Fidye yazılımı: Profesyoneller için bir hile sayfası

Bu kılavuz, Colonial Pipeline saldırısı, WannaCry, Petya ve diğer fidye yazılımı saldırılarını, sistem korsanlarının hedeflediği ve bir enfeksiyon durumunda kurban olmaktan ve siber suçlulara fidye ödemekten nasıl kaçınılacağını kapsar.

Geçmişte, güvenlik tehditleri tipik olarak, saldırganların kimlik hırsızlığı gibi diğer suçlar için kullanabilecekleri sistemlerden bilgi kazımayı içeriyordu. Artık siber suçlular, cihazlarını ve verilerini rehin alarak kurbanlardan doğrudan para talep etmeye başladılar. Verilerin şifrelendiği (veya olduğu iddia edilen) ve kurbanların erişimi geri yüklemek için anahtar için ödeme yapmasının istendiği bu tür kötü amaçlı yazılım saldırısı, fidye yazılımı olarak adlandırılan 2013'ten bu yana hızla büyüdü.

TechRepublic'in fidye yazılımı hakkındaki hile sayfası, bu kötü amaçlı yazılım tehdidine genel bir bakış niteliğindedir. Bu kılavuz, yeni istismarlar ve savunmalar geliştirildikçe periyodik olarak güncellenecektir.

GÖRMEK: İşe Alma Kiti: Siber Güvenlik Mühendisi (TechRepublic Premium)

Yönetici Özeti

  • Fidye yazılımı nedir? Fidye yazılımı kötü amaçlı yazılımdır. Bilgisayar korsanları, genellikle ödeme yoluyla ödeme talep eder. bitcoin veya virüslü bir cihaza ve bu cihazda depolanan verilere yeniden erişim sağlamak için kurbanlardan ön ödemeli kredi kartı.
  • Fidye yazılımı neden önemlidir? Fidye yazılımı dağıtma kolaylığı nedeniyle, siber suçlular kar elde etmek için bu tür kötü amaçlı yazılım saldırılarına giderek daha fazla güveniyor.
  • Fidye yazılımı saldırılarının birincil hedefleri nelerdir? Ev kullanıcıları geleneksel olarak fidye yazılımı saldırılarının hedefi olurken, sağlık hizmeti, okullar ve üniversiteler ve kamu sektörü artık artan bir sıklıkla hedeflenmektedir. İşletmelerin fidye çıkarmak için derin ceplere sahip olma olasılığı daha yüksektir.
  • En iyi bilinen fidye yazılımı saldırıları nelerdir? Fidye yazılımı, Eylül 2013'ten beri aktif ve devam eden bir kötü amaçlı yazılım tehdididir. WannaCry, Petya ve Koloni Boru Hattı saldırısı bugüne kadarki en yüksek profilli fidye yazılımı saldırılarından bazılarıdır.
  • Kendimi bir fidye yazılımı saldırısından nasıl korurum? Bilgisayarınızın şifresini çözmek için kolluk kuvvetleri ve güvenlik firmaları ile işbirliği içinde geliştirilen çeşitli araçlar mevcuttur.

GÖRMEK: TechRepublic'in tüm akıllı kişi kılavuzları ve hile sayfaları

Fidye yazılımı nedir?

Fidye yazılımı, kurbanların genellikle bitcoin veya diğer sanal para birimleri ile ödediği bir fidye için cihaz kontrolünün ve dolayısıyla yerel olarak depolanan verilerin tutulmasıyla karakterize edilen bir tür kötü amaçlı yazılım saldırısıdır. Gelişmiş fidye yazılımı saldırıları, disk veya dosya düzeyinde şifreleme kullanarak, bilgisayar korsanlarının talep ettiği fidyeyi ödemeden dosyaları kurtarmayı imkansız hale getirir.

Tarihsel olarak, fidye yazılımları, kurbanları ödemeye zorlamak için kolluk kuvvetlerinin imajını kullandı. Bu mesajlar genellikle FBI logosu ile uyarılar ve sistemde yasa dışı dosya paylaşımının tespit edildiğini belirten bir mesaj görüntüler ve kullanıcıların para cezası ödemesine veya cezai kovuşturma riskine girmesine neden olur. Fidye yazılımı saldırıları halkın bilincine vardıkça, saldırganlar bir cihazın basitçe saldırıya uğradığını ve kurbanların erişim sağlamak için bilgisayar korsanlarına ödeme yapması gerektiğini açıkça gösteren yükler oluşturmaya başladı.

gibi diğer saldırılar WhiteRose fidye yazılımı, bir bahçede William Faulkner'ın "okunabilir bir kitabı" ile "bir çalı ağacının yanında tahta bir sandalyede oturan" bir bilgisayar korsanı gibi pastoral ayarları açıklayan, özellikle hiçbir şey hakkında şüphelenmeyen kurbanlara gizemli ve neredeyse dilbilgisi içeren mesajlar gösterin. uzak yer.

GÖRMEK: Kimlik hırsızlığı koruma politikası (TechRepublic Premium)

Fidye yazılımı saldırıları genellikle dosya paylaşım ağları aracılığıyla yayılır ve ayrıca Zedo reklam ağında bir kötü amaçlı reklam kampanyasının bir parçası olarak dağıtılır. e-dolandırıcılık yükü kötü amaçlarla oluşturulmuş resimler veya e-postalara eklenmiş yürütülebilir dosyalar olarak gizleyen e-postalar. Ağlamak istiyor, belki de en iyi bilinen tek fidye yazılımı saldırısı, Microsoft'un SMB protokolünde bir kusur kullanır ve yama uygulanmamış, internete bağlı tüm bilgisayarları enfeksiyona karşı savunmasız bırakır. Diğer saldırılar, güvenli olmayan Uzak Masaüstü hizmetlerinden yararlanarak interneti savunmasız sistemler için tarar.

Bir rapora göre, Mayıs 2021 itibarıyla, 2020'nin başına kıyasla küresel olarak fidye yazılımı saldırılarında %102'lik bir artış oldu ve herhangi bir yavaşlama belirtisi görülmedi. Kontrol Noktası Araştırması. Raporda ayrıca, "küresel olarak etkilenen kuruluş sayısının 2021'in ilk yarısında 2020'ye kıyasla iki katından fazla arttığı" tespit edildi. Ayrıca rapora göre sağlık ve kamu hizmetleri sektörleri en çok hedeflenen sektörler (Nisan 2021 itibariyle); Asya Pasifik'teki kuruluşlar haftada ortalama 51 ile en fazla saldırıyı gördü (2021'in başına göre %14 artış); ve Afrika örgütleri, Nisan ayından bu yana saldırılarda en yüksek artışı (%34) gördü.

GÖRMEK: Bilgi grafiği: Bir fidye yazılımı saldırısının 5 aşaması (Teknoloji Cumhuriyeti)

Fidye yazılımı neden önemlidir?

Siber suçlular için, kimlik hırsızlığının nispeten el emeği daha fazla kaynak gerektirdiğinden, fidye yazılımı kullanımı geliştirmeden kâra çok düz bir çizgi sağlar. Bu nedenle, fidye yazılımının büyümesi, dağıtım kolaylığına ve ortaya konan çaba miktarına göre yüksek bir getiri oranına bağlanabilir. Daha yeni fidye yazılımı saldırıları, aşağıdakiler de dahil olmak üzere kâr faktörünü ikiye katlar: kripto para Madenciler, kurbanların fidyeyi ödemesini bekleyen aksi halde boşta kaldıkları için virüslü sistemlerin işlem gücünü kullanmak için.

Tipik olarak, fidye yazılımı saldırıları bilinen güvenlik açıklarından yararlanır, bu nedenle hızlı para kazanmak isteyen siber suçlular için orijinal araştırma gerekmez. WannaCry saldırısı özel bir durumdu; EbediMavi ve Çift Pulsar. Bu açıklar NSA tarafından keşfedildi ve kullanıldı ve bu güvenlik açıklarının varlığı bir grup olan The Shadow Brokers tarafından açıklandı. güvenlik açıkları ve bilgisayar korsanlığı araçları önbelleğine erişim satmaya çalışmak ABD hükümeti tarafından geliştirildi.

Kurbanlar genellikle fidye ödediğinden, fidye yazılımı saldırıları genellikle siber suçlular için oldukça başarılıdır. Kötü niyetli saldırganlar kurbanlardan para sızdırma girişimlerinde daha cüretkar hale geldikçe, özel olarak hedeflenen saldırılar giderek daha yüksek fidye talepleriyle sonuçlanabilir.

Ancak, saldırganların fidye talep ettiği "yanlış" fidye yazılımı saldırıları kullanıcılar ödeme yapsa da ödemese de dosyalar silinir— ayrıca son zamanlarda yaygınlaştı. Bunlardan belki de en küstah olanı (başarısız olsa da) 247.000 $ fidye talep eden KillDisk varyantı, şifreleme anahtarı yerel olarak veya uzaktan depolanmasa da, herhangi biri fidyeyi ödeyecekse dosyaların şifresinin çözülmesini imkansız hale getirir.

GÖRMEK: Fidye yazılımı: Neden şimdi mükemmel bir fırtınayla karşı karşıyayız? (ZDNet)

Fidye yazılımı saldırılarının birincil hedefleri nelerdir?

Geleneksel olarak fidye yazılımlarının hedefi ev kullanıcıları iken, iş ağları giderek daha fazla hedefleniyor suçlular tarafından. Ayrıca sunucular, sağlık hizmeti ve yardımcı programlar (örneğin Colonial Pipeline saldırısı), kötü niyetli fidye yazılımı saldırganları için yüksek profilli hedefler haline geldi.

Kuruluşlar, bu kötü amaçlı yazılım saldırıları için özellikle çekici hedeflerdir çünkü daha büyük kuruluşların seçebilecekleri daha derin cepleri vardır; ancak, bu daha büyük işletmelerin, herhangi bir hasarı azaltmak ve fidye ödemesini önlemek için son yedeklemelerle sağlam BT operasyonlarına sahip olmaları daha olasıdır.

2021 itibariyle, küresel olarak en yüksek miktarda fidye yazılımı saldırısı girişimi olan sektörler, her hafta kuruluş başına ortalama 109 saldırı girişimi ile sağlık sektörü, bunu 59 saldırı ile kamu hizmetleri sektörü ve Check'e göre 34 ile sigortacılık/hukuk takip ediyor. Point Research üçlü gasp raporu.

Sorunu birleştirmek için, NTT Security'nin 2021 Siber Güvenlik ve yeni nesil raporu gelecek neslin %39'unun çalışmalarına devam edebilmek için bir siber suçluya fidye ödeyeceğini gösteriyor.

En iyi bilinen fidye yazılımı saldırılarından bazıları nelerdir?

iken ilk temel fidye yazılımı saldırısı İlk yaygın şifreleme fidye yazılımı saldırısı olan CryptoLocker, Eylül 2013'te konuşlandırıldı. Başlangıçta, CryptoLocker kurbanları dosyalarını kurtarmak için katı bir son tarihe kadar tutuldu, ancak yazarlar daha sonra bir 10 BTC gibi yüksek bir fiyata son teslim tarihi geçen sistemlerin şifresini çözebilen web hizmeti (Haziran 2021 itibariyle, 10 Bitcoin veya BTC'nin USD karşılığı yaklaşık 385.793 $'dır).

Orijinal CryptoLocker yazarlarının yaklaşık 3 milyon dolar kazandığı düşünülürken, CryptoLocker adını kullanan taklitçiler artan bir sıklıkla ortaya çıktı. FBI'ın İnternet Suçları Şikayet Merkezi, Nisan 2014 ile Haziran 2015 arasında fidye yazılımı kurbanlarının cihazlarındaki dosyaların şifresini çözmek için 18 milyon dolardan fazla ödediğini tahmin ediyor.

kilitli, başka bir erken fidye yazılımı saldırısı, tuhaf bir eğilime sahiptir. görünüşte rastgele aralıklarla kaybolur ve yeniden ortaya çıkar. İlk olarak Şubat 2016'da ortaya çıktı ve Aralık 2016'da yayılmayı durdurdu, ancak 2017 yılının Ocak ve Nisan aylarında kısa bir süreliğine yeniden ortaya çıktı. Her ortadan kaybolma ile Locky'nin yaratıcıları saldırıyı iyileştiriyor gibi görünüyor. Locky saldırısını dağıtan Necurs botnet, ilgili Jaff fidye yazılımını dağıtmaya yönelmiş görünüyor. Hem Locky hem de Jaff, varsayılan sistem dili olarak Rusça seçilen sistemlerden kendilerini otomatik olarak siler.

GÖRMEK: Fidye yazılımı saldırganları artık üçlü gasp taktikleri kullanıyor (Teknoloji Cumhuriyeti)

12 Mayıs 2017'de başlayan WannaCry saldırısı, üç gün sonra bir güvenlik araştırmacısı bir alan adı tanımlayıp kaydettirdiğinde durduruldu yükün komuta ve kontrolü için kullanılır. GCHQ'nun bir bölümü olan Ulusal Siber Güvenlik Merkezi, Kuzey Kore'yi WannaCry saldırısının kaynağı olarak belirledi. Tahminler gösteriyor ki WannaCry saldırısı İngiltere'nin NHS'sine neredeyse 100 milyon sterline mal oldu Hasta bakımındaki aksaklıklar nedeniyle.

Petya, Ayrıca şöyle bilinir Altın Göz, ilk olarak Mart 2016'da virüslü e-posta ekleri aracılığıyla dağıtıldı; Diğer fidye yazılımı saldırıları gibi, Bitcoin üzerinden bir fidye ödenmesini talep etti. Petya'nın değiştirilmiş bir versiyonu Mayıs 2016'da keşfedildi; kötü amaçlı yazılım yönetici erişimi alamıyorsa ikincil bir yük kullanır.

2017'de, adı verilen sahte bir fidye yazılımı saldırısı NotPetya keşfedildi. NotPetya, dünyada yaklaşık 400.000 firma tarafından kullanılan muhasebe yazılımı MeDoc'un yazılım güncelleme mekanizması aracılığıyla yayılmıştır. Ukrayna. Petya, etkilenen bir diskin MBR'sini şifrelerken, NotPetya ayrıca tek tek dosyaları şifreler ve dosyaların üzerine yazar ve şifre çözmeyi imkansız hale getirir.

WannaCry gibi NotPetya da yerel ağlar üzerinden yayılmak için NSA tarafından geliştirilen EternalBlue güvenlik açığını kullanıyor. Petya ile karşılaştırıldığında, NotPetya'nın talep ettiği daha ucuz fidye ve tek Bitcoin cüzdan kurbanlarının kullanmaları talimatı verildiğinde, bu saldırının amacının kar elde etmek yerine zarar vermek olduğunu gösteriyor. Etkilenen kuruluşların neredeyse tamamen Ukraynalı olduğu göz önüne alındığında, NotPetya'nın bir siber savaş saldırı.

Ekim 2017'de, Kötü Tavşan saldırısı başlangıçta Rusya ve Ukrayna'daki kurbanları hedef aldı ve kurumsal ağlar aracılığıyla yayılarak Almanya, Güney Kore ve Polonya'daki kurbanları etkiledi. Bad Rabbit saldırısı, disk veya dosya şifrelemesi kullanmak yerine, bilgisayar dosya sistemi tarafından oluşturulan dosya tablolarını şifreler ve dosyaların depolandığı diskteki adları ve konumları indeksler. WannaCry ve NotPetya'da olduğu gibi, Bad Rabbit saldırısı da NSA tarafından geliştirilen bir istismar kullanıyor. EbediRomantizmABD devlet kurumları tarafından bulunan ve bildirilmeyen açıkları silahlandıran fidye yazılımı saldırıları eğilimini sürdürüyor.

GÖRMEK: Fidye yazılımı çeteleri 2020'de en az 350 milyon dolar kazandı (ZDNet)

Ocak 2018'de, GandCrab fidye yazılımı ailesinin ilk çeşitleri ile keşfedildi Nisan ayında tespit edilen gelişmiş varyantlar. GandCrab, öncelikle kimlik avı e-postaları ve Internet Explorer, Adobe Flash Player ve VBScript'teki açıklardan yararlanma yoluyla dağıtılır. Spesifik varyanta bağlı olarak, Dash veya Bitcoin kripto para birimlerinde ödenen bir fidye talep eder.

GandYengeç Europol'e göre "en saldırgan fidye yazılımlarından biri" olarak tanımlandı. Ortaya çıktıktan birkaç hafta sonra ortadan kaybolmasına rağmen, kardeş site ZDNet, araştırmacıların, 2020'de hala güçlü olan "Sodinokibi ile karşılaştırıldığında GandCrab kodundaki güçlü benzerliklere" dayanarak saldırganların odağı değiştirmiş olabileceğine inandıklarını açıkladı.

Mart 2018'de, Atlanta Şehri'nin bilgisayar ağı, SamSam fidye yazılımı tarafından saldırıya uğradı. şehir kurtarmak için 2,6 milyon dolar maliyet öngördü. Rendition Infosec'in kurucusu Jake Williams, şehrin altyapısının NSA tarafından geliştirilen DoublePulsar arka kapısına kurban gittiğini, Nisan ayının sonundan Mayıs 2017'nin başlarına kadar ZDNet'in belirttiğine dikkat çekti. Microsoft, güvenlik açıkları için yamalar yayınladıktan bir aydan fazla bir süre sonra. Atlanta Şehri bir fidye ödememesine rağmen, SamSam kötü amaçlı yazılımının arkasındaki saldırganlar, saldırının başladığı 2015 yılının sonlarında yaklaşık 6 milyon dolar kazandı. ZDNet'te bir Temmuz 2018 raporu. Bu rapor aynı zamanda saldırganların ayda tahmini 300.000 dolar kazanmaya devam ettiğini gösteriyor.

Eylül 2018'de fidye yazılımı saldırıları zorunlu kapı bilgi ekranları çevrimdışı Bristol Havalimanı'nda iki gün.

ZDNet, Kasım 2018'de şunları bildirdi: ABD Adalet Bakanlığı, İran dışında çalışan iki bilgisayar korsanını SamSam fidye yazılımı oluşturmakla suçladı, iddiaya göre "bir yıl boyunca 6 milyon dolardan fazla fidye ödemesi yaptı. Kısa bir süre sonra SamSam, aktif bir fidye yazılımı biçimi olmaktan çıktı."

2019'da haber yapmak için yapılan en büyük fidye yazılımı saldırılarından biri, RobbinHood saldırısıydı. Baltimore hükümeti şehri. Saldırı sırasında, temel hizmetler dışındaki tüm sunucular çevrimdışına alındı. Bilgisayar korsanları, hizmetleri geri yüklemek için bir fidye notu olarak 13 Bitcoin (Haziran 2021 itibariyle 501.530,90 ABD Dolarına eşdeğer) talep etti.

Baltimore'un olduğu bildirildi. teknoloji bütçesinin merkezi olmayan kontrolü ve siber saldırı sigortasını finanse edememesi nedeniyle böyle bir saldırıya açıktı.

Labirent fidye yazılımıKötü amaçlı yazılım kodunda yapılan düzenli güncellemeleri, altı haneli bir fidye ödenmezse çalınan bilgileri sızdırma tehditleriyle birleştiren , 2020'nin en başarılı fidye yazılımı ailelerinden biriydi. 2020'nin sonunda "emekli", grubun başarısının ardındaki birkaç üyenin diğer suç amaçlı fidye yazılımı operasyonları üzerinde çalışmaya başlamış olabileceği düşünülüyor.

GÖRMEK: SolarWinds saldırısı: Siber güvenlik uzmanları öğrenilen dersleri ve işinizi nasıl koruyacağınızı paylaşıyor (Teknoloji Cumhuriyeti)

6 Mayıs 2021 tarihinde, Koloni Boru Hattı ŞirketiDoğu Yakası'nın gaz, kalorifer yakıtı ve diğer petrol türleri de dahil olmak üzere yakıtının %45'inden sorumlu olan şirket, bir fidye yazılımı saldırısına maruz kaldığını keşfetti. Şirket, tüm boru hattı operasyonlarını geçici olarak durdurarak bazı sistemlerini kapatmak zorunda kaldı.

İçinde Saldırılarla ilgili TechRepublic makalesiLance Whitney, FBI'ın kimliği tespit ettiğini bildirdi. DarkSide fidye yazılımı çetesi saldırının suçluları olarak. Karanlık taraf, güvenlik CEO'su Lior Div'e göre, şimdiden milyonlarca kar elde eden (fidye talepleri 200.000 ila 2 milyon dolar arasında değişen) "profesyonel" ve "organize" bir bilgisayar korsanlığı grubu, genellikle İngilizce konuşan ülkeleri hedef alıyor ve Sovyet Bloku ülkelerinden kaçınıyor. firma Cybereason. Div ayrıca, DarkSide'ın geçmişte tüm ağları tehdit eden etki alanı denetleyicilerini hedef aldığını da kaydetti.

"Bu önem göz önüne alındığında, bu eylemin Rus hükümeti tarafından ya doğrudan iletişim yoluyla ya da istihbarat toplama yoluyla biliniyor olması muhtemeldir. GRU ve SRVSeattle'ın eski CISO'su ve hükümet siber güvenlik şirketi CI Security'nin CISO'su Mike Hamilton dedi. Saldırının nedenleri DarkSide ve Rus hükümeti arasında farklılık gösterebilir, ancak Kremlin, ABD'nin "sınır çizip çizmeyeceğini belirlemek için DarkSide'ı kullanıyor olabilir. Hamilton, bir suç eylemi ile bir saldırganlık eylemi arasında diye ekledi.

Öyleydi rapor edildi 13 Mayıs 2021'de Colonial Pipeline, bir şifre çözme anahtarı karşılığında 5 milyon dolara yakın bir fidye talebi ödedi.

GÖRMEK: Başka bir Colonial Pipeline fidye yazılımı saldırısı nasıl önlenir (Teknoloji Cumhuriyeti)

Kendimi bir fidye yazılımı saldırısından nasıl koruyabilirim?

Farklı fidye yazılımı aileleri, dosya paylaşım ağları, kötü amaçlı reklamcılık, kimlik avı, e-posta ekleri, kötü amaçlı bağlantılar ve internete bağlı bilgisayarlarda savunmasız açık bağlantı noktalarını taramak için virüslü sistemler gibi farklı giriş noktaları kullanır. Sonuç olarak, kendinizi bir fidye yazılımı saldırısından korumak, yalnızca titiz bir güvenlik hijyeni gerektirir. Kurumsal iş istasyonu dağıtımlarında, bilinmeyen programların yürütülmesini önlemek için Grup İlkesi kullanmak, fidye yazılımı ve diğer kötü amaçlı yazılım türleri için etkili bir güvenlik önlemidir.

GÖRMEK: Kripto para sözlüğü: Bitcoin ve Dogecoin'den sıcak cüzdanlara ve balinalara (TechRepublic Premium)

Ağınızdaki tüm cihazların düzenli ve hızlı güvenlik düzeltme ekleri almasını sağlamak, fidye yazılımı da dahil olmak üzere herhangi bir bilgisayar korsanlığı girişimine karşı en büyük savunmadır. Ayrıca, ağ güvenliği için akıllı bir cihaz yaşam döngüsü de önemlidir; Windows XP gibi desteklenmeyen işletim sistemlerini çalıştıran güncel olmayan sistemlerin internete bağlı bir ağda yeri yoktur.

Artık Fidye Yok Europol, Hollanda Ulusal Polisi, Kaspersky Lab ve McAfee arasında bir işbirliği olan proje, bir fidye yazılımı enfeksiyonu kurbanlarına, GandCrab, Popcorn, LambdaLocker, Jaff, CoinVault ve dahil olmak üzere 80'den fazla yaygın fidye yazılımı türü için fidye yazılımını kaldırmak için şifre çözme araçları sağlar. diğerleri.

Ayrıca bkz.

ransomwareistock100358491kaptnali.jpg" data-orijinal="https://www.techrepublic.com/a/hub/i/r/2016/08/27/95f5fbd7-c22c-45e3-9ff2-98e5474b9b22/resize/770x/220cbccc13c7kapf8ea860cf53addware/ .jpg

Getty Images/iStockphoto

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*