Fidye Yazılım Korumasının Gerekliliği
Fidye yazılımı saldırıları, Colonial Pipeline, Kaseya ve JBS Foods fidye yazılımı saldırıları ile 2022’de de manşetlerde yer almaya ve işletmelere korku salmaya devam ediyor. 2022’de yüksek profilli kurbanlara karşı bir dizi yıkıcı saldırı düzenlendi. Bunlar arasında Kosta Rika Hükümeti‘ni, otomotiv devi Toyota’yı, ABD’li çip üreticisi Nvidia’yı felce uğratan Conti fidye yazılımı saldırısı ve daha küçük kuruluşlara yönelik bildirilmeyen binlerce saldırı yer alıyor. Statista‘ya göre, 2022’nin ilk yarısında dünya çapında 236,1 milyon fidye yazılımı saldırısı meydana geldi ve bu, rekordaki en yıkıcı yıllardan biri olma yolunda.
Source: https://www.shutterstock.com/
Fidye Yazılımı ile İlgili Endişe Verici Gelişmeler
Son yıllarda fidye yazılımı saldırılarındaki keskin artışta payı olan fidye yazılımı taktikleri, teknikleri ve prosedürlerindeki (TTP) dört gelişmeyi burada bulabilirsiniz. Bu gelişmeler, zaten ciddi bir boyutta olan fidye yazılımı tehdit ortamını daha da şiddetlendirecek gibi gözüküyor. Büyük ve küçük, özel ve kamu kuruluşlarının, riski kabul etmek ve fidye yazılımlarına karşı korunma önlemleri almak için bu gelişmelerden haberdar olması gerekiyor.
1. Hizmet Olarak Fidye Yazılımı
Hizmet Olarak Fidye Yazılımı (RaaS), tehdidi gerçekleştirecek kişinin, kendi saldırılarını gerçekleştirmek için hazır fidye yazılımlarını kullanması için bir fidye yazılımı geliştiricisine ödeme yaptığı iş modelidir. RaaS, Global Fidye Yazılımı Trendleri Raporumuzda vurgulandığı üzere, son birkaç yılda gelişen bir sektör haline geldi. RaaS, amatör bilgisayar korsanlarının fidye yazılımı sahnesine girmesini sağlamıştır. Bu gelişme, daha deneyimli saldırganlar tarafından yüksek değerli kuruluşlara yönelik “büyük oyun” saldırılarına ek olarak, fidye yazılımı saldırılarının kapsamını daha fazla KOBİ’yi içerecek şekilde genişletti.
2. Çifte Gasp Fidye Yazılımı
Çifte gasp (double extortion), saldırganın kurbanın verilerini şifrelemeye ek olarak verileri çaldığı bir fidye yazılımı saldırısıdır. Saldırgan, çalınan verileri ifşa etme veya satma tehdidinde bulunarak kurbana fidyeyi ödemesi için ek bir baskı oluşturur. Yedekleme teknolojisindeki gelişmeler, kurbanların saldırganın taleplerine boyun eğmeden verilerini geri yükleyebileceği anlamına geliyordu. Bununla birlikte, çifte gaspın yedeklemeye karşı etkili bir karşı önlem olduğu kanıtlanmıştır ve şifrelenmiş verilerini yedeklerinden geri yükleyebilen kuruluşların %26’sı 2021’de yine de fidyeyi ödemiştir (The State of Ransomware 2022).
3. Aralıklı Şifreleme Fidye Yazılımı
Aralıklı şifreleme (intermittent encryption), birkaç fidye yazılımı saldırısında kullanılan ve 2022’de RaaS operatörleri tarafından tanıtılan yeni bir tekniktir. Adından da anlaşılacağı gibi, aralıklı şifreleme, dosyaların kısmen şifrelenmesi ama yine de kullanılamaz hale getirilmesidir. Aralıklı şifreleme hala ilk günlerinde olmasına rağmen, fidye yazılımı saldırılarının etkinliğini önemli ölçüde artırabilir. Bir dosyanın yalnızca bir kısmını şifrelemesi nedeniyle şifreleme daha hızlıdır ve güvenlik araçlarına ve operatörlere saldırıları algılamak ve bunlara yanıt vermek için daha az zaman tanır. Kısmen şifrelenmiş dosyaların da belirli güvenlik araçlarına aynı göründükleri için tespit edilmekten kurtuldukları bulunmuştur.
4. Platformlar Arası Fidye Yazılımı
İlgi gören başka bir teknik ise platformlar arası fidye yazılımıdır (cross-platform ransomware). Fidye yazılımları, yakın zamana kadar, Windows, macOS, Linux, Android vb. yalnızca tek bir platformda çalışacak şekilde tasarlanıyordu. Ancak, fidye yazılımı geliştiricileri, şifreleme kapsamını genişletmek ve daha fazla kâr elde etmek için birden fazla sistemde çalışan fidye yazılımları oluşturmaya başladılar. Endişe verici bir şekilde, bazı fidye yazılımları hem Windows’a hem de ESXi sistemlerine (VMware’in sanal makineleri (VM) çalıştırmak için kullandığı kurumsal sınıf hipervizörü) bulaşabiliyor. Bir ESXi kümesine yönelik fidye yazılımı saldırısı, potansiyel olarak yüzlerce ve binlerce sanal makinenin verilerini şifreleyebilir.
Fidye Yazılımın Önlenmesi
1. Şüpheli E-postalara Karşı Tetikte Olun
Spear-phishing e-postaları, fidye yazılımı saldırıları için en çok kullanılan saldırı vektörüdür. Bu özel hazırlanmış sahte e-postalar, alıcıları bir linke tıklamaları veya bir eki indirmeleri için manipüle etmeye çalışır ve sonra da makineye kötü amaçlı yazılım yüklenir. Bu nedenle, fidye yazılımı bulaşmasını önlemenin etkili bir yolu, şüpheli e-postalara karşı tetikte olmaktır. Örneğin, gönderenin e-posta adresini kontrol edin ve e-postanın içeriğiyle tutarlı olup olmadıklarını kontrol etmek üzere URL’yi görmek için bağlantıların üzerine gelin. Herkesin bilgi sahibi olduğundan emin olmak için personeli şüpheli e-postaları nasıl tespit edecekleri ve bunlarla nasıl başa çıkacakları konusunda eğitin.
2. Yazılımlar ve İşletim Sistemini Güncel Tutun
Yaygın olarak kullanılan bir başka saldırı vektörü ise yazılım ve işletim sistemi güvenlik açıklarıdır. Yazılım hatası olarak da bilinen güvenlik açıkları, kötü niyetli kişiler tarafından izinsiz erişim elde etmek için kullanılabilen zayıflıklardır. Yazılım ve işletim sistemi satıcıları, bilinen güvenlik açıklarına yama yapmak için düzenli olarak güncellemeler yayınlar, bu nedenle tüm yazılım ve işletim sisteminizin her zaman güncel olduğundan emin olun. Otomatik güncellemeleri açın, zaman zaman güncellemeleri manuel olarak kontrol edin ve güncelleme bildirimlerini göz ardı etmeyin. Ayrıca, yazılım ve işletim sistemi sağlayıcılarınızın yanı sıra Sangfor gibi güvenlik sağlayıcıları tarafından yayınlanan güvenlik açığı uyarıları ve önerilerini takip etmeye devam edin.
3. Uzak Masaüstü Protokolü Bağlantılarını Koruyun
Güvenli olmayan uzak masaüstü protokolü (RDP) bağlantıları, ilk üç fidye yazılımı saldırı vektöründen biridir. RDP, kullanıcıların diğer bilgisayarlara ve sunuculara bir grafik arabirimi aracılığıyla uzaktan erişmelerini sağlar. Bilgisayar korsanları, kaba kuvvet saldırısı, çalınan kimlik bilgileri veya RDP güvenlik açıkları yoluyla internette mevcut açık RDP portlarını -keşfedebilir ve erişim elde edebilir. Pandeminin getirdiği evden çalışma olgusu, RDP saldırılarında ani bir artışa neden olmuştur. 2020’nin 1. çeyreği ile 4. çeyreği arasında RDP saldırıları %768 oranında arttı.
Açıkçası, fidye yazılımı saldırılarını önlemek için bir RDP bağlantısının güvenliğini sağlamak çok önemlidir. Bir RDP bağlantısını güvenli hale getirmenin birkaç yolu şunlardır:
- Güçlü Kimlik Doğrulama Süreci: Karmaşık şifreler kullanın ve iki faktörlü kimlik doğrulaması uygulayın.
- Zamanında Yamalama: RDP güvenlik açıklarını gidermek için RDP istemcilerini güncel tutun.
- Varsayılan Portu Değiştirin: Varsayılan RDP portunu 3389’dan başka bir şeye değiştirin.
- Güvenlik Duvarı Kurun: Güvenlik duvarını RDP oturumlarını IP adresine göre kısıtlayacak şekilde yapılandırın.
- RDP Erişimini Kısıtlayın: RDP erişimini belirli bir kullanıcı grubuyla sınırlayın.
- VPN Kullanın: Bir VPN kullanarak RDP bağlantılarını tünelleyin.
- NLA’yı Etkinleştirin: Eski Windows sürümlerinde varsayılan olmayan Ağ Düzeyi Kimlik Doğrulamasını (NLA) etkinleştirin.
Fidye Yazılımın Algılanması
1. Honeypot
Honeypot (bal küpü), saldırganları cezbetmek ve böylece dikkatlerini gerçek sistemlerden uzaklaştırmak için kullanılan bir tuzak bilgisayar sistemidir. Bir bal küpünün etkili olabilmesi için müşteri bilgileri ve fikri mülkiyet gibi değerli verileri yem dosyalar olarak içermesi gerekir. Bal küpü, kolay bir hedef gibi görünmesi için eski bir işletim sistemi veya açık portlar gibi güvenlik açıkları da içermelidir. Sistem, dosyaların şifrelenmekte olduğunu algıladığında, güvenlik operatörleri saldırıya karşı uyarılır. Nasıl kurulduğuna bağlı olarak bir bal küpü, gerçek sistemleri saldırılara karşı tamamen koruyabilir veya güvenlik ekiplerine müdahale etmeleri için daha fazla zaman tanımak üzere bir arabellek görevi görebilir.
2. Uç Nokta Güvenlik Algılaması
Fidye yazılımı saldırı vektörlerinin çoğu, ilk erişim için bilgisayarları hedef alır; bu nedenle, fidye yazılımı saldırılarını tespit etmek için uç nokta güvenlik çözümlerinin kurulması bir zorunluluktur. Ancak, imza tabanlı kötü amaçlı yazılımdan koruma ve antivirüs yazılımlarından kaçınmak isteyebilirsiniz. Bu eski çözümler, gelişmiş fidye yazılımı saldırılarına karşı yeterli değildir. Örneğin, yetenekli saldırganlar, saldırıyı düzenlemek için kötü niyetli kodlarını gizleyebilir veya yasal sistem araçlarını kullanabilirler. Bilinmeyen ve gelişmiş kötü amaçlı yazılımların yanı sıra uç noktalardaki şüpheli davranışları tespit etmek için yapay zeka ve gerçek zamanlı tehdit istihbaratı kullanan daha gelişmiş Uç Nokta Algılama ve Müdahale (EDR) çözümleri kullanmayı düşünün.
3. Ağ Güvenlik Algılaması
Bazen bir fidye yazılımı saldırısı o kadar ileri düzeyde olabilir ki uç nokta güvenlik algılamasını atlatmayı veya devre dışı bırakmayı bile başarabilir. Ancak, saldırganların yanal hareket girişiminde bulunacağını bilmek, saldırıyı ağ düzeyinde algılama fırsatı olduğu anlamına gelir.
Ağ Güvenlik Algılaması ve Yanıtı (NDR), güvenlik yöneticilerine tüm ağ cihazlarının, kullanıcıların, uygulamaların ve bunlar arasında akan trafiğin tam görünümünü sağlayan güçlü bir teknolojidir. NDR, yapay zeka ve davranış analizi kullanarak, normal ağ davranışının referans çizgilerinden sapan etkinliği tespit etmek için ağ genelindeki trafiği sürekli olarak analiz eder ve ilişkilendirir. NDR, belirli davranışlara otomatik olarak yanıt verecek veya güvenlik operatörlerini daha fazla araştırma için uyaracak şekilde yapılandırılabilir. NDR, diğer güvenlik çözümlerinin gözden kaçırdığı en karmaşık fidye yazılımı saldırılarına karşı güçlü bir son savunma hattı sağlar.
Ağ güvenlik algılaması ve yanıtı hakkında bilmeniz gereken her şeyi öğrenmek için aşağıdaki beyaz tahta videosunu izleyin.
Beyaz Tahta Hikayesi: NDR Nedir? | Sangfor Cyber Command
Sangfor’dan Fidye Yazılım Koruması
Sangfor Endpoint Secure (EDR)
Sangfor Endpoint Secure, geleneksel antivirüs ve kötü amaçlı yazılımdan korumanın ötesine geçen güçlü bir Uç Nokta Güvenlik Algılaması ve Yanıt (EDR) çözümüdür. Sangfor Endpoint Secure, uç noktalar için rakipsiz kötü amaçlı yazılım koruması sağlamak için Sangfor’un tescilli Engine Zero yapay zeka destekli kötü amaçlı yazılım algılama motorundan ve Neural-X tehdit istihbarat platformundan yararlanır.
- Amaca Yönelik Fidye Yazılım Koruması Araçları.
- Sangfor Endpoint Secure, fidye yazılımı şifreleme sürecini hızlı bir şekilde algılayıp sonlandırarak sistemdeki herhangi bir hasarı en aza indiren dünyanın ilk ve tek uç nokta fidye yazılımı bal küpü (honeypot) de dahil olmak üzere yenilikçi fidye yazılımı önleme araçlarıyla oluşturulmuştur. Şifreleme kontrol uygulaması da saptanır ve diğer virüslü sistemlerde bulunur ve “One-Click Kill” ile tespit edilen fidye yazılımını kuruluş genelinde tek tıkla ortadan kaldırmaya olanak tanır.
- Sertifikalı Fidye Yazılım Koruması.
- Sangfor Endpoint Secure kısa bir süre önce BT güvenlik ürünleri için dünyanın önde gelen test enstitülerinden biri olan AV-Test tarafından gerçekleştirilen Advanced Threat Detection Testinde %100 fidye yazılımı koruması seviyesi ortaya koydu. Sangfor Endpoint Secure, AV-Test “Advanced Approved Endpoint Protection” sertifikasını almak için canlı fidye yazılımı saldırılarını 10’da 10 başarıyla algıladı. Güvenebileceğiniz fidye yazılımı koruması için Endpoint Secure’un mükemmel performansı hakkında daha fazla bilgi edinmek için bu makaleyi okuyun.
Avantajları, özellikleri ve yetenekleri, başarı öyküleri ve videoları hakkında daha fazla bilgi edinmek için Endpoint Secure web sayfasını ziyaret edin.
Sangfor Endpoint Secure’un fidye yazılımı saldırılarına karşı eylem halindeki demo videosu