Fidye Yazılımı nedir?

Fidye yazılımı tanımı

Fidye yazılımı, mağdurun verilerinin veya sistemlerinin kontrolünü başarıyla ele geçirdikleri için mağdurdan zorla ödeme almak isteyen tehdit aktörlerinin kötü niyetini en iyi şekilde tanımlayan kötü amaçlı bir veri yükü biçimidir. Fidye ödemesi için genellikle kripto para birimi talep edilir.


Saldırgan birden fazla saldırı vektörü kullanabilir ve ödeme yapılmaması aşağıdaki tehditler dahil olmak üzere sonuçlar doğurabilir:

  • Mağdur verilerini seçip çıkarma ve yayımlama
  • Mağdurun açıklarını ve ödün vermesine yol açan operasyonel uygulamaları açığa çıkarma
  • Mağdurun verilerini şifreleme ve erişimi kalıcı olarak engelleme
  • İdari veya ana kontrolü elinize alın ve güvenliği ihlal edilmiş sistemleri kalıcı olarak devre dışı bırakın

Genel olarak, kötü niyetli aktörler, eylemleri BT sistemlerini tehlikeye atabileceği ve mağdurlarının normal operasyonlarını olumsuz etkileyebileceği için ödeme almaya çalışacaklardır. Kötü amaçlı yazılım birincil saldırı yöntemlerinden biri olsa da, kötü amaçlı yazılım kullanılmadan birkaç fidye yazılımı olayı meydana gelmiştir; örneğin, bir hizmet reddi (DoS) saldırısı veya bir web sitesi tahribatı tehdidiyle siber gasp içeren fidye yazılımı olayları. Tehdit aktörlerinin ücret karşılığında bir hizmet olarak bir bireye veya şirkete yönelik hedefli bir saldırı başlatmak üzere bir iş modeli oluşturduğu fidye yazılımı hizmeti (RWaaS) kavramı da ortaya çıkmıştır.

Fidye yazılımı nasıl çalışır?

Fidye yazılımı genellikle kimlik avı e-postaları veya "drive-by" indirmeler aracılığıyla iletilir. Kimlik avı e-postaları meşru ve güvenilir görünür ve mağduru kötü niyetli bir bağlantıya tıklamaya veya bir eki açmaya ikna eder. Drive-by indirme, kullanıcıların izni ve bilgisi olmadan internetten otomatik olarak indirilen bir programdır. Kötü amaçlı kodun indirildikten sonra herhangi bir kullanıcı etkileşimi olmadan çalışması mümkündür. Kötü amaçlı kod çalıştıktan sonra, kullanıcının bilgisayarına fidye yazılımı bulaşır.

Fidye yazılımı daha sonra virüslü bir sistemdeki sürücüleri tanımlar ve her sürücüdeki dosyaları şifrelemeye başlar. Şifreleme genellikle .şifrelenmiş dosyalar için aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptlocker, .vault veya .petya gibi benzersiz bir uzantıyla yapılır. Şifreleme tamamlandığında, fidye yazılımı, fidye yazılımı saldırısının koşulları hakkında bilgi ve talimatlar içeren bir dosya veya dosya grubu oluşturur ve görüntüler. Örneğin, mağdur fidye yazılımının şartlarını yerine getirdiğinde, tehdit aktörü mağdurun şifrelenmiş dosyaların kilidini açması için bir kriptografik anahtar sağlayabilir.

Organizasyonlar fidye yazılımı saldırılarına karşı nasıl dirençli olabilir?

Temel güvenlik sağlığı ve güvenli operasyonel uygulamalar, kuruluşların fidye yazılımı olaylarını önlemesine ve mali kaybı, kesinti süresini ve kesintiyi sınırlandırmasına yardımcı olabilir.

Organizasyonun kendi kullanıcıları arasında çeşitli güvenlik açığı noktaları mevcuttur. Organizasyonlar, bireysel kullanıcıları güvenli e-posta ve internet tarama uygulamaları konusunda eğitmenin faydasını görecektir. Sosyal medya platformlarının güvenli kullanımı konusunda verilecek eğitim, kullanıcıların kötü niyetli bir tehdit aktörünün kendileri veya organizasyonundaki diğer kişileri hedef almak için kendileri hakkında kamuya açık bilgileri kullanabileceğinin farkında olmaları için önemlidir.

Güvenli uygulamaları güçlendirmek için organizasyonlar, saldırganların kötü amaçlı yazılımları yaymak için kullandıkları çeşitli sistemler için teknik kontroller uygulayabilir. Teknik kontrol örnekleri şunları içerir:

  • Kötü amaçlı yazılımların kullanıcılarına iletilmesini önlemek için e-posta ve iletişim platformları için filtreleme araçları ve teknikleri uygulama
  • E-posta sunucuları ve internet ağ geçitleri için kötü amaçlı yazılımdan koruma taraması, bağlantı doğrulama hizmetleri ve korumalı alan tekniklerini uygulama
  • Kötü amaçlı yazılımların yüklenmesi veya kötü amaçlı komut listelerinin yürütülmesi yoluyla sistemlerin güvenliğinin ihlal edilmesini önlemek için ortamlarında harici ve güvenilmeyen kodların indirilmesi ve kullanılmasıyla ilgili politikaları tanımlama ve uygulama

Güncellenmiş uç nokta koruma ürünlerini çalıştırmanın yanı sıra, organizasyonlarda sıfır güvene dayalı güvenlik yaklaşımıyla kimlik ve erişim yönetimi (IAM) sistemleri bulunmalıdır. Güçlü kimlik doğrulama ve uygulanan en az ayrıcalık ilkeleriyle organizasyonlar, kritik sistemler ve gizli veri depoları üzerinde sıkı denetim sağlayabilir.

Organizasyonlar, sıkı erişim denetimlerinin yanı sıra iş birliği araçları, dosya paylaşım kaynakları ve diğer yaygın olarak erişilen sistemler için sınırlamalar uygulamalıdır. Kuruluşlar, uygun zamanda ve durumlarda ek kimlik doğrulama zorluklarını zorunlu kılabilir. Anonim oturum açmaların, genel hesapların ve zayıf kimlik bilgilerinin kullanımının, kök ve yönetici işletim sistemi veya DBA hesapları gibi ayrıcalıklı hesaplar üzerinde sıkı denetimle birleştirilmesi, güçlü bir güvenlik duruşunun sürdürülmesinin anahtarıdır.

Kuruluşlar, bilinen güvenlik konfigürasyonu temel hususlarını tanımlamalı ve sürdürmeli ve sistemleri güvenlik konfigürasyonu yönergelerine uygun olarak dağıtmalıdır. Kötü amaçlıveri yükleri genellikle bilinen yazılım güvenlik açıklarını hedef aldığından, güvenlik yamalarını hemen uygulamak önemlidir.

Son olarak, bir organizasyonun fidye yazılımlardan kurtulmasına yardımcı olacak başka bir en iyi uygulama, yedekleri ağdan erişilemeyecek şekilde ayrı olarak ve farklı bir işletim sisteminde depolamaktır.

Organizasyonunuz bir fidye yazılımı saldırısının hedefiyse ne yapmalısınız?

Organizasyonlar fidye yazılımını keşfettiklerinde, kötü amaçlı veri yükünün yayılmasını şu yollarla sınırlamaya çalışmalıdır:

  • Fidye yazılım bulaşmış sistemleri yalıtma ve tüm ağlardan kaldırıp devre dışı bırakma
  • Tüm dosya paylaşımı güvenlik açıklarını zamanında ele alma ve desteklenmeyen işletim sistemlerini çevrimdışı hale getirme
  • Kötü amaçlı yazılım salgınının basamaklama etkisini önlemek için BT sistemleri arasında var olan güven zincirini gözden geçirme
  • Kötü amaçlı yazılım salgınlarını izole etmeye ve bir tehlike durumunun operasyonel etkisini sınırlamaya yardımcı olmak için ağ ve veritabanlarını ayırma

Bir fidye yazılımı saldırısının etkisini sınırlamak için, bir organizasyonun telafi planları, etkili ve doğrulanmış kurtarma prosedürleriyle sık ve güvenli yedeklemeler sağlamalıdır. Sistemleri geri yüklemeden önce, organizasyonlar, ilk tehlike oluşumunun ne zaman ve nasıl gerçekleştiğini makul bir güven düzeyi içinde belirlemelidir. Durum tespiti yapılmadan, mağdur organizasyonlar, ilk kurtarma işlemini gerçekleştirirken yanlışlıkla tehlikeyi geri yükleyip istilayı yeniden oluşturabilir. Bunu göz önünde bulundurarak iş kesintisini en aza indirmek için daha eski ancak güvenli olduğu bilinen bir duruma mı yoksa daha yeni, ancak muhtemelen virüslü bir duruma mı geri yükleme yapılacağına karar vermeden önce bir maliyet-fayda analizi yapmak gerekebilir. Bazı kötü amaçlı yazılımların yedek dosyaları ve kaynakları hedef aldığı bilindiğinden, organizasyonların bunlar üzerinde de etkili bir kontrol sağlaması gerekir.