Fidye Yazılımı Saldırılarının Yeni Hedefi: Orta Ölçekli İşletmeler

Fidye Yazılımı Saldırılarının Yeni Hedefi: Orta Ölçekli İşletmeler

Eki 31, 2021 / Kron

Kötü amaçlı yazılım saldırıları tarihinin, en eski ve belki de işlevsel türlerinden biri olan fidye yazılımı saldırıları, bir BT altyapısındaki verilere illegal yollardan erişmeyi hedefleyen siber tehditler olarak tanımlanabilir. Erişilen verilerin şifrelenerek elde tutulması ve bu yolla fidye talep edilmesi üzerine inşa edilen ransomware saldırılarının yol açtığı finansal kayıpların telafisi ise çok zor.

Nitekim dijital dönüşümün önlenemez bir gelişim gösterdiği yakın dönemde fidye oranlarının hatırı sayılır seviyede arttığını söylemek de mümkün. Fidye ödemeleri konusunda yaşanan artışın, siber saldırganlar için belirli açılardan hedef değişikliği yarattığının altını çizmekte de yarar var. Burada esas sorulması gereken soru, siber saldırı yöntem ve hedeflerinin değişmesinin ne gibi sonuçlar ortaya çıkardığı.

Siber güvenlik unsurlarını ihlal etmeye yönelik girişimlerin yöntem ve hedeflerindeki değişikliklerin orta ölçekli işletmeler açısından tedirgin edici sonuçlar yarattığı, bir başka deyişle söz konusu işletmelerin veri güvenliği bağlamında daha açık tehditler hâline geldiği rahatlıkla söylenebilir. Bu yazımızda ise hedef değişikliğinin ardında yatan nedenler ile ortaya çıkan sonuçlar arasındaki bağlantıyı istatistiksel verilerle destekleyerek alınması gereken önlemler konusunda bir yol haritası oluşturmaya çalışacağız.

Talep Edilen Fidye Oranları Yükselmeye Devam Ediyor

Erişim güvenliği bileşenlerini tehdit eden ransomware saldırıları ile ilgili temel sorun, bu saldırıların kâr oranının çok yüksek, risk oranının çok düşük olması. Örneğin 1992’de Kolombiya’daki uyuşturucu madde endüstrisinin kârlılığı ile bugünkü fidye yazılımı saldırılarının kârlılığı oldukça benzer. İki faaliyet de birim başına %90 ve üzeri kâr oranına sahip. Öte yandan fidye yazılımı saldırılarında risk uyuşturucu madde ticaretine kıyasla çok daha düşük. 1992’de bir uyuşturucu madde kaçakçısının yakalanma olasılığı, 2021’de fidye yazılımı saldırısı gerçekleştiren bir bilgisayar korsanının yakalanma olasılığından 625 kat daha fazlaydı.

Fidye yazılımı saldırısı istatistikleri üzerinden ilerlemek artan fidye oranlarını daha iyi anlamak açısından yararlı olabilir. Örnek vermek gerekirse bugün bir şirket, işletme ya da devlet kurumu fidye yazılımı saldırısı ile karşılaştığında çok yüksek olasılıkla bir şifre çözme anahtarı ya da verilerin tekrar edilmesine yönelik bir vaat karşılığında siber saldırganın isteklerini kabul ediyor. Bu kabul ediş ise bahsi geçen kurumlara saldırı başına yaklaşık 140.000 dolara mâl oluyor.

Tüm bunlara ek olarak 2021’in üçüncü çeyreğinin, yılın ikinci çeyreğine oranla fidye yazılımı saldırılarının yarattığı tahribat açısından daha karamsar bir tablo çizdiği ifade edilebilir. Savımızı güncel verilerle desteklersek bir ransomware saldırısının ortalama maliyetinin üçüncü çeyrekte, 2021’in ikinci çeyreğine kıyasla %2.3 artarak 139.739 dolara ulaştığını not düşebiliriz.

Son olarak fidye yazılımı saldırısı türleri ile yetkili hesap erişim güvenliği ihlali yöntemlerinin iç içe geçtiği ifade edilebilir. Nitekim 2021’in üçüncü çeyreğinde bir önceki çeyreğe göre %3’lük bir artışın söz konusu olduğunu ve fidye yazılımı saldırılarının güncel olarak %83.3’ünün kurumsal verilerin çalınmasını içerdiğini belirtebiliriz.

Siber Saldırganlar Hedef Değiştiriyor

Siber saldırganların hedef değişikliğini açıklayan en önemli veri ise bu saldırıların ortalamasının bir önceki çeyreğe göre %52.5 artış göstererek 71.674 dolara ulaşması. Ortalamadaki çarpıcı artışı yazımızın başlığını oluşturan orta ölçekli işletmelere yönelik hedef değişikliği ile ilişkilendirmek son derece mümkün.

Veri sızıntıları yaratmak amacıyla fidye yazılımı saldırıları kullanan siber saldırganların uluslararası bir yaptırımı ya da siyasi krizi tetikleyecek girişimlerden ziyade, orta ölçekli işletmeleri ve kuruluşlarına kendilerine kurban seçtikleri söylenebilir. Siber dünyada büyük oyun avcılığından orta oyun avcılığına geçiş olarak isimlendirilen sürecin fidye yazılımı saldırısı verileri ile ilgili değişiklikler yarattığının ve hedef demografisini kişiselleştirdiğinin altını çizmekte yarar var.

Hedef değişikliği konusu hakkında üçüncü çeyrek araştırmalarından yola çıkarak birkaç farklı saptama daha yapılabilir. Veriler incelendiğinde ortaya çıkan sonuç küçük/orta ölçekli işletmelerin, hukuk bürolarının ve finansal hizmet kuruluşlarının fidye yazılımı saldırıları nedeniyle yüksek risk altındaki kuruluşlar olduğunu ortaya koyuyor.

Siber saldırganların hedef değişikliğini doğrulayan verilere ek olarak fidye yazılımı saldırı yüzeyleri konusuna da değinmek yararlı olabilir. Fidye yazılımı saldırısı kullanmayı tercih eden bir siber korsan, genelde orta ölçekli işletmeleri saldırıları için paratoner olarak kullanıyor. Bunun ise belirli olarak bir ya da birkaç şirketin hedef alınması değil, daha geniş ölçekte kritik veri elde edimi için maksimum kazanç sunan bağlantılı sektör arayışı anlamına geldiği ifade edilebilir.

Fakat siber saldırganların ayrıcalıklı hesap kimlik bilgileri ve şifrelerinden oluşan kritik verilere erişim çabasının, hedef değişikliğinden bağımsız şekilde, hala çok az risk içerdiğini belirtmek gerekiyor. Bir fidye yazılımı saldırısının parçası olmanın hiçbir eksisi olmadığı gibi; saldırganların aldıkları risk, ödüllerden yüksek olmadığı müddetçe söz konusu alandaki gasp ekonomisinin büyümesinin kurumsal bazda önüne geçilmesinin, sadece kapsamlı bir Privileged Access Management (PAM) çözümü ile olası olduğunun altını çizmek şart.

Fidye Yazılımı Saldırılarında Öne Çıkan Bazı İstatistikler

Fidye yazılımı saldırıları ile ilgili öne çıkan istatistikleri paylaşırken değinilmesi gereken konulardan biri de saldırı türlerinin pazar payı. 2021’in üçüncü çeyreğine ait verilerde en yüksek pazar payına sahip 10 ransomware türünde beş yeni varyant tespit edildi. Söz konusu beş yeni varyantın isimleri ise şu şekilde:

  • Lockbit 2.0 (%8.4 pazar payı)
  • Ranzy Locker (%3 pazar payı)
  • Suncrypt (%2.5 pazar payı)
  • Hive (%2.5 pazar payı)
  • BlackMatter (%2 pazar payı)

Listenin zirvesinde %1 artış ile pazar payını %19.2’ye çıkaran Conti V2 yer alırken sadece Ryuk varyantının pazar payında yılın ikinci çeyreğine kıyasla %2’lik bir azalma gözlendi. Pazar payını en çok artıran varyant ise %3’lük artışla üçüncü çeyrekte %4.4 pazar payına ulaşan Zeppelin oldu.

Ransomware saldırıları üzerine yapılan araştırmalarda ulaşılan sonuçlardan biri de MITRE ATT&CK Tactics bilgi tabanı ile ilgili. Bir BT şirketi olan MITRE tarafından geliştirilen ATT&CK Tactics bilgi tabanı, siber saldırganların ağlara ve sistemlere yapabilecekleri saldırılara yönelik tehdit modelleme ve savunma metodolojisi geliştirmek amacıyla kullanılıyor.

ATT&CK Tactics bilgi tabanındaki üçüncü çeyrek verileri, bilgisayar korsanlarının, vakaların %75’inden fazlasında kimlik bilgisi erişimine yönelik taktikler kullandığını gösteriyor. Yine vakaların %75’inden fazlasında yatay hareket taktiği gözlemlenirken %50’den fazlasında ise savunmadan kaçınma (defense evasion) olarak isimlendirilen ve siber saldırganların ransomware saldırısı sırasında savunma mekanizmasının kendileri için yarattığı tehditler ile karşılaşmamaya çalışması anlamına gelen taktiğin tercih edildiği istatistiklere yansıdı.

Bunların yanı sıra 2021’in üçüncü çeyreğinde en çok kullanılan ransomware saldırı türlerinin e-mail phishing, RDP uzlaşısı ve yazılım güvenlik açıkları olduğunu da not düşmekte yarar var.

İşletmelerin iş sürekliliğini sekteye uğratan fidye yazılımı saldırılarının önüne geçmek için siber güvenlik politikalarının gözden geçirilmesi gerekiyor. Siber güvenlik politikalarını gözden geçirirken de ayrıcalıklı hesaplara ait kimlik bilgilerini korumak bir hayli önemli. Ayrıcalıklı hesaplara ait kullanıcı adı ve şifrelerin doğru BT altyapısı içinde korunması için en yetkili yöntemlerden biri, Ayrıcalıklı Erişim Yönetimi.

Kritik verilerinizi uçtan uca koruyarak veri ve erişim güvenliği sağlamak istiyorsanız Gartner tarafından hazırlanan Magic Quadrant for Privileged Access Management raporunda yer alan PAM çözümümüz Single Connect’i BT altyapınızın bir parçası hâline getirebilirsiniz.

Kron olarak geliştirdiğimiz ve Magic Quadrant raporuna Niche Player olarak giren Single Connect’i incelemek için web sitemizi ziyaret edebilir, PAM ürünümüz ile ilgili merak ettiğiniz her şeyi bizimle iletişime geçerek uzman ekip arkadaşlarımıza sorabilirsiniz.

 

Kaynak - “Ransomware attackers down shift to 'Mid-Game' hunting in Q3 2021.” Coveware, https://www.coveware.com/blog/2021/10/20/ransomware-attacks-continue-as-pressure-mounts.

Diğer Bloglar