Fidye yazılımı, depolama ve yedekleme: Etkiler, sınırlar ve yetenekler

Geçtiğimiz on yılda, fidye yazılımları, görece belirsiz bir suç olmaktan çıkıp, en büyük şirketlerin ve hatta hükümetlerin gözünün önünde olduğu, milyarlarca dolarlık bir sektöre dönüştü.

Organize siber suç grupları, kurbanlarından altı ve yedi veya daha fazla sayıda fidye talep ediyor. Ağa sızma, kötü amaçlı yazılım ve şifrelemenin bir kombinasyonunu kullanan fidye yazılımı, depolamaya saldırarak, verileri şifreleyerek ve hatta yedeklemeleri devre dışı bırakarak firmaları verilerinden uzak tutar.

Siber suç grupları, suçlulara ödemeleri almak için düşük riskli bir yol sağlayan kripto para birimlerinin büyümesi ve veri şifrelemenin ötesine geçen tekniklerle de desteklendi. Bunlar, hassas verileri serbest bırakmaya yönelik ikili ve üçlü gasp saldırılarını ve tehditleri içerir.

Maersk, Colonial Pipelines ve Irish Heath Services Executive’i vuranlar gibi fidye yazılımı saldırıları, neden oldukları aksama nedeniyle manşetlere hakim oldu. Ancak fidye yazılımı saldırıları artık olağan ve önlenmesi giderek zorlaşıyor.

Bir veri güvenliği şirketi olan Kroll’daki uzmanlara göre, şirketin araştırmalarının %25 ila %45’i şu anda fidye yazılımı saldırılarını içeriyor.

Kroll’da tehdit istihbaratını kapsayan genel müdür yardımcısı Laurie Iacono, az sayıda fidye yazılımı grubunun artık çoğu saldırının arkasında olduğunu ve saldırıların %86’sının artık yalnızca şifreleme değil, veri hırsızlığı içerdiğini söylüyor.

“Gördüğümüz şey, fidye yazılımının baskın bir saldırı vektörü haline gelmesi” diyor.

Fidye yazılımı saldırıları nasıl çalışır?

Bir kuruluşa fidye yazılımının geleneksel yolu, yürütülebilir bir dosya içeren virüslü bir ekten veya kullanıcıları kötü amaçlı yazılım içeren bir web sitesini ziyaret etmeye yönlendirmekten geçer. Enjekte edilen bu yazılım ağ üzerinde konuşlandırılır ve hedeflerini arar.

İkili ve üçlü gasp saldırıları, saldırganların verileri sızdırmasına izin veren sistemlerde arka kapılar oluşturur. Bu, giderek artan bir şekilde, Active Directory gibi çekirdek ağ hizmetlerine yönelik yedeklemelerin ve saldırıların devre dışı bırakılmasıyla el ele gider.

En yeni nesil fidye yazılımı saldırıları, yedekleme sistemlerini, cihazları ve sanal makineleri hedef alır. Danışmanlık firması KPMG’de siber olaylara müdahale başkanı Oisin Fouere, “Fiziksel cihazları ve sanallaştırılmış cihazları hedef alıyorlar” diyor.

“Sanal altyapı üzerinde birçok yedekleme sistemi barındırılıyor. Bu sistemlerle ilgili işletim sistemi düzeyindeki bilgileri hedefleyip silmeye ve aynı zamanda sistemlerin temellerinin peşine düşmeye başladılar.”

Ve Kroll’s Iacono’nun işaret ettiği gibi, fidye yazılımı grupları genellikle yedekleme sistemleri konusunda teknik bilgiye sahip kişileri işe alır.

Ama önce fidye yazılımının şirket ağına girmesi gerekiyor. Geleneksel ve hala en yaygın yaklaşım, virüslü ekler göndermek veya çalışanları virüslü web bağlantılarını tıklamaya ikna etmek için kimlik avı saldırısı veya diğer sosyal mühendislik biçimlerini kullanmaktır.

Kilitleme sırasında, fidye yazılımı grupları sanal özel ağlardaki ve uzak masaüstü sistemlerindeki ve fidye yazılımı vakalarında ani bir artışa neden olan zayıflıklardan yararlandı.

KPMG’den Fouere, “Kötü korunan veya yetersiz yapılandırılan uzaktan erişim sistemlerine çok fazla maruz kalındı, bu da saldırganların izinsiz giriş vektörü sorununu çözmek için zaman harcamasına gerek olmadığı anlamına geliyordu” diyor. “Neredeyse ön kapıdan sola açık bir senaryoyla karşılaşıyorlardı ve bu son birkaç yıldır favori bir seçimdi.”

Bu erişim noktalarının sertleşmesi, fidye yazılımı olaylarında son zamanlarda görülen düşüşün arkasındadır. Ancak uzmanlar, bunun rehavet için bir neden olmadığı konusunda uyarıyor.

PA Consulting’de bir siber güvenlik uzmanı olan Keith Chappell’in belirttiği gibi, “aslında bir amacı olan, operasyonları bozmak ya da para kazanmak için şantaj yapmak olan daha kasıtlı, daha hedefli ve daha iyi araştırılmış saldırılar” görüyoruz.

Fidye yazılımı saldırısı depolamayı ve yedeklemeyi nasıl etkiler?

Fidye yazılımı saldırıları, verilere erişimi reddetmek için yola çıktı. Erken nesil saldırılar, genellikle bireylerin bilgisayarlarındaki disk sürücülerini oldukça düşük dereceli şifreleme yöntemleriyle hedef aldı. Kurbanlar birkaç yüz dolara şifre çözme kodu alabilirler.

Ancak, modern saldırılar hem daha seçici hem de daha zararlıdır. Saldırganlar, yüksek değerli hedefleri bulmak için giderek daha fazla keşif kullanıyor. Bunlar, müşteri, ticari veya sağlık kayıtları veya fikri mülkiyet gibi kişisel tanımlanabilir verileri içerir. Bunlar, firmaların kamuya açıklanmasından en çok korkacakları dosyalardır.

Ancak saldırganlar aynı zamanda ağları ve kimlik ve erişim yönetimi verilerine, operasyonel teknoloji dahil operasyonel sistemlere ve canlı veri akışlarının yanı sıra yedeklemeler ve arşivleri de hedefler. Yedeklemelerin veya felaket kurtarma ve iş sürekliliği sistemlerinin peşinden giden ikili ve üçlü gasp saldırıları, en büyük ödeme şansını sunar. Bir sistemi kurtarma veya yedeklerden verileri geri yükleme yeteneği olmadan, firmaların ödeme yapmaktan başka seçeneği olmayabilir.

Saldırganlar ayrıca, ayrıcalıkları yükseltmek, daha ileri veya daha derin saldırılar gerçekleştirmek için tehlikeye atabilecekleri ve kullanabilecekleri hesaplar ararlar. Bu nedenle, güvenlik ekiplerinin yalnızca ana veri depolarını değil, yönetim sistemlerini de güvence altına alması gerekir.

PA Consulting’den Chappell, “Çoğu zaman, bir oltalama saldırısı veya fidye saldırısı, devam eden başka bir şey için maskeleme tekniği olarak kullanılabilir veya başka bir şey yapılarak maskelenebilir,” diye uyarıyor.

Fidye yazılımı saldırısı durumunda depolama ve yedekleme nasıl yardımcı olur?

Suçlu bilgisayar korsanları aktif olarak yedekleri hedef alsalar da, fidye yazılımlarına karşı en iyi savunma olarak kalırlar.

Firmaların düzenli yedeklemeler aldıklarından ve bunların değiştirilemez olduğundan, saha dışında depolandığından veya ideal olarak her ikisinin de olduğundan emin olmaları gerekir. Chappell, “Verileri günlük, haftalık ve aylık olarak yedeklemelisiniz ve yedekleri fiziksel olarak ayrı, bağlantısız konumlarda, ideal olarak farklı biçimlerde depolamalısınız” diyor.

Saldırıya uğrayabilecek sistemlerden gelen “hava boşluğu” verilerinin gerekliliği hakkında çok şey söylendi ve bu hiçbir yerde yedek kopyaların depolanmasından daha önemli değildir. Ancak, teyp gibi daha eski yedekleme ortamları, işin gerektirdiği zaman ölçeklerinde tam bir kurtarmaya izin vermek için genellikle çok yavaştır.

KPMG’den Fouere, “Kuruluşlar, bu teyp yedeklerinin geri yüklenmesi için birkaç ay bekleyemeyeceklerini anladılar” diyor. Bunun yerine, müşterilerin öncelikle hız için bulut tabanlı esneklik ve kurtarmaya baktığını söylüyor.

Buna karşılık, yedekleme tedarikçileri ve bulut hizmeti sağlayıcıları artık ek bir koruma katmanı olarak değişmez yedeklemeler sunuyor. Üst düzey, aktiften aktife iş sürekliliği sistemleri, veriler birincil sistemden yedekleme sistemine kopyalanırken fidye yazılımlarına karşı savunmasız kalır. Bu nedenle, firmaların sağlam bir yedeklemeye ve kurtarma için kullanılmadan önce ve ideal olarak veriler kaydedilirken birimleri kötü amaçlı yazılımlara karşı tarama yollarına ihtiyaçları vardır.

Ancak BT kuruluşlarının da yedekleme sistemlerini korumak için adımlar atması gerekiyor. Kroll’s Iacono, “Tıpkı diğer yazılım ürünleri gibi onlar da savunmasızlar” diyor. “Yedekleme sistemlerinin yamalandığından emin olmalısınız. Tehdit aktörlerinin, veri hırsızlığı veya tespitten kaçmalarına yardımcı olmak için yedekleme sistemlerindeki güvenlik açıklarından yararlandığı durumlarla karşılaştık.”

Bazı BT ekipleri daha da ileri gidiyor. Fidye yazılımı gruplarının keşif için daha fazla zaman harcamasıyla firmalar, sunucuların ve depolama hacimlerinin adlarını gizlemektedir. Yüksek değerli veri depoları için bariz etiketleri kullanmaktan kaçınmak basit ve düşük maliyetli bir adımdır ve bir saldırıyı durdurmak söz konusu olduğunda değerli zaman alabilir.

Fidye yazılımlarına karşı koruma olarak depolama ve yedeklemenin sınırları nelerdir?

Veri yedeklemeleri konusunda iyi bir disiplin, fidye yazılımı saldırılarının etkinliğini azalttı. Bu, siber suç gruplarının neden yedekleme sistemlerini hedef alan ve verileri sızdıran ikili ve üçlü gasp saldırılarına yöneldiğini açıklayabilir.

Disk veya bulut depolamanın yanı sıra değişmez yedekleri kullanmak, fidye yazılımlarının etkisini en aza indirmeye devam eder. Ancak firmaların kritik sistemlerin tüm parçalarının tam olarak korunmasını sağlamaları gerekiyor. Buna test dahildir. Bir ana veri deposu yedeklense bile, işletim veya yönetim verileri şifrelenirse, yedekleme planı dışında bırakıldıkları için sistem geri yükleyemeyebilir.

Ve firmaların ayrıca iyi yedeklemelerin olduğu yerlerde veri geri yüklemesine izin vermesi gerekiyor. En son yedekleme ve kurtarma araçlarıyla bile, bu hala yıkıcı bir süreç.

Değişmez yedeklemeler de veri hırsızlığını engellemez. Burada firmaların veri varlıklarının şifrelenmesine yatırım yapması gerekiyor. Bunu ancak verilerinin nerede olduğuna dair doğru ve güncel bir anlayışa sahiplerse yapabilirler. Kuruluşlar, olağandışı veri hareketlerini tespit edebilen ve ayrıcalıklı kullanıcı hesaplarını korumaya yatırım yapabilen izleme araçlarına bakmalı.

Çoğu fidye yazılımı kimlik avı ve sosyal mühendislik tarafından yayılmaya devam ederken, firmalar çevrelerini korumak için teknik adımlar atabilir.

Ancak, çok faktörlü kimlik doğrulama ile birlikte şüpheli e-postaları, bağlantıları ve ekleri tespit etmek için personel eğitimi, fidye yazılımlarına karşı en güçlü savunmadır. Fidye yazılımları için, diğer dolandırıcılık ve çevrimiçi suç türlerinde olduğu gibi, güvenlik bilinci, derinlemesine savunmanın önemli bir parçasıdır.

Read Previous

Kişisel olarak tanımlanabilir verilerin kişisel tutulması

Read Next

InterDigital, beş Horizon Europe 6G amiral gemisi projesini ödüllendirdi

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -