Fidye yazılımı biraz zaman geçiriyor. Check Point, fidye yazılım saldırılarının h1 2021’de bir önceki yılın başına göre dünya genelinde %102 arttığını ve aynı dönemde kurumsal fidye yazılım kurbanlarının sayısının iki katına çıktığını ortaya koydu. Ortalama fidye ödemeleri de 2019’da %171 artarak 115.123 dolardan bir yıl sonra 312.493 dolara yükseldi. Ancak bunlar saldırganların talep ettiği miktarlar değildi. Gerçekten de fidye yazılımı aktörleri 2020’de kurbanlarından ortalama 847.344 dolar istedi. Bazıları 30 milyon dolar istedi.
Bu bulguların arkasında ne var?
Gartner, aşağıdakileri belirttiğinde bunu en iyi şekilde ifade etti: “fidye yazılımı ve diğer kötü amaçlı yazılım biçimlerinin zorlukları, [kötü niyetli] bilgisayar korsanlarının sürekli değişen taktikleri ve gündemleridir.”
Örnek olarak üçlü gasp taktiğini ele alalım. Görünüşe göre, fidye yazılımı aktörleri kurbanlarını bir kez karşılık gelen bir şifre çözme anahtarı için ve ikinci kez çalınan verilerinin silinmesi için iki kez gasp etmekten memnun değiller. Yoksa neden asıl kurbanları için müşterilerden, ortaklardan ve diğer üçüncü taraflardan ödeme talep etmeye başlamaya karar versinler?
Fidye yazılımı aktörlerinin örneğin bir Fin psikoterapi kliniğine bulaşmayı başardığı bir olayı anlattı. Kurban sonunda saldırganların taleplerini karşıladı. Öyle olsa bile, bu fidye yazılımı aktörlerinin kliniğin hastalarına ödeme yapmadıkları sürece oturum notlarını yayınlayacaklarını bildirmelerini engellemedi.
Çift şifrelemenin yükselişi, fidye yazılımının büyümesini açıklamaya da yardımcı oluyor. Wired tarafından belirtildiği gibi, çift şifreleme, saldırganların kurbanın verilerini etkilemek için birden fazla fidye yazılımı türü kullandığı bir tekniktir. Bazen, çift şifreleme, saldırganların hangi sistemleri ve verileri şifrelediklerini iki veya daha fazla fidye yazılımı türü arasında böldüğü “yan yana ” şifreleme olarak bilinen şeyin kullanılmasını içerebilir. Diğer zamanlarda, saldırganların bir fidye yazılımı suşu dağıttığı ve ardından diğer fidye yazılımı suşlarını üstüne kattığı “katmanlı şifreleme” içerebilir. Her iki durumda da çift şifreleme kurbanların verilerini kurtarmasını zorlaştırır ve saldırganların bir fidye yazılımı olayında daha fazla para talep etmelerini cesaretlendirir.
FIM ve SCM: fidye yazılımı savunmasının anahtarları
Fidye yazılımı aktörleri, saldırılarının karlılığını en üst düzeye çıkarmak için her zaman yeni taktikler icat edecektir. Bu gerçeği kabul ederek, kuruluşların kendilerini bir fidye yazılımı enfeksiyonunun temel unsurlarına karşı savunmaları gerekir. Bilmiyor olabilirler sorundur.
Tripwire Enterprise’ın devreye girdiği yer orası. Tripwire Enterprise, iki temel güvenlik denetimi kullanarak kuruluşları fidye yazılımlarından korur: dosya bütünlüğü izleme ve güvenlik yapılandırma yönetimi. Bunları aşağıda inceleyelim.
Tripwire Dosya Bütünlüğü İzleme
Değişiklik izleme olarak bilinen dosya bütünlüğü izleme (FIM), dosyalardaki değişiklikleri izleyen bir teknolojidir. Kuruluşlar bu güvenlik denetimini, dijital bir saldırının göstergesi olabilecek beklenmeyen değişiklikleri izlemek için kullanabilir. Ancak, FIM çözümü çok fazla değişiklik bildirirse, bu değişiklikler etrafında herhangi bir bağlam sağlamazsa ve bu değişikliklerin sistemlerinin karşılaştığı risk seviyelerini neden yükselttiğine dair bir fikir göndermezse, bu geri tepebilir.
Kuruluşlar, bu ve diğer dijital saldırı noktalarını birbirine bağlayan FIM yeteneklerine ihtiyaç duyarlar. Bu özellikle bir fidye yazılımı olayı durumunda geçerlidir. Neyse ki, Tripwire Enterprise tüm bunları uç noktalardaki dosyalardaki değişiklikleri gerçek zamanlı olarak algılayarak yapar. Fidye yazılımının yeni, şifreli bir dosya oluşturduğunu ve orijinali sildiğini görür, böylece fidye yazılımından etkilenen dosyaların tanımlanmasına yardımcı olur. Ayrıca, kuruluşların çevrelerinde neler olup bittiğine dair çok önemli bilgiler sağlayan otomatik uyarılar oluşturmalarını ve böylece tespit ve kurtarma çabalarını azaltmalarını sağlar.
Güvenlik Yapılandırma Yönetimi
Beklenmeyen değişiklikler için dosyalarının izlenmesine ek olarak, kuruluşların güvenlik yapılandırma Yönetimi’ni kullanarak ürünlerinin ve sistemlerinin bütünlüğünü izlemeleri gerekir. SCM, varlıklarının her biri için güvenli bir temel oluşturarak başlar. (Kuruluşlar nereden başlayacaklarını bilmiyorlarsa, standart güvenli taban çizgileri için Internet Güvenliği merkezi gibi güvenilir kuruluşlara bakabilirler.) Daha sonra, bir varlığın yapılandırmasının bilinen güvenli bir taban çizgisinden sürüklendiği durumlarda yapılandırma sürüklenmesini izleyebilirler. Böyle bir örneği tespit ederlerse, kuruluşlar sapmayı giderebilir ve daha büyük bir güvenlik olayının parçası olup olmadığını araştırabilirler.
SCM söz konusu olduğunda, Tripwire Enterprise‘ın ilke uyumluluk hatasını algılaması, birisinin sunucu veya uygulama yapılandırmalarını kurcaladığına dair erken uyarı işareti olarak kullanılabilir. Bu genellikle bir fidye yazılımı saldırısının ilk aşamalarında geçerlidir. Tripwire Enterprise daha sonra kuruluşların düzeltme önerileri ve otomatik düzeltme komut dosyaları aracılığıyla sorunu düzeltmelerine yardımcı olur.
Fidye Yazılımı Savunması Fidye Yazılımı Önlemedir
Fidye yazılımı sistemlerinizi ele geçirdikten sonra, hasarı geri almak için genellikle çok geç olur. Önleme ve ransomware hızlı tespiti üzerine koyarak odağı bir örgüt saldırı yüzey daralma için anahtar budur. Bu şekilde, saldırganlar ilk etapta giriş yapamazlar.