Kaspersky Lab’s researchers have discovered an emerging and alarming trend: more and more cybercriminals are turning their attention from attacks against private users to targeted ransomware attacks against businesses.
Kaspersky Lab’ın araştırmacıları, siber suçlular arasında başlamakta olan tehlikeli bir eğilimi ortaya çıkardı. Saldırganlar, fidye yazılımları odağında bireysel kullanıcılardan ziyade şirketleri hedef almaya başlıyor. Şifreleyici fidye yazılımlarının geliştirilmesi ve dağıtımıyla bağlantılı en az sekiz siber suçlu grubu tespit edildi. Saldırılar şimdiye kadar öncelikli olarak dünya çapındaki finans kuruluşlarını hedef aldı. Kaspersky Lab uzmanlarının karşılaştığı vakalarda talep edilen fidye miktarının yarım milyon doları aştığı görülüyor.
Tespit edilen gruplar arasında; dünya çapında finans kuruluşlarına düzenlenen saldırılarda kullanılmış olan PetrWrap’ın yaratıcıları, ünlü Mamba grubu ve kurumsal kullanıcıları hedefleyen altı adet isimsiz grup bulunuyor. Dikkate değer bir nokta ise bu altı grubun daha önceleri ağırlıklı olarak bireysel kullanıcıları hedefleyen saldırılara bulaşmış ve gelir ortaklığı modelleri kullanmış olmaları. Şimdiyse odaklarını kurumsal ağlara çevirmiş durumdalar. Kaspersky Lab araştırmacılarına göre bu eğilimin sebebi apaçık ortada: Saldırganlar, iş dünyasına yönelik hedefli saldırıların bireysel kullanıcılara yönelik toplu saldırılardan potansiyel olarak daha karlı olacağını düşünüyor. Bir şirkete karşı düzenlenen başarılı bir fidye yazılımı saldırısı, söz konusu şirketin faaliyetlerini kolaylıkla saatlerce, hatta günlerce durdurabilir. Bu da saldırının kurbanı şirketlerin fidyeyi ödeme ihtimalini artırıyor.
Genel olarak bakıldığında bu grupların kullandığı taktikler, teknikler ve prosedürler birbirine çok benziyor. Zararlı yazılımı hedef kuruluşa savunmasız bir sunucu veya oltalama e-postaları yoluyla bulaştırıyorlar. Kurbanın ağına sağlam bir şekilde yerleştikten sonra şifrelemek isteyebilecekleri en değerli kurumsal kaynakları tespit edip şifreliyor ve ardından da deşifre edilmesi vaadiyle fidye talep ediyorlar. Benzerliklerine ek olarak, bazı grupların bir takım benzersiz özellikleri de bulunuyor.
Örneğin Mamba adlı grup, açık kaynaklı DiskCryptor yazılımını temel alan kendi şifreleyici yazılımını kullanıyor. Saldırganlar ağda kendilerine yer edindikten sonra şifreleyiciyi yasal bir Windows uzaktan kontrol uygulaması yoluyla tüm ağa yüklüyor. Bu yaklaşım sayesinde faaliyetleri hedef kuruluşun güvenlik görevlileri tarafında daha az şüphe uyandırıyor. Kaspersky Lab araştırmacılarının rastladığı bazı vakalarda istenilen fidye miktarının, şifrelenen uç nokta başına bir bitcoin’e (Mart 2017 sonu itibariyle yaklaşık 1000 dolar) kadar yükseldiği görüldü.
Fidye yazılımlarında benzersiz bir takım araçlar kullanan bir diğer grup da PetrWrap. Bu grup genel olarak yüksek miktarda ağ düğümüne sahip büyük şirketleri hedef alıyor. Her bir saldırı için hedeflerini dikkatlice seçen suçlular, uzun süreli çalışıyor: PetrWrap, saldırdığı ağlardan birinde 6 aya yakın bir süre boyunca faal kaldı.
Kaspersky Lab bünyesinde fidye yazılımları konusuna odaklanan Kıdemli Güvenlik Araştırmacısı Anton Ivanov, konuyla ilgili olarak şöyle diyor: “Şirketleri hedef alan fidye yazılımı saldırılarının bir tehdit olarak yükselişte olduğunun ve beraberinde somut maddi kayıpları getirdiğinin farkında olmamız gerekiyor. Fidye yazılımı kullanan saldırganların sürekli bir şekilde yeni ve daha karlı olacak hedefler arıyor olması endişe verici. Potansiyel olarak fidye yazılımı kurbanı olabilecek sayısız hedef var ve saldırıların sonuçları bir çoğu için yıkıcı olabilir.”
Şirketlerin bu tür saldırılardan korunması için Kaspersky Lab güvenlik uzmanları şunları öneriyor:
- Verilerinizi zamanlıca ve iyi bir şekilde yedekleyin ki veri kaybı yaşandığında orijinal dosyaları kurtarabilin
- Davranış temelli tespit teknolojileri kullanan bir güvenlik çözümü kullanın. Bu teknolojiler, fidye yazılımları da dahil olmak üzere zararlı yazılımları, saldırdıkları sistemde nasıl faaliyet gösterdiğine bakarak yakalayabilir ve böylece yeni ve henüz keşfedilmemiş fidye yazılımı örneklerini de tespit edebilir.
- Fidye yazılımı kurbanlarının verilerini saldırganlara para ödemeden kurtarmayı hedefleyen ortaklıklı bir girişim olan “No More Ransom” web sitesini ziyaret edin.
- Sadece uç noktalarla sınırlı kalmayıp, ağdaki tüm düğümlere ve sunuculara yüklediğiniz yazılımları denetleyin ve güncel tutun.
- Muhtemel güvenlik açıklarını tespit edip ortadan kaldırmak için kontrol ağı kapsamında bir güvenlik değerlendirmesi yapın (ör. güvenlik denetimi, penetrasyon testi, boşluk analizi).
- Harici istihbarat talebinde bulunun: saygın tedarikçilerden istihbarat almak, şirketlere gelecek saldırıları öngörmek konusunda yardımcı olur.
- Özellikle operasyonel olarak ve mühendislik alanlarında görev alan çalışanlarınızı güncel tehditler ve saldırılar konusunda eğitin, farkındalıklarının yüksek olduğundan emin olun.
- Hem içeriden, hem dışarıdan koruma sağlayın. Düzgün bir güvenlik stratejisi, bir saldırının kritik önem taşıyan objelere erişemeden engellenmesi için saldırı tespiti ve müdahalesine kayda değer miktarda kaynak ayırmalıdır.
Hedefli fidye yazılımı saldırıları hakkında daha fazla bilgi edinmek için Securelist.com’daki blog yazısını okuyabilirsiniz.
Fidye yazılımı kurbanlarına yardım etmek amacıyla geliştirilmiş olan araçları görmek için NoRansom.kaspersky.com adresini ziyaret edebilirsiniz.
