İlk erişim piyasası analizi

Medyada bir şirketin fidye yazılımı saldırısına uğradığına dair haberler yer aldığında birçok kişinin kafasında kurnaz hacker’ların önce tehlikeli bir kötü amaçlı yazılım yazdığı, ardından uzun uzun şirketi hacklemenin yollarını aradığı ve nihayet gizli verilerini şifrelediği bir senaryo canlanır. Bu yüzden bazı işletme sahipleri hala kendi şirketlerinin hacklenmek için bunca kaynak ayırmaya değecek kadar ilgi çekici olmadığını düşünür.

Gerçekte ise işler çok farklıdır. Aslında modern bir saldırgan, kötü amaçlı yazılımı kendisi yazmaz, kiralar. Hacklemek için de kaynak harcamaz, sadece ilk erişim komisyoncularından oluşan yasa dışı piyasaya göz atar. Dijital Ayak İzi İstihbarat Servisi’mizdeki uzmanlar, siber suçlular şirket altyapılarına erişim alıp satarken ne kadar paranın el değiştirdiğini bulmaya karar verdi.

Erişim ne kadar tutuyor?

Peki, saldırganlar altyapınıza erişim satın alırken ne kadar para ödüyor? Bu pek çok faktöre bağlı olsa da, bu faktörlerden en önemlisi şirketinizin kazancı. Uzmanlarımız darknet’te iki yüzün üstünde reklam ilanını analiz ettikten sonra aşağıdaki sonuçlara vardı:

• Reklamların çoğu küçük şirketlere erişim sunuyor;
• reklamların neredeyse yarısı 1000 USD’nin altında ücretle erişim sunuyor;
• erişimin 5000 USD üstünde ücretle satıldığı örneklere çok nadir rastlanıyor;
• büyük şirketlere erişimin ortalama maliyeti 2000 ila 4000 USD arasında değişiyor.

Bunlar kesinlikle büyük paralar değil. Fidye yazılımı operatörleri şantajla bundan çok daha fazlasını kazanmayı bekledikleri için, ilk girişime bu kadar harcama yapmaktan kaçınmıyorlar. Bu piyasa fiyatları, organik arz-talep dengesi ve yaygın olarak bilinen satın alma gücüyle belirlenmiş gibi görünüyor.

Neler satılıyor?

Saldırganlar farklı türlerde erişim sunuyor. Bazen erişim için kötüye kullanılabilecek bir güvenlik açığı hakkında bilgi verirken bazen de Citrix’e ya da sitenin barındırma paneline giriş için kimlik bilgilerini satıyorlar. Ancak örneklerin büyük çoğunluğu (reklamların %75’inden fazlası) RDP aracılığıyla (bazen bir VPN ile birlikte) bir çeşit erişim sunuyorlar. Dolayısıyla şirketin altyapısına yönelik bu uzaktan erişim opsiyonu karşısında çok dikkatli olunmalı.

Kötü adamlar erişimi nasıl ele geçiriyor?

İlk erişimi ele geçirmenin birçok yolu var. Bazen siber suçlular en basit yol olan parola madenciliğini kullanıyor. Ancak çoğunlukla çalışanlara kimlik avı e-postaları veya kötü amaçlı ekler (örneğin casus yazılımlar ya da virüslü cihazlardan otomatik olarak kimlik bilgisi, yetkilendirme belirteci çerez vb. toplayan çalma yazılımları) içeren e-postalar gönderiyorlar. Saldırganlar bazen de yazılımlarda bilinen güvenlik açıklarını yöneticiler yama yayınlamadan önce kötüye kullanabiliyor.

Çalışmanın ayrıntılı sonuçlarını gerçek ilk erişim örnekleriyle birlikte Securelist web sitesindeki raporda bulabilirsiniz.

Kendinizi korumanın yolları

En çok satılan şey bir şirketin altyapısına RDP aracılığıyla erişim olduğu için her şeyden önce buna karşı koruma geliştirilmeli. Uzmanlarımız aşağıdaki tavsiyeleri veriyor:

• RDP erişimini yalnızca VPN üzerinden düzenleyin;
• güçlü parolalar kullanın;
• Ağ Düzeyinde Kimlik Doğrulama kullanın (mümkünse);
• tüm kritik hizmetler için iki faktörlü kimlik doğrulama kullanın.

Parolaların kimlik avıyla sızdırılma olasılığını azaltmak için hem çalışan cihazlarında hem de e-posta ağ geçidi düzeyinde kimlik avı önleme motoruna sahip güvenilir güvenlik çözümleri kullanmanızı da öneririz. Güvende kalmak için düzenli aralıklarla çalışanlarınızın siber güvenlik farkındalığını arttırın.

Ayrıca birilerinin halihazırda darknet’ye sizin şirketinizin altyapısına erişmenin yollarını tartışıp tartışmadığını bulmak da çok işinize yarayabilir, dolayısıyla bu tür aktiviteleri izlemeniz de önerilir. Dijital Ayak İzi İstihabaratı hizmetimiz bu tür izlemeler gerçekleştiriyor.