Fidye yazılımı, mağdurun verilerinin veya sistemlerinin kontrolünü başarıyla ele geçirdikleri için mağdurdan zorla ödeme almak isteyen tehdit aktörlerinin kötü niyetini en iyi şekilde tanımlayan kötü amaçlı bir veri yükü biçimidir. Fidye ödemesi için genellikle kripto para birimi talep edilir.
Saldırgan birden fazla saldırı vektörü kullanabilir ve ödeme yapılmaması aşağıdaki tehditler dahil olmak üzere sonuçlar doğurabilir:
Genel olarak, kötü niyetli aktörler, eylemleri BT sistemlerini tehlikeye atabileceği ve mağdurlarının normal operasyonlarını olumsuz etkileyebileceği için ödeme almaya çalışacaklardır. Kötü amaçlı yazılım birincil saldırı yöntemlerinden biri olsa da, kötü amaçlı yazılım kullanılmadan birkaç fidye yazılımı olayı meydana gelmiştir; örneğin, bir hizmet reddi (DoS) saldırısı veya bir web sitesi tahribatı tehdidiyle siber gasp içeren fidye yazılımı olayları. Tehdit aktörlerinin ücret karşılığında bir hizmet olarak bir bireye veya şirkete yönelik hedefli bir saldırı başlatmak üzere bir iş modeli oluşturduğu fidye yazılımı hizmeti (RWaaS) kavramı da ortaya çıkmıştır.
Fidye yazılımı genellikle kimlik avı e-postaları veya "drive-by" indirmeler aracılığıyla iletilir. Kimlik avı e-postaları meşru ve güvenilir görünür ve mağduru kötü niyetli bir bağlantıya tıklamaya veya bir eki açmaya ikna eder. Drive-by indirme, kullanıcıların izni ve bilgisi olmadan internetten otomatik olarak indirilen bir programdır. Kötü amaçlı kodun indirildikten sonra herhangi bir kullanıcı etkileşimi olmadan çalışması mümkündür. Kötü amaçlı kod çalıştıktan sonra, kullanıcının bilgisayarına fidye yazılımı bulaşır.
Fidye yazılımı daha sonra virüslü bir sistemdeki sürücüleri tanımlar ve her sürücüdeki dosyaları şifrelemeye başlar. Şifreleme genellikle .şifrelenmiş dosyalar için aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptlocker, .vault veya .petya gibi benzersiz bir uzantıyla yapılır. Şifreleme tamamlandığında, fidye yazılımı, fidye yazılımı saldırısının koşulları hakkında bilgi ve talimatlar içeren bir dosya veya dosya grubu oluşturur ve görüntüler. Örneğin, mağdur fidye yazılımının şartlarını yerine getirdiğinde, tehdit aktörü mağdurun şifrelenmiş dosyaların kilidini açması için bir kriptografik anahtar sağlayabilir.
Temel güvenlik sağlığı ve güvenli operasyonel uygulamalar, kuruluşların fidye yazılımı olaylarını önlemesine ve mali kaybı, kesinti süresini ve kesintiyi sınırlandırmasına yardımcı olabilir.
Organizasyonun kendi kullanıcıları arasında çeşitli güvenlik açığı noktaları mevcuttur. Organizasyonlar, bireysel kullanıcıları güvenli e-posta ve internet tarama uygulamaları konusunda eğitmenin faydasını görecektir. Sosyal medya platformlarının güvenli kullanımı konusunda verilecek eğitim, kullanıcıların kötü niyetli bir tehdit aktörünün kendileri veya organizasyonundaki diğer kişileri hedef almak için kendileri hakkında kamuya açık bilgileri kullanabileceğinin farkında olmaları için önemlidir.
Güvenli uygulamaları güçlendirmek için organizasyonlar, saldırganların kötü amaçlı yazılımları yaymak için kullandıkları çeşitli sistemler için teknik kontroller uygulayabilir. Teknik kontrol örnekleri şunları içerir:
Güncellenmiş uç nokta koruma ürünlerini çalıştırmanın yanı sıra, organizasyonlarda sıfır güvene dayalı güvenlik yaklaşımıyla kimlik ve erişim yönetimi (IAM) sistemleri bulunmalıdır. Güçlü kimlik doğrulama ve uygulanan en az ayrıcalık ilkeleriyle organizasyonlar, kritik sistemler ve gizli veri depoları üzerinde sıkı denetim sağlayabilir.
Organizasyonlar, sıkı erişim denetimlerinin yanı sıra iş birliği araçları, dosya paylaşım kaynakları ve diğer yaygın olarak erişilen sistemler için sınırlamalar uygulamalıdır. Kuruluşlar, uygun zamanda ve durumlarda ek kimlik doğrulama zorluklarını zorunlu kılabilir. Anonim oturum açmaların, genel hesapların ve zayıf kimlik bilgilerinin kullanımının, kök ve yönetici işletim sistemi veya DBA hesapları gibi ayrıcalıklı hesaplar üzerinde sıkı denetimle birleştirilmesi, güçlü bir güvenlik duruşunun sürdürülmesinin anahtarıdır.
Kuruluşlar, bilinen güvenlik konfigürasyonu temel hususlarını tanımlamalı ve sürdürmeli ve sistemleri güvenlik konfigürasyonu yönergelerine uygun olarak dağıtmalıdır. Kötü amaçlıveri yükleri genellikle bilinen yazılım güvenlik açıklarını hedef aldığından, güvenlik yamalarını hemen uygulamak önemlidir.
Son olarak, bir organizasyonun fidye yazılımlardan kurtulmasına yardımcı olacak başka bir en iyi uygulama, yedekleri ağdan erişilemeyecek şekilde ayrı olarak ve farklı bir işletim sisteminde depolamaktır.
Organizasyonlar fidye yazılımını keşfettiklerinde, kötü amaçlı veri yükünün yayılmasını şu yollarla sınırlamaya çalışmalıdır:
Bir fidye yazılımı saldırısının etkisini sınırlamak için, bir organizasyonun telafi planları, etkili ve doğrulanmış kurtarma prosedürleriyle sık ve güvenli yedeklemeler sağlamalıdır. Sistemleri geri yüklemeden önce, organizasyonlar, ilk tehlike oluşumunun ne zaman ve nasıl gerçekleştiğini makul bir güven düzeyi içinde belirlemelidir. Durum tespiti yapılmadan, mağdur organizasyonlar, ilk kurtarma işlemini gerçekleştirirken yanlışlıkla tehlikeyi geri yükleyip istilayı yeniden oluşturabilir. Bunu göz önünde bulundurarak iş kesintisini en aza indirmek için daha eski ancak güvenli olduğu bilinen bir duruma mı yoksa daha yeni, ancak muhtemelen virüslü bir duruma mı geri yükleme yapılacağına karar vermeden önce bir maliyet-fayda analizi yapmak gerekebilir. Bazı kötü amaçlı yazılımların yedek dosyaları ve kaynakları hedef aldığı bilindiğinden, organizasyonların bunlar üzerinde de etkili bir kontrol sağlaması gerekir.