükümet yapılarına ve büyük şehirlerin idaresine yönelik çok sayıda saldırı kaydedildi. .
Sektörlere göre ayrılmış ana saldırı vektörleri şöyle görünür:
— %27 — devlet kurumları;
— %20 — üretim;
— %14 — sağlık hizmetleri;
— %6 — perakende ticaret;
— %5 — eğitim.
Siber suçlular, bir saldırıya hazırlanmak ve karlılığını değerlendirmek için sıklıkla OSINT'i (kamu kaynağı istihbaratı) kullanır. Bilgi toplayarak kuruluşun iş modelini ve bir saldırı nedeniyle maruz kalabileceği itibar risklerini daha iyi anlarlar. Bilgisayar korsanları ayrıca fidye yazılımı virüsleri kullanılarak tamamen izole edilebilecek veya devre dışı bırakılabilecek en önemli sistemleri ve alt sistemleri de arar; bu, fidye alma şansını artırır. Son olarak, siber güvenlik sistemlerinin durumu değerlendirilir: BT uzmanlarının yüksek olasılıkla onu püskürtebildiği bir şirkete saldırı başlatmanın hiçbir anlamı yoktur.
2019'un ikinci yarısında bu eğilim hala geçerli olacak. Bilgisayar korsanları, iş süreçlerinin kesintiye uğramasının maksimum kayıplara yol açtığı yeni faaliyet alanları (örneğin ulaşım, kritik altyapı, enerji) bulacaktır.
Penetrasyon ve enfeksiyon yöntemleri
Bu alanda da sürekli değişiklikler yaşanıyor. En popüler araçlar kimlik avı, web sitelerindeki ve virüslü İnternet sayfalarındaki kötü amaçlı reklamların yanı sıra açıklardan yararlanma amaçlı uygulamalar olmaya devam ediyor. Aynı zamanda, saldırıların ana "suç ortağı" hala bu siteleri açan ve bağlantılar yoluyla veya e-postadan dosya indiren çalışan kullanıcıdır ve bu da tüm kuruluşun ağına daha fazla virüs bulaşmasına neden olur.
Ancak 2019'un ikinci yarısında bu araçlar aşağıdakilere eklenecektir:
- sosyal mühendislik kullanan saldırıların daha aktif kullanımı (mağdurun, bilgisayar korsanının istediği eylemleri gönüllü olarak gerçekleştirdiği veya örneğin kuruluşun yönetim temsilcisi veya müşterisi ile iletişim kurduğuna inanarak bilgi verdiği bir saldırı), çalışanlar hakkında kamuya açık kaynaklardan bilgi toplanmasını basitleştiren;
- Darknet'ten satın alınabilecek uzaktan yönetim sistemleri için oturum açma bilgileri ve parolalar gibi çalıntı kimlik bilgilerinin kullanılması;
- Sahadaki bilgisayar korsanlarının kritik sistemleri keşfetmesine ve güvenliği alt etmesine olanak tanıyacak fiziksel hackleme ve sızma.
Saldırıları gizleme yöntemleri
Trend Micro da dahil olmak üzere siber güvenlik alanındaki gelişmeler sayesinde, klasik fidye yazılımı ailelerinin tespiti son yıllarda çok daha kolay hale geldi. Makine öğrenimi ve davranışsal analiz teknolojileri, kötü amaçlı yazılımların sisteme sızmadan önce tespit edilmesine yardımcı olur, bu nedenle bilgisayar korsanlarının saldırıları gizlemek için alternatif yollar bulması gerekir.
BT güvenliği alanındaki uzmanların zaten bildiği ve siber suçluların yeni teknolojileri, şüpheli dosyaları ve makine öğrenimi sistemlerini analiz etmek, dosyasız kötü amaçlı yazılımlar geliştirmek ve siber güvenlik sağlayıcılarının yazılımları ve bunlara erişimi olan çeşitli uzaktan hizmetler de dahil olmak üzere virüslü lisanslı yazılımları kullanmak için sanal alanları etkisiz hale getirmeyi amaçlıyor. kuruluşun ağı.
Sonuçlar ve tavsiyeler
Genel olarak 2019 yılının ikinci yarısında siber suçlulara büyük fidyeler ödeyebilen büyük kuruluşlara yönelik hedefli saldırıların gerçekleşme ihtimalinin yüksek olduğunu söyleyebiliriz. Ancak bilgisayar korsanları her zaman bilgisayar korsanlığı çözümleri ve kötü amaçlı yazılımları kendileri geliştirmezler. Bunlardan bazıları, örneğin halihazırda var olan kötü şöhretli GandCrab ekibi. Yaklaşık 150 milyon ABD doları kazanan , RaaS şemasına göre çalışmaya devam ediyor (hizmet olarak fidye yazılımı veya antivirüslere ve siber savunma sistemlerine benzetilerek "hizmet olarak fidye yazılımı virüsleri"). Yani bu yıl başarılı fidye yazılımlarının ve kripto dolapların dağıtımı yalnızca yaratıcıları tarafından değil aynı zamanda "kiracılar" tarafından da gerçekleştiriliyor.
Bu gibi durumlarda kuruluşların siber güvenlik sistemlerini ve saldırı durumunda veri kurtarma planlarını sürekli güncellemeleri gerekir çünkü fidye yazılımı virüsleriyle mücadelenin tek etkili yolu fidye ödemek ve yazarlarını bir kâr kaynağından mahrum bırakmak değildir.
Kaynak: habr.com