Mart 2018'de Atlanta, sunucular da dahil olmak üzere Atlanta şehrine ait yaklaşık 3.800 devlet bilgisayarına bulaşan bir fidye yazılımı saldırısına uğradı . Virüs dağıtıldıktan sonra, fidye yazılımı virüslü tüm bilgisayarları kilitleyerek onlara erişimi imkansız hale getirdi. Atlanta'nın mahkeme sistemi çöktü; polis plakaları kontrol edemedi; Vatandaşlar faturalarını internetten ödeyemedi.
Atlanta vurulmadan sadece üç hafta önce, küçük Leeds şehri Alabama da benzer bir siber saldırı yaşadı. Ve Ocak ayında Leeds'ten önce , Indianapolis'in banliyölerindeki Hancock Bölge Hastanesiydi .
Bu üç saldırının ortak noktası, hepsinin MSIL/Samas.A olarak da bilinen SamSam fidye yazılımı tarafından vurulmasıdır. - Her saldırı aynı miktarda etrafında talep yaklaşık $ 50,000 yılında cryptocurrency . Hancock Bölge Hastanesi ve Leeds, Alabama fidyeyi ödedi. Ancak, Atlanta şehri yapmadı. Bunun yerine sistemlerini tekrar çevrimiçi hale getirmek için milyonlar ödemeyi seçti.
O zamanlar, Atlanta şehri, John Hulquist'e göre, bir siber suçlunun bir bilgisayar ağına eriştiği, tüm verileri şifrelediği ve kilidini açmak için şirketten şantaj yaptığı fidye yazılımları tarafından saldırıya uğrayan en belirgin yerlerden biriydi. Hulquist, istihbarat odaklı bir güvenlik şirketi olan FireEye'de Mandiant Threat Intelligence analiz başkan yardımcısıdır .
Fidye Yazılımı Yeni Bir Şey Değil
Hulquist, talep edilen fidye ödenene kadar bir şirket ağını "rehin" tutan fidye yazılımı saldırılarının yeni bir şey olmadığını söylüyor. Birkaç yıldır devam ediyorlar (bu üç vakanın gösterdiği gibi).
Check Point Software Technologies tarafından yapılan araştırmaya göre, 2021'in ilk yarısında dünya genelinde fidye yazılımlarından etkilenen kuruluşların sayısı 2020'ye kıyasla iki katından fazla arttı . FireEye'in Mandiant M-Trends 2021 raporu , verilerin çalınması muhtemel 800'den fazla gasp girişimini de belirledi. Bu rakamlar, 1 Ekim 2019'dan 30 Eylül 2020'ye kadar Mandiant tarafından yürütülen hedefli saldırı faaliyeti araştırmalarına dayanmaktadır.
Hedefler artık çok daha yüksek profilli hale geliyor. Nisan ayından bu yana yalnızca ABD'de Colonial Pipeline , JBS Foods , NBA ve Cox Media Group gibi önde gelen şirketlerin hepsi darbe aldı.
Bilgisayar korsanları genellikle ağlara kimlik avı saldırıları yoluyla erişir ; bu, çalışanları kandırarak parolalarını vermelerini sağlayan veya kötü amaçlı yazılımı şirket ağına indirecek kötü amaçlı bağlantılara tıklayan e-postalardır. Fidye yazılımı ayrıca, örneğin 123qwe gibi, kolayca kırılabilen parolalar aracılığıyla şirket ağlarına başka girişler de arar.
Neden Bu Kadar Çok ve Neden Şimdi?
Hulquist bunu şöyle açıklıyor: Başlangıçta fidye yazılımı çoğunlukla otomatikleştirildi ve küçük sistemleri hedef aldı. Buna "sprey et ve dua et" diyor.
"Fidye yazılımı dışarı çıkar ve hangi sisteme ulaşırsa onu vurur," diye açıklıyor. Savunmasız parolalar, açık ağlar, kolay giriş yolları aradı. "[Saldırganların] oldukça arkadaş canlısı oldukları biliniyordu; verilerin kilidini açarlardı - hatta bazen indirimler sunarlardı - ve hayatlarına devam ederlerdi." Bitcoin, bu parayı aktarmak için iyi bir platform sunduğunu söylüyor. Leeds'te olan da tam olarak buydu. Saldırganlar 60.000 dolar talep etti; kasaba 8,000 dolar ödedi .
Ama sonra işler değişti, diyor Hulquist. Fidye yazılımı, otomatik "sprey ve dualardan" daha fazla paraya sahip daha büyük şirketlere yönelik büyük, yönlendirilmiş saldırılara dönüştü. Ve fidyeler tavan yaptı. Blockchain ve kripto para birimini analiz eden Chainanalysis'in son raporuna göre, 2020'de şirketler saldırganlara fidye olarak 406 milyon dolardan fazla kripto para ödedi .
Hulquist, "Bu yeni hedefler genellikle kritik altyapı oldukları için ödeme yapmak zorunda" diyor. "Tekrar çevrimiçi olmaları gerekiyor. Tüketiciler aslında bir faktör çünkü bu şirketleri ödeme konusunda aceleci kararlar almaya zorluyorlar."
Ödemek mi, Ödememek mi?
Sömürge Boru Hattı saldırısında durum buydu. Saldırı, 29 Nisan'da ABD'deki en büyük yakıt boru hattını çökertti ve Doğu Kıyısı boyunca toplu yakıt istifine yol açtı. Colonial Pipeline CEO'su Joseph Blount , The Wall Street Journal'a şirketin boru hattını tekrar çevrimiçi hale getirmek için fidyeyi - 4,4 milyon dolarlık bitcoin - ödediğini söyledi . Ancak rakiplerin sağladığı şifre çözme anahtarı, boru hattının tüm sistemlerini hemen geri yüklemedi.
Ve bu fidye ödemeyle ilgili sorunlardan sadece biri. Diğer önemli soru, fidye ödemenin daha fazla sorunu teşvik edip etmediğidir. Hulquist, "Fidye ödemenin açıkça daha fazla hedefe yönelik saldırılara yol açtığını düşünüyorum, ancak imkansız bir durumda olan bir şirketseniz, kuruluşunuz için doğru olanı yapmanız gerekir" diyor.
Colonial için iyi haber, ABD Adalet Bakanlığı'nın 7 Haziran'da, Colonial'ın bilgisayar korsanlarına ödediği yaklaşık 2.3 milyon dolar değerinde 63.7 bitcoin'i kurtardığını duyurmasıdır. Hulquist, "Adalet Bakanlığı'nın ABD'nin kritik altyapısını bozan operatörlerden fidye ödemelerini geri alma hamlesi memnuniyetle karşılanan bir gelişme" diyor Hulquist. "Bu ciddi sorunun dalgasını durdurmak için birkaç araç kullanmamız gerektiği açıkça ortaya çıktı."
Tabii ki fidyeyi ödememek de aynı derecede sorunlu olabilir. Hulquist, "Bu şirketlerden bazıları ödeme yapmak istemiyor, bu yüzden verilerini herkese açık bir şekilde sızdırarak onları ödemeye zorluyorlar" diyor. "Bu, birçok kuruluşun bir parçası olmak istemediği bir teklif." Sızan e-postalar ve diğer özel bilgiler, bazı şirketlere ödeme yapmaktan çok daha fazla zarar verebileceğini söylüyor. Onları yasal sorunlara açabilir veya markalarına zarar verebilir.
Diğer bilgisayar korsanları, fidye yazılımı yüklemeden ödeme talep eder . Nisan ayında Houston Rockets'a yapılan saldırı sırasında olan buydu. NBA takımının ağına hiçbir fidye yazılımı yüklenmedi, ancak bilgisayar korsanlığı grubu Babuk , ödeme yapmazsa takımın sisteminden çaldığını iddia ettiği sözleşmeleri ve ifşa etmeme anlaşmalarını yayınlamakla tehdit etti .
Hükümet Ne Yapıyor?
Hulquist, hükümetin yapabileceği daha çok şey olduğunu söylüyor. "Bu sorunun bir süredir büyüdüğünü biliyoruz ve nihayet şimdi ciddiye alıyorlar ve çabalarını artırıyorlar" diyor.
Elbette, fidye yazılımı saldırılarındaki artışa yanıt olarak Biden yönetimi tarafından ortaya konan birkaç yeni girişime atıfta bulunuyor. 12 Mayıs'ta Başkan Biden , federal hükümet ağlarında siber güvenliği geliştirmek için tasarlanmış bir yürütme emri imzaladı . Yürütme eylemleri arasında, Ulusal Taşımacılık Güvenliği Kurulu'ndan (NTSB) sonra modellenen bir Siber Güvenlik Güvenliği İnceleme Kurulu oluşturacaktır. Panelde, NTSB'nin kazaları nasıl araştırdığına benzer şekilde siber olayları inceleyecek kamu ve özel uzmanlar yer alacak.
Biden'ın yardımcı yardımcısı ve siber ve gelişen teknoloji için ulusal güvenlik danışman yardımcısı Anne Neuberger de 2 Haziran'da "Kurumsal Yöneticiler ve İş Liderlerine" hitaben bir açık mektup yayınladı .
Raporda , özel sektörün siber tehditlere karşı koruma sorumluluğu olduğunu ve kuruluşların "büyüklüğü veya konumu ne olursa olsun hiçbir şirketin fidye yazılımlarının hedefi olmaktan güvenli olmadığını anlaması gerektiğini" söylüyor. kurumsal siber savunmanız tehditle eşleşiyor."
Şirketinizi Nasıl Korursunuz
Ağınızın güvenli olduğundan emin olmak için ne yapabilirsiniz? Siber Güvenlik ve Bilgi Güvenliği Ajansı (CISA) ve FBI 11 Mayıs, fidye yazılımı saldırılarından kaynaklanan iş kesintilerini önlemek için en iyi uygulamaları yayınladı. İçinde , fidye yazılımı tarafından ele geçirilme riskini azaltmak için şirketlerin şimdi yapabileceği altı azaltmayı listeliyorlar :
- Operasyonel teknolojiye (OT) ve BT ağlarına uzaktan erişim için çok faktörlü kimlik doğrulaması gerektir.
- Kimlik avı e-postalarının son kullanıcılara ulaşmasını önlemek için güçlü spam filtrelerini etkinleştirin. Yürütülebilir dosyalar içeren e-postaların son kullanıcılara ulaşmasını engelleyin.
- Kullanıcıları kötü amaçlı web sitelerini ziyaret etmekten veya kötü amaçlı ekler açmaktan caydırmak ve hedef odaklı kimlik avı e-postalarına uygun kullanıcı yanıtlarını yeniden güçlendirmek için bir kullanıcı eğitim programı ve hedefli kimlik avı saldırıları simülasyonu uygulayın.
- Bilinen kötü amaçlı IP adresleriyle giriş ve çıkış iletişimlerini yasaklamak için ağ trafiğini filtreleyin. Engellenen URL listeleri ve/veya izin verilenler listeleri uygulayarak kullanıcıların kötü amaçlı web sitelerine erişmesini önleyin.
- BT ağ varlıklarındaki işletim sistemleri, uygulamalar ve bellenim dahil olmak üzere yazılımları zamanında güncelleyin. Merkezi bir yama yönetim sistemi kullanmayı düşünün; Yama yönetimi programına hangi OT ağ varlıklarının ve bölgelerinin katılması gerektiğini belirlemek için risk tabanlı bir değerlendirme stratejisi kullanın.
- Özellikle uzaktan yönetim için güvenli bir ağ iletişim protokolü olan uzak masaüstü protokolünü (RDP) kısıtlayarak, ağlar üzerinden kaynaklara erişimi sınırlayın. Riskleri değerlendirdikten sonra, RDP operasyonel olarak gerekli görülürse, kaynak kaynakları kısıtlayın ve çok faktörlü kimlik doğrulamasını zorunlu kılın.
Ve bir - Hulquist oyunun bütün amacı artık ödeme muhtemeldir büyük bir hedefi vurmak olduğunu söylüyor vardır ücrete. Ve kritik altyapıyı çevrimdışına almak söz konusu değil. ABD'nin buna hazırlıklı olmadığını söylüyor.
"Bu alandaki gelişmişliğimiz bizim Aşil topuğumuzdur" diyor. "Bu bizi olaylara karşı daha savunmasız hale getiriyor. Tüm bunlardan çıkarmamız gereken derslerden biri, siber savaşa hazır olmadığımızdır. Sağlık hizmetlerini ve diğer kritik yetenekleri hedef aldıklarını biliyoruz. Herkes bundan ders alıyor. "
Şimdi Bu Çılgın
Peki tüm bu fidye yazılımı saldırılarının arkasında kim var? Atlanta'yı ele geçiren fidye yazılımı SamSam'ı hatırlıyor musunuz? 2018'de büyük bir jüri, içinde bulunan iki İranlıyı para için suçladı. Diğer üç fidye yazılımı - NETWALKER, REvil ve Darkside - RaaS (Hizmet olarak Fidye Yazılımı) olarak bilinir; bu, kötü amaçlı yazılımlarını yayan herkese ödemenin yüzde 10 ila 25'ini sundukları anlamına gelir. Darkside'ın Colonial Pipeline saldırısının arkasında olduğu söyleniyor. Bu operasyonların Rusya merkezli olduğu görülüyor.
