Fidye yazılımı internette neredeyse yepyeni bir tehdit değil. Kökleri uzun yıllara dayanmaktadır. Bu tehdit zamanla daha tehlikeli ve acımasız hale geldi.
“Fidye yazılımı” kelimesi, son yıllarda birçok işletmeyi kullanılamaz hale getiren siber saldırıların bombardımanı sonucunda yaygın bir şekilde tanındı.
PC'nizdeki tüm dosyalar indirildi ve şifrelendi ve ardından ekranınız kararıyor ve tökezleyen İngilizce bir mesaj beliriyor.
YBir şifre çözme anahtarı elde etmek veya hassas verilerinizin karanlık ağda yayınlanmasını önlemek için Bitcoin veya diğer izlenemeyen kripto para birimlerinde siyah şapkalı siber suçlulara fidye ödemeniz gerekir.
Ancak, bu tür saldırıları (veya RaaS) gerçekleştirebilen iyi organize edilmiş bir yeraltı dünyası iş modeli olan Hizmet olarak fidye yazılımının çok azı farkında olabilir.
Fidye yazılımı yaratıcıları, saldırıları kendileri gerçekleştirmek yerine, pahalı virüslerini, fidye yazılımı operasyonlarını yürütmekle ilişkili risklere maruz kalmaya hazır, daha az deneyimli siber suçlulara kiralar.
Yine de hepsi nasıl çalışıyor? Hiyerarşiyi kim yönetiyor ve kim aracı olarak işlev görüyor? Ve belki daha da önemlisi, bu sakatlayıcı saldırılara karşı işinizi ve kendinizi nasıl savunabilirsiniz?
RaaS hakkında daha fazla bilgi edinmek için okumaya devam edin.
Hizmet Olarak Fidye Yazılımı (RaaS) nedir?
Hizmet olarak fidye yazılımı (RaaS), herkesin bir araya gelmesine ve fidye yazılımı saldırıları başlatmak için araçları kullanmasına izin veren bir suç kurumsal iş modelidir.
Hizmet olarak yazılım (SaaS) veya hizmet olarak platform (PaaS) gibi diğer hizmet olarak modellerini kullananlar gibi RaaS kullanıcıları, kendi fidye yazılımı hizmetlerini kullanmak yerine kiralar.
Suçluların karanlık ağda fidye yazılımı satın almalarını ve kodlamayı bilmeden fidye yazılımı saldırıları gerçekleştirmelerini sağlayan, düşük kodlu, hizmet olarak yazılım saldırı vektörüdür.
E-posta kimlik avı şemaları, RaaS güvenlik açıkları için yaygın bir saldırı vektörüdür.
Bir kurban, saldırganın e-postasındaki kötü amaçlı bir bağlantıya tıkladığında, fidye yazılımı indirip etkilenen makineye yayılarak güvenlik duvarlarını ve virüsten koruma yazılımını devre dışı bırakır.
RaaS yazılımı, kurbanın çevre savunması ihlal edildiğinde ayrıcalıkları yükseltmenin yollarını arayabilir ve sonunda dosyaları erişilemeyecekleri noktaya kadar şifreleyerek tüm organizasyonu rehin alabilir.
Kurban saldırıdan haberdar olduğunda, program onlara fidyenin nasıl ödeneceği ve (ideal olarak) şifrenin çözülmesi için doğru kriptografik anahtarın nasıl alınacağı konusunda talimatlar verecektir.
RaaS ve fidye yazılımı güvenlik açıkları yasa dışı olsa da, bu tür saldırıları gerçekleştiren suçlular, kurbanlarına erişmek ve bitcoin fidye ödemeleri talep etmek için Tor tarayıcılarını (soğan yönlendiricileri olarak da bilinir) kullandıklarından, yakalanması özellikle zor olabilir.
FBI, giderek daha fazla sayıda kötü amaçlı yazılım oluşturucunun, haraç gelirlerinin bir kısmı karşılığında zararlı LCNC (düşük kodlu/kodsuz) programlarını yaydığını iddia ediyor.
RaaS modeli nasıl çalışır?
Geliştiriciler ve İştirakler, etkili bir RaaS saldırısı gerçekleştirmek için işbirliği yapar. Geliştiriciler, daha sonra bir bağlı kuruluşa satılan özel fidye yazılımı kötü amaçlı yazılımları yazmaktan sorumludur.
Fidye yazılımı kodu ve saldırıyı başlatma talimatları geliştiriciler tarafından sağlanır. RaaS'ın kullanımı basittir ve çok az teknolojik bilgi gerektirir.
Dark web'e erişimi olan herkes portala girebilir, üye olarak katılabilir ve tek bir tıklamayla saldırılar başlatabilir. İştirakler, dağıtmak istedikleri virüs türünü seçer ve başlamak için genellikle Bitcoin olmak üzere bir kripto para birimi kullanarak ödeme yapar.
Geliştirici ve bağlı kuruluş, fidye parası ödendiğinde ve saldırı başarılı olduğunda kazançları böler. Gelir modelinin türü, fonların nasıl tahsis edileceğini belirler.
Bu yasadışı iş stratejilerinden birkaçını inceleyelim.
Satış Ortağı RaaS
Fidye yazılımı grubunun marka bilinirliği, kampanyaların başarı oranları ve sunulan hizmetlerin kalitesi ve çeşitliliği gibi çeşitli faktörler nedeniyle, yer altı ortaklık programları en iyi bilinen RaaS biçimlerinden biri haline geldi.
Suç örgütleri, fidye yazılımı kodlarını çete içinde tutmak için sık sık iş ağlarına kendi başlarına girebilecek bilgisayar korsanlarını arar. Daha sonra saldırıyı başlatmak için virüsü ve yardımı kullanırlar.
Bununla birlikte, bu kriterleri karşılamak için karanlık ağda satış için kurumsal ağ erişiminin son zamanlarda yükselişi göz önüne alındığında, bir bilgisayar korsanının buna ihtiyacı bile olmayabilir.
İyi desteklenen, daha az deneyimli bilgisayar korsanları, fidye yazılımı kodunu kullanmak için aylık veya yıllık bir ücret ödemek yerine, kâr payı karşılığında yüksek riskli saldırılar başlatır (ancak bazen bağlı kuruluşların oynamak için ödeme yapması gerekebilir).
Çoğu zaman, fidye yazılımı çeteleri, bir şirket ağına girecek kadar yetenekli ve grevi gerçekleştirecek kadar cesur bilgisayar korsanları arar.
Bu sistemde, bağlı kuruluş genellikle fidyenin %60 ila %70'ini alır ve kalan %30 ila %40'ı RaaS operatörüne gönderilir.
Aboneliğe dayalı RaaS
Bu taktikte dolandırıcılar, fidye yazılımına, teknik desteğe ve virüs güncellemelerine erişmek için düzenli olarak üyelik ücreti öderler. Netflix, Spotify veya Microsoft Office 365 gibi birçok web tabanlı abonelik hizmeti modeli bununla karşılaştırılabilir.
Normalde, fidye yazılımı suçluları, hizmet için önceden ödeme yaparlarsa, fidye ödemelerinden elde edilen gelirin %100'ünü kendileri için tutarlar ve bu, RaaS tedarikçisine bağlı olarak her ay 50 ila yüzlerce dolara mal olabilir.
Bu üyelik ücretleri, yaklaşık 220,000 dolarlık olağan fidye ödemesine kıyasla mütevazı bir yatırımı temsil ediyor. Tabii ki, bağlı kuruluş programları, planlarına ücretli, abonelik tabanlı bir öğeyi de dahil edebilir.
ömür boyu izin
Kötü amaçlı yazılım üreticisi, bir kerelik ödeme için paketler sunmaya karar verebilir ve abonelikler ve kar paylaşımı yoluyla sürekli para kazanmak yerine doğrudan siber saldırılara dahil olma şansını elde etmekten kaçınabilir.
Bu durumda siber suçlular, uygun gördükleri herhangi bir şekilde kullanabilecekleri bir fidye yazılımı kitine ömür boyu erişim sağlamak için bir kerelik ücret öderler.
Bazı düşük seviyeli siber suçlular, operatörün yakalanması durumunda RaaS operatörüne bağlanmaları daha zor olacağından, önemli ölçüde daha pahalı olsa bile (gelişmiş kitler için on binlerce dolar) bir kerelik satın almayı seçebilir.
RaaS ortaklıkları
Fidye yazılımı kullanan siber saldırılar, dahil olan her bir bilgisayar korsanının benzersiz bir dizi yeteneğe sahip olmasını gerektirir.
Bu senaryoda bir grup bir araya gelerek operasyona çeşitli katkılarda bulunacaktı. Başlamak için bir fidye yazılımı kodu geliştiricisi, kurumsal ağ korsanları ve İngilizce konuşan bir fidye müzakerecisi gerekir.
Kampanyadaki rollerine ve önemine bağlı olarak, her katılımcı veya ortak, kazançları paylaşmayı kabul eder.
RaaS saldırısı nasıl tespit edilir?
Tipik olarak, %100 etkili bir fidye yazılımı saldırı koruması yoktur. Ancak, kimlik avı e-postaları, fidye yazılımı saldırılarını gerçekleştirmek için kullanılan birincil yöntem olmaya devam ediyor.
Bu nedenle, bir şirket, personelin kimlik avı e-postalarını nasıl tespit edecekleri konusunda mümkün olan en iyi anlayışa sahip olmasını sağlamak için kimlik avı farkındalık eğitimi sağlamalıdır.
Teknik düzeyde, işletmelerin tehdit avcılığı yapmakla görevli özel bir siber güvenlik ekibi olabilir. Tehdit avı, fidye yazılımı saldırılarını tespit etmek ve önlemek için çok başarılı bir yöntemdir.
Bu süreçte saldırı vektörleri hakkındaki bilgiler kullanılarak bir teori oluşturulur. Önsezi ve veriler, saldırının nedenini hızlı bir şekilde tespit edip durdurabilecek bir programın oluşturulmasına yardımcı olur.
Ağ üzerinde beklenmeyen dosya yürütme, şüpheli davranış vb. durumlara karşı gözünüzü açık tutmak için tehdit avlama araçları kullanılır. Girişilen fidye yazılımı saldırılarını belirlemek için, Uzlaşma Göstergeleri (IOC'ler) saatini kullanırlar.
Ek olarak, her biri hedef organizasyonun endüstrisine göre uyarlanmış birçok durumsal tehdit avlama modeli kullanılır.
RaaS örnekleri
Fidye yazılımı yazarları, bir RaaS işi kurmanın ne kadar karlı olduğunu yeni fark ettiler. Ek olarak, fidye yazılımlarını hemen hemen her işletmeye yaymak için RaaS operasyonları kuran birkaç tehdit aktörü kuruluş olmuştur. Bunlar RaaS kuruluşlarından birkaçı:
- DarkSide: En ünlü RaaS sağlayıcılarından biridir. Raporlara göre, Mayıs 2021'de Colonial Pipeline'a yapılan saldırının arkasında bu çete vardı. DarkSide'ın 2020 yılının Ağustos ayında başladığına ve 2021'in ilk birkaç ayında faaliyette zirveye ulaştığına inanılıyor.
- Dharma: Dharma Ransomware ilk olarak 2016 yılında CrySis adı altında ortaya çıktı. Yıllar boyunca birkaç Dharma Ransomware varyasyonu olmasına rağmen, Dharma ilk olarak 2020'de RaaS formatında ortaya çıktı.
- Labirent: Diğer birçok RaaS sağlayıcısında olduğu gibi Maze de 2019'da çıkış yaptı. RaaS kuruluşu, kullanıcı verilerini şifrelemenin yanı sıra kurbanları aşağılamak amacıyla verileri herkese açık olarak yayınlamakla tehdit etti. Labirent RaaS, bunun nedenleri hala biraz belirsiz olsa da, Kasım 2020'de resmen kapatıldı. Ancak bazı akademisyenler, aynı suçluların Egregor gibi çeşitli isimler altında ısrar ettiklerine inanıyor.
- DoppelPaymer: 2020'de Almanya'da bir hastaneye karşı bir hastanın ölümüne neden olan bir olay da dahil olmak üzere bir dizi olayla bağlantılıdır.
- Ryuk: RaaS 2019'da daha aktif olmasına rağmen, en azından 2017'de var olduğuna inanılıyor. CrowdStrike ve FireEye dahil olmak üzere birçok güvenlik şirketi, bazı araştırmacılar tarafından yapılan, kıyafetin Kuzey Kore'de bulunduğuna dair iddiaları yalanladı.
- Kilit Biti: Kuruluş, dosya uzantısı olarak kurban dosyalarını şifrelemek için kullanır, ilk olarak Eylül 2019'da ortaya çıkan “.abcd virüsü”. LockBit'in bir hedef ağ üzerinde özerk bir şekilde yayılma kapasitesi, özelliklerinden biridir. Saldırganlar için bu, onu arzu edilen bir RaaS yapar.
- Revil: Birkaç RaaS sağlayıcısı olmasına rağmen, 2021'de en yaygın olanıydı. Temmuz 2021'de meydana gelen ve en az 1,500 şirketi etkileyen Kaseya saldırısı, REvil RaaS ile bağlantılıydı. Örgütün ayrıca, kurbanın 2021 milyon dolar fidye ödemek zorunda kaldığı et üreticisi JBS USA'ya Haziran 11 saldırısının arkasında olduğu düşünülüyor. Ayrıca, Mart 2021'de siber sigorta sağlayıcısı CNA Financial'a yönelik bir fidye yazılımı saldırısından da sorumlu olduğu tespit edildi.
RaaS saldırıları nasıl önlenir?
RaaS bilgisayar korsanları en sık, kötü amaçlı yazılım dağıtmak için özgün görünmek üzere ustalıkla oluşturulmuş karmaşık hedef odaklı kimlik avı e-postalarını kullanır. RaaS açıklarından korunmak için son kullanıcılar için devam eden güvenlik bilinci eğitimini destekleyen sağlam bir risk yönetimi yaklaşımı gereklidir.
İlk ve en iyi koruma, son kullanıcıları en yeni kimlik avı teknikleri ve fidye yazılımı saldırılarının mali durumları ve itibarları için temsil ettiği tehlikeler hakkında bilgilendiren bir iş kültürü oluşturmaktır. Bu konudaki girişimler şunları içerir:
- Yazılım yükseltmeleri: İşletim sistemleri ve uygulamalar, fidye yazılımları tarafından sıklıkla istismar edilir. Fidye yazılımı saldırılarını durdurmaya yardımcı olmak için, yamalar ve güncellemeler yayınlandığında yazılımı güncellemek önemlidir.
- Verilerinizi yedeklemeye ve geri yüklemeye dikkat edin: Bir veri yedekleme ve kurtarma stratejisi oluşturmak ilk ve muhtemelen en önemli adımdır. Fidye yazılımı tarafından şifrelendikten sonra veriler kullanıcılar için kullanılamaz hale gelir. Bir şirketin kurtarma prosedüründe kullanılabilecek güncel yedekleri varsa, bir saldırgan tarafından veri şifrelemenin etkisi azaltılabilir.
- Kimlik avının önlenmesi: E-posta yoluyla kimlik avı, fidye yazılımı için tipik bir saldırı yöntemidir. Bir tür kimlik avı önleme e-posta koruması varsa, RaaS saldırıları önlenebilir.
- Çok faktörlü kimlik doğrulama: Bazı fidye yazılımı saldırganları, bir siteden başka bir siteden çalınan parolaların kullanılmasını içeren kimlik bilgisi doldurma kullanır. Erişim elde etmek için hala ikinci bir faktör gerekli olduğundan, çok faktörlü kimlik doğrulama, aşırı kullanılan tek bir parolanın etkisini azaltır.
- XDR uç noktaları için güvenlik: XDR gibi uç nokta güvenliği ve tehdit avlama teknolojileri, fidye yazılımlarına karşı ek bir önemli savunma katmanı sunar. Bu, fidye yazılımı tehlikesini azaltmaya yardımcı olan gelişmiş algılama ve yanıt yetenekleri sunar.
- DNS kısıtlaması: Fidye yazılımı, bir RaaS operatörünün platformuyla arayüz oluşturmak için sıklıkla bir tür komut ve kontrol (C2) sunucusu kullanır. Bir DNS sorgusu, virüslü bir makineden C2 sunucusuna iletişimde neredeyse her zaman yer alır. Kuruluşlar, fidye yazılımının RaaS C2 ile etkileşime girmeye çalıştığını anlayabilir ve bir DNS filtreleme güvenlik çözümü yardımıyla iletişimi engelleyebilir. Bu, bir tür enfeksiyon önleme işlevi görebilir.
RaaS'ın Geleceği
RaaS saldırıları gelecekte bilgisayar korsanları arasında daha yaygın hale gelecek ve çok sevilecektir. Yakın tarihli bir rapora göre, son 60 aydaki tüm siber saldırıların %18'ından fazlası RaaS tabanlıydı.
RaaS, kullanımının ne kadar basit olması ve teknik bilgi gerektirmemesi nedeniyle giderek daha popüler hale geliyor. Ek olarak, hayati altyapıyı hedef alan RaaS saldırılarında bir artışa hazırlanmalıyız.
Bu sağlık, yönetim, ulaşım ve enerji alanlarını kapsar. Bilgisayar korsanları, hastaneler ve enerji santralleri gibi varlıkları RaaS saldırılarının hedefi haline getirerek, bu önemli sektörleri ve kurumları her zamankinden daha fazla açıkta görüyor. tedarik zinciri Sorunlar 2022'ye kadar devam ediyor.
Sonuç
Sonuç olarak, bir Hizmet Olarak Fidye Yazılımı (RaaS) bir yaratılış ve dijital kullanıcıları avlamak için en son tehlikelerden biri olsa bile, bu tehditle mücadele etmek için belirli önleyici tedbirlerin alınması çok önemlidir.
Diğer temel güvenlik önlemlerine ek olarak, sizi bu tehditten daha fazla korumak için son teknoloji kötü amaçlı yazılımdan koruma araçlarına da güvenebilirsiniz. Ne yazık ki, RaaS şimdilik burada kalacak gibi görünüyor.
Başarılı bir RaaS saldırısı olasılığını azaltmak için RaaS saldırılarına karşı korunmak için kapsamlı bir teknoloji ve siber güvenlik planına ihtiyacınız olacak.
Yorum bırak