Hizmet olarak fidye yazılımı: DarkSide ve diğer çeteler, verileri ele geçirmek için sistemlere nasıl giriyor?

Uzman, tüm şirketlerin risk altında olduğunu, ancak özellikle çok güvenli sistemleri olmayan küçük şirketlerin risk altında olduğunu söylüyor. Tüm saldırganlar büyük miktarda fidye peşinde değildir.

TechRepublic'ten Karen Roby, Okta'da siber güvenlik başkan yardımcısı Marc Rogers ile fidye yazılımı hakkında konuştu. Aşağıdaki, konuşmalarının düzenlenmiş bir dökümüdür.

Karen Roby: Belirteceğim çünkü kayıttan önce, "Pekala, bugün Cuma. Hafta sonuna giriyoruz." dedim. Bana açıklığa kavuşturduğun gibi, siber güvenlikteyken, fazla bir hafta sonun yok. Yani bu şirketler için 7/24 bir endişe ve operasyon. Demek istediğim, bu Marc'la ilgili çok şey oluyor.

GÖRMEK: Güvenlik olayı yanıt politikası (TechRepublic Premium)

Marc Rogers: Evet ve aslında kötü adamlar ofiste daha az insanın olduğu zamanı sevme eğilimindedir. Bu yüzden pandemi sırasında başarılı oluyorlar çünkü artık olaylar daha az izlendiği ve insanlar daha dağınık olduğu için çok fazla fırsat var. Ve insanların dinlenmeyi ve dinlenmeyi sevdiği hafta sonları, size saldırmaya çalışmak için harika bir fırsattır.

Karen Roby: Evet, o zaman bu güvenlik açıklarını kesinlikle bulurlar, eminim gerçekten oyunumuzda olmadığımızda. Açıkçası Marc, Colonial Pipeline ile uzun zamandır gördüğümüz en büyük fidye yazılım olaylarından biri ve bu, sıradan insanların bu tür şeyler meydana geldiğinde gerçekte ne olduğuna daha yakından bakmalarını sağlıyor. Bu tür olaylardan biraz bahsedin. Koloni Boru Hattı ile ilgili ayrıntıları tam olarak bilmiyoruz ve neyin yanlış gittiğini bilmiyoruz, ancak genel olarak bu saldırıları tetikleyen nedir? Nasıl oluyorlar?

Marc Rogers: Buradaki zorluk, dışarıda büyük bir fidye yazılımı ekosistemi olmasıdır. İnsanların muhtemelen anlamadığı şey, bunu yapanın sadece bir çete olmadığıdır. Bir sürü çete var ve artık öyle bir noktaya geldi ki, örneğin Colonial'e yapılan bu en son saldırıdan sorumlu olan DarkSide gibi gruplar, saldırganlar bile değil. Bir hizmet sunuyorlar ve internetin karanlık tarafında bir yerde oturuyorlar ve bir hizmet olarak fidye yazılımı denilen şeyi sunuyorlar. İçeri giren, platformlarını kullanan ve ardından şirketlere saldıran bağlı kuruluşları veya esasen alt yüklenicileri işe alırlar. Ve DarkSide örneğinde, eğer gerçekten altyapıya giriş yaptıysanız ve ona bir göz attıysanız, ki bu araştırma topluluğunda aktif olarak yaptığımız bir şey, çok gösterişli bir operasyon geçirdiler. Şirketlere giren iştiraklerine teknik destek sağlarlar. Bir iştirakin içeri girip ne kadar ödendiğini ve neyin ödenmemiş olduğunu görebilmesi ve parayı ve tüm bunları yönetebilmesi için para kazanma kontrolleri sağlarlar.

Temelde şirketlere benziyorlar ve fidye yazılımlarıyla ilgili zorluk şu ki, dünyanın dört bir yanına dağılmış birkaç suçlunun olduğu bu tür fırsatçı şeylerden, temelde herhangi bir girişimci suçlu anlamına gelen bir hizmet olarak operasyonlar haline geldi. fidye yazılımına erişebilir, 100 dolardan daha az bir fiyata gördüm ve sonra bunu bir şeyleri bulaştırmak için kullanın. Ve açıkçası alt uçta, çok karmaşık olmayan şeylerden bahsediyorsunuz. Sorun şu ki, karmaşık olması gerekmiyor. Colonial'ın arkasındaki grup, DarkSide grubu, saldırma konusunda çok seksi bir şey yapmıyorlar. Genellikle, parolalara yapılan kaba kuvvet saldırıları veya ihlallerden veya uzun süredir ifşa edilmiş ve muhtemelen yamalanması gereken iyi bilinen yazılım güvenlik açıklarından elde edilen sızdırılmış parolalar yoluyla içeri girerler. Yani temelde zayıfları avlıyorlar.

Karen Roby: Evet ve bunu yaptıklarında Marc, fıçıda balık vurmak gibi bir şey. Yani sadece dışarı çıkıyorlar ve nereye sızabileceklerini görmek için.

GÖRMEK: Parolalar nasıl yönetilir: En iyi uygulamalar ve güvenlik ipuçları (ücretsiz PDF) (Teknik Cumhuriyeti)

Marc Rogers: Bu kesinlikle doğru ve DarkSide'ın arkasındaki bağlı kuruluşların, iyi bilinen eski güvenlik açıklarına sahip açık sistemlere sahip şirketleri aramak için kelimenin tam anlamıyla interneti taradığına dair birçok kanıtımız var. Bilinen eski bir güvenlik açığına sahip bir şirket buldukları anı bildikleri için, bu onlara çok şey anlatır. Onlara, A'ya, içeri girmenin bir yolu olduğunu söyler, ama aynı zamanda, B'ye, muhtemelen şirketin içinde kötü uygulamalar olduğunu söyler. Ve onlara, C'nin, bu şirketin saldırılarına karşı tamamen hazırlıksız olacağını söyler. Ve böylece denklemin son parçası, bunun yüksek değerli bir hedef olup olmadığına karar vermeleridir. Ve eğer bu yüksek değerli bir hedefse, içeri girerler ve ağa bulaşırlar. Ağ boyunca mümkün olduğunca içeri girmeye ve mümkün olduğu kadar çok sistemi ele geçirmeye çalışırlar. Yedekler ararlar ve yedekleri şifrelerler. Ve sonra kilitlerler, aslında verileri de çalarlar çünkü size rüşvet vererek, çaldıkları verilerle size şantaj yaparak baskı uygulamayı severler. Sonra ağı şifrelerler ve talebi söndürürler.

Karen Roby: Vay, çok oldu. Çok fazla, Marc. Örneğin tedarik zincirimizden bahsediyoruz, yani burada çok fazla katman var, her yerde felaket olabilecek yerler var.

Marc Rogers: Tamamen katılıyorum. Ve bence Colonial benim için ilginçti çünkü kritik altyapının ne olduğu konusunda sahip olduğumuz uyumsuzluğu biraz gösteriyor. Koloni sanayi sistemleri etkilenmedi. Şirketin ağından korunuyorlardı ve bu nedenle fidye yazılımı oraya girmedi ve herhangi bir soruna neden olmadı. Ancak dikkate alınmayan şey, asıl şirketin çalışabilmesi olmadan, bu kontrol sistemlerine sahip olmanızın bir önemi yok, onları çalıştıracak kimse yok ve bu yüzden çalışamaz. Ve böylece Colonial'ın tüm operasyonel kısmını ortadan kaldırarak şirketin çalışma yeteneğini sekteye uğrattılar ve bu da şirketi kapanmaya zorladı. Bu da kritik altyapı olarak gördüğümüz şeyleri yeniden değerlendirmemiz gerektiği anlamına geliyor. Artık kritik olan bir şeyi çalıştırmak için kritik olan her şeyi dahil etmemiz gerekiyor, aynı zamanda kritik altyapı. Ve sanırım masaya geri dönmemiz ve şimdi yeni bir ışıkla diğer sistemlere bağlanan birçok farklı sisteme bakmaya başlamamız gerekecek.

Karen Roby: Peki ne yapacağız, Marc? Bir şifrenin sızdırıldığını veya şu veya bu olduğunu söylüyorsanız, çoğu zaman bunun hakkında konuşuruz, bunun diğer ucunda insanlar var ve güçlü bir şifreleri olduğunu veya değiştiklerini ummak için yapabileceğiniz çok şey var. o veya iki faktörlü kimlik doğrulama. Demek istediğim, bu işin içinde hala insanlar var, insanlar hata yapıyor. Biz ne yaptık? Kendimizi en iyi nasıl koruruz?

GÖRMEK: Fidye yazılımı saldırısı: Küçük bir işletme neden 150.000 dolarlık fidye ödedi? (Teknik Cumhuriyeti)

Bence bir sonraki şey, küçük şirketlerin bile bu fidye yazılımı çeteleri tarafından kurban edilebileceklerini anlamaları gerektiğidir, çünkü bu bir hizmet olarak fidye yazılımının arkasında çalışan bağlı kuruluşlar kime saldırdıklarını umursamıyorlar. Bazıları, beş, 10 milyon artı fidye peşinde koşan DarkSide iştirakleri gibi büyük paralar almak istiyor, ancak diğerleri umursamıyor. Sadece birkaç on bin dolar veya birkaç bin dolar istiyorlar. Herkes hedef alınabilir, bu nedenle kurban olabileceğinizi kabul edin.EE:

Ve bir sonraki şey, aslında temel güvenlik hijyeninin büyük bir fark yaratabileceğini anlayın. Şifreleri değiştirmekten falan bahsettin, bu onun bir parçası. Her şirketin bir çeşit bilgi güvenliği programına ihtiyacı vardır. Bu nedenle, çalışanlarınızın şifrelerinin ihlallere maruz kalmadığından, yeniden kullanılmadığından emin olun. Sadece bunun gibi bazı basit şeyler uzun bir yol kat ediyor. Çok faktörlü kimlik doğrulamayı veya iki faktörlü kimlik doğrulamayı açmak, DarkSide gibi bir grubun işini inanılmaz derecede zorlaştırır, çünkü bu durumda parolaları kaba kuvvet uygulayamazlar, bu yüzden anlamlı bir etkisi olacaktır. Ve güvenlik açıklarını yamalamak.

Karşılaştığımız zorluk, büyük şirketlerin bunu kolayca yapacak kaynaklara sahip olduğunu düşünüyorum, ancak küçük şirketler bunu zor bulacaklar. Güvenlik ekibiniz bile olmayan 10 kişilik veya 20 kişilik bir şirketseniz, bununla nasıl başa çıkıyorsunuz? Diyeceğim şey, size ulaşıp sizi destekleyebilecek kaynaklar bulmak çünkü sonuçta bu durumlardan biriyle uğraşmanın maliyeti, örneğin, hizmetli bir yönetilen güvenlik hizmetleri sağlayıcısına sahip olmanın maliyetinden çok daha ağır basacaktır.

Yasal bir problemmiş gibi düşün. İşiniz için avukatlarınız var, güvenlik görevlileri de var.

Karen Roby: Esas olarak daha büyük şirketlere odaklanarak geçiş yapacağız. Siber güvenlik söz konusu olduğunda, daha çok STK'ları bünyesine katıyor mu yoksa bir STK'yı veya en azından bir tür siber güvenlik uzmanını yönetim kurullarına mı alıyor? C-suite'de bundan daha fazlasını görüyor muyuz?

Marc Rogers: Öyleyiz ama parçalanmış. Ekosistemin tamamına bakarsanız, ışık yılı ileride olan endüstriler olduğunu görürsünüz. İnternet endüstrisi ve bu alanda faaliyet gösteren tüm şirketler, yazılım mühendisliği merkezli oldukları ve geçmişin acımasız deneyimlerinden ders aldıkları için çok daha ileride olma eğilimindedir. Ancak, örneğin, kendilerini bu tür şeyler tarafından gerçekten tehdit altında görmedikleri inşaat gibi endüstriler var. Ama artık nesnelerin interneti ile kabul etmemiz gereken şey, bina yönetim sisteminiz bile muhtemelen bir şekilde veya biçimde internete bağlı ve bu da kurban olabileceği anlamına geliyor.

GÖRMEK: Apple tedarikçisi Quanta, REvil'den 50 milyon dolarlık fidye yazılımı saldırısına uğradı (Teknik Cumhuriyeti)

Otomotiv endüstrisi de tam olarak bu deneyimi yaşadı. 2015 yılında, bir arabaya elektronik olarak girmenin ve kontrolünü ele geçirmenin mümkün olduğunu göstermek için Tesla Model S'yi hackledim. Otomotiv endüstrisi yaptığı işi geliştirmek için büyük miktarda iş yaptı ve ilerliyor. Ama korkarım ki bunu fark etmeyen başka birçok sektör var. Bu nedenle, hepimizin bir araya gelip herkesin kurban olabileceğini ve güvenliğe bütüncül bir yaklaşıma sahip olmamız gerektiğini anlamamız gerekiyor. Aynısı şirketlerimiz içinde geçerlidir. Güvenliği parçalara ayıramaz ve ayrık bir programın iyi bir kapsama alanı sağlamasını bekleyemezsiniz.

Karen Roby: Marc, açıkçası bunda o kadar çok şey var ki, dışarıda bunu yaparak iyi para kazanan bir sürü kötü adam var. Ve bahsettiğiniz gibi, küçük bir şirket olabilir. 10.000 dolarlık bir fidye veya 100.000 dolarlık bir fidye demek istiyorum. Çoğu durumda, pek çok durumda, durumu düzeltmeye çalışmaktansa bunu ödemek onlar için daha kolaydır. Sistemlerine erişmeleri gerekiyor, verilerine ihtiyaçları var. Demek istediğim gerçekten korkutucu.

Marc Rogers: Evet, çok korkutucu. Ek işlerimden biri, pandemi sırasında sağlık hizmetlerini savunan bir organizasyon olan CTI League'in kurucularından biri olmam. Ve fidye yazılımının vurduğu bir dizi tesis, tıbbi tesis gördük ve orada kelimenin tam anlamıyla ölüm kalımdan bahsediyorsunuz. Bir hastane kapandığında ve kalem ve kağıt olmadan ameliyat yapmak zorunda kaldığında, insanların hayatları dengede kalır. Ve böylece şirketlerin zor kararlar alması gerektiğini anlayabiliyorum.

Mevcut yönetimin bu konuda çaba sarf ettiğini ve bunu birinci öncelik olarak gördüğünü görmekten memnun olmamın sebeplerinden biri de bu, çünkü bu gerçekten modern endüstrimizin belası. Bununla başa çıkmanın ve bitirmenin bir yolunu bulmalıyız ve bunu suçlular için çok acı verici hale getirmeliyiz, gidip farklı bir şey denerler.

Ayrıca bkz.

<a href="https://www.techrepublic.com/a/hub/i/r/2021/06/02/c685a367-83d1-4654-a7d7-01e79571d993/resize/770x/1c478149ca5ed4db2c7cbe4f9688cc6d/20210531-entaransom- .jpg" target="_blank" data-component="modalEnlargeImage" data-headline="

TechRepublic'ten Karen Roby, Okta'da siber güvenlik başkan yardımcısı Marc Rogers ile fidye yazılımı hakkında konuştu.

" data-credit="Resim: Mackenzie Burke">20210531-oktaransom-karen.jpg" data-original="https://www.techrepublic.com/a/hub/i/r/2021/06/02/c685a367-83d1-4654-a7d7-01e79571d993/resize/770x /1c478149ca5ed4db2c7cbe4f9688cc6d/20210531-oktaransom-karen.jpg

TechRepublic'ten Karen Roby, Okta'da siber güvenlik başkan yardımcısı Marc Rogers ile fidye yazılımı hakkında konuştu.

Resim: Mackenzie Burke

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*