Her türden siber düşman, genişleyen dijital saldırı yüzeyinden daha önce görülmemiş şekillerde ve ölçekte yararlanmaya devam ediyor. Özellikle, birçok kurum için uzaktan çalışmaya hızlı geçiş ve sürekli olarak her yerden çalışma (WFA), siber suçlular için genellikle yetersiz güvenlikli ev ağlarından ve cihazlarından kurumsal kaynaklara bağlanan çalışanları hedef almak için sürekli bir fırsat oldu.
En yaygın fidye yazılımı saldırıları genellikle sosyal mühendislikle başlıyor. Esasen, düzgün bir şekilde yürütülen sosyal mühendislik stratejileri, genellikle oltalama veya hedef odaklı kimlik avı şeklinde, kullanıcıları şifrelerden finansal hesaplara ve kişisel olarak tanımlanabilir bilgilere (PII) kadar kritik bilgileri ifşa etmeleri için kandırabiliyor. FortiGuard Labs‘ın son araştırmasının da işaret ettiği gibi günümüzde sosyal mühendislik, bilgisayar korsanlığı teknikleri ve zararlı yazılım dağıtımı ile birleştirilerek giderek daha yıkıcı saldırılara güç veriyor.
Tipik bir fidye yazılımı saldırısında, bilgisayar korsanları kurbanın bilgisayar sistemine kötü amaçlı yazılım sokmak için kimlik avı veya başka yöntemler kullanıyor ve bu yazılım daha sonra ağa yayılıyor. Yeterli sayıda sistem tehlikeye girdiğinde, bilgisayar korsanı zararlı yazılımı tetikleyerek virüs bulaşmış tüm sistemleri şifreler ve bu cihazlardaki dosya ve verileri kurum için erişilemez hale getiriyor. Bilgisayar korsanı daha sonra, ele geçirilen dosyaların şifresini çözmek için gereken anahtar karşılığında kuruluştan parasal bir ödeme almaya çalışıyor.
Bir tehdit aktörü verileri ele geçirmek için fidye yazılımı kullandığında, kontrolü yeniden ele geçirmek için neredeyse her türlü bedeli ödeyeceğiniz varsayılıyor. Eğer bedel ödenmezse, bilgisayar korsanı verileri darknet üzerinde satışa çıkarıyor. Bununla birlikte, kurbanın fidye ödediği ancak ağını geri yüklemek için gereken şifre çözme anahtarlarını asla alamadığı vakaların sayısının arttığı da görülüyor. Ya da daha acımasız vakalarda fidye yazılımı, fidye ödenmiş olmasına rağmen masaüstü ve sunuculardaki diskleri silerek ağı yok ediyor.
Fidye yazılımı saldırılarına karşı aldatma yöntemi nasıl kullanılıyor?
Kurumlarınfidye yazılımı saldırısından korunması için kritik dosyaların güncel yedeklerini ağ dışında tutması ve ağ erişimi arayan cihazları zararlı yazılım bulaşmasına karşı taraması gerekiyor. Ancak bu sadece başlangıç. Fidye yazılımının nasıl çalıştığını anladığımızda, bununla mücadele etmenin etkili yolları bulunabiliyor.
Siber suçlular genellikle bir kuruma sızmak ve birincil hedefi dosyalarınızı şifrelemek olan bir uç noktayı tehlikeye atmak için sofistike teknikler ve taktikler kullanıyor. Bu sürece karşı savaşmak yerine, fidye yazılımını gizlice yalnızca sahte dosyaları şifrelemeye yönlendirseniz ne olur? Yani saldırganları kandırmak için kasıtlı olarak oluşturup ağa yerleştirdiğiniz dosyalar olsa? Bu sahte dosyaları şifrelemeye çalışan bilgisayar korsanları kendilerini ve niyetlerini ifşa ediyor ve herhangi bir zarar vermeden önce kötü amaçlı yazılımlarının varlığını ortaya çıkarıyor. Başka bir deyişle, bu yöntem fidye yazılımını iyi huylu bir hedefe karşı çalışması için kandırmak, bir uyarıyı tetiklemek ve suç niyetini ortaya çıkarmaktan oluşur. Bu inanılmaz derecede güçlü bir karşı saldırı stratejisi olabilir.
Siber aldatma teknolojisi, kurumların meşru ağda kullanılan trafik ve kaynaklardan ayırt edilemeyen çekici tuzakları ve yemleri otomatik olarak dağıtan uydurma (sahte) bir ağı hızla oluşturmasına olanak tanıyor. Bu sahte ağ daha sonra saldırganların kendilerini ifşa etmelerini sağlamak için mevcut BT/OT altyapısına sorunsuz bir şekilde entegre ediliyor. Aldatma teknolojisi uç noktaya herhangi bir aracı bileşen yüklemiyor, herhangi bir ağ değişikliği gerektirmiyor ve herhangi bir imza veya anomali motoruna dayanmıyor.
Siber aldatma teknolojisi, algılamayı tetiklemek için fidye yazılımının kendi tekniklerini ve taktiklerini kendisine karşı kullanıyor ve saldırganın ağda başarılı bir şekilde yer almasına neden olan taktiklerini, araçlarını, ve prosedürlerini (TTP’ler) ortaya çıkarıyor, böylece bu güvenlik açıkları bir güvenlik mimarisi düzeyinde azaltılabiliyor. Etkili aldatma, saldırganın kurumu nasıl tehlikeye attığını (örneğin zayıf veya çalınmış kimlik bilgileri veya fidye yazılımının yayılmasına izin veren savunmasız bir uç nokta veya sunucu yoluyla) izlemek için kullanılabilecek bağlamsal tehdit istihbaratı sağlıyor; böylece korumadaki bu boşluklar kapatılabiliyor.
Bununla birlikte, fidye yazılım saldırılarını yenme amaçlı aldatma yönteminin, kapsamlı bir siber güvenlik platformunun parçası olması gerekiyor Aldatma teknolojisinin, fidye yazılımı tespitine dayalı azaltma yanıtlarını otomatikleştirmek için NGFW, NAC, SIEM, Sandbox, SOAR ve EDR çözümleriyle tam olarak entegre edilmesi gerekiyor. Aldatma teknolojisini kapsamlı bir güvenlik platformuyla birleştiren kurumlar, fidye yazılımı gibi saldırıları, kötü amaçlı yazılım kötü niyetli hedeflerine ulaşmadan çok önce tespit edebiliyor ve bunlara yanıt verebiliyor.