Ransomware, kurbanları sistemlerinden dışarıda tutan, dosyalarını şifreleyen ve hatta fidye ödemeleri yapmazlarsa hassas bilgilerini yayınlama tehdidinde bulunan bir zararlı yazılımdır.
Değerli verilere sahip işletmeler ve organizasyonlar genellikle ransomware saldırılarının hedefidir. Bu, verileri kaybetmeyi göze alamayacakları ve fidyeyi ödeyebilecekleri içindir.
Tehdit aktörleri ayrıca bireyleri ve ransomware saldırısının kurbanı olabilecek başka herkesi hedef alır.
Bu yazıda, cihazların ransomware ile nasıl enfekte olduğunu, ransomware’ın bir ağda nasıl yayıldığını ve ransomware önleme uygulamalarını öğreneceksiniz.
Başlayalım.
Ransomware bir ağda yayılmadan önce, öncelikle bir uç noktayı – genellikle ağdaki güvencesiz ve savunmasız bir cihazı – enfekte etmelidir.
İşte tehdit aktörlerinin cihazları ransomware ile enfekte etmek için kullandığı yaygın teknikler:
Kimlik avı saldırıları.
Bu teknik, ransomware gibi zararlı yazılımları içeren siber saldırıların önemli bir yüzdesinden sorumludur.
Tehdit aktörleri genellikle kurbanlarını hedef alır ve onları cihazlarına ransomware indirmeye ikna eder. Bu, kötü amaçlı ekleri açarak ya da kimlik avı bağlantılarına tıklayarak gerçekleşir.
Otomatik indirmeler (Drive-by downloads).
Otomatik indirmeler, kullanıcının bilgisi olmadan gerçekleşen yetkisiz yazılım indirmeleridir.
Bazen bir kullanıcı, yazılımın içerisinde ransomware gibi zararlı yazılımlar olduğunu bilmeden indirme işlemini gerçekleştirir.
Otomatik indirmeler, zararlı yazılımlara ev sahipliği yapan web sitelerini ziyaret ettiğinde meydana gelir.
Kötü niyetli Reklamlar.
Kötü niyetli reklamlar ransomware’ı iletmek için bir araçtır. Bu reklamlar sisteminizdeki zafiyetleri tarayan exploit kitlerini içerir.
Bir kullanıcı reklama tıkladığında, exploit kit zafiyeti istismar eder ve kullanıcının sistemine ransomware çalıştırmaya ya da iletmeye çalışır.
Sabotajlı yazılımlar.
Ücretsiz yazılımlar, çatlatılmış premium yazılımlar ve yazılım paketleri tehdit aktörlerinin cihazlara ransomware sunmaları için yollardır.
Ayrıca, çatlatılmış premium yazılımlara ev sahipliği yapan web siteleri zararlı yazılım içerebilir ve otomatik indirmeler için kullanılabilir.
Çatlatılmış premium yazılımlar da güncellemeler ve güvenlik yamaları için uygun olmadığından ransomware enfeksiyon riskini artırır.
Sabotajlı depolama cihazları.
Bu, cihazları ransomware ile enfekte etmek için daha doğrudan bir yoldur. Ransomware ile olan çıkarılabilir ve taşınabilir depolama cihazları, onlara bağlı olan cihazları enfekte edebilir.
Bir uç noktayı enfekte ettikten sonra, ransomware diğer bağlantılı cihazlarda ve düğümlerde zafiyetleri tarar, bu zafiyetleri kullanarak faaliyetini sürdürür.
Ransomware’ın bir ağda nasıl yayıldığını açıklayan çeşitli yollar şunlardır:
Yatay hareket.
Bu, bir uç noktayı enfekte ettikten sonra ağdaki diğer cihazları enfekte etmek için ransomware’ın kullandığı bir ağ yayılma tekniğidir.
Eğer ransomware, diğer bağlı ağ cihazlarına erişip onları enfekte etmesine izin veren kendi kendine yayılma mekanizmalarını içeriyorsa bu mümkündür.
Uzaktan Masaüstü Protokolü (RDP).
Bu, bir ağ üzerinde uzaktan masaüstü bağlantıları için kullanılan bir protokoldür. Ransomware’ın bu bağlantıyı kullanarak diğer cihazları enfekte edebileceği bilinmektedir.
Bazı ransomware varyantları bu bağlantıyı bir ağda yatay hareket için kullanır. Windows dışında, ransomware RDP kullanan diğer makineleri de enfekte edebilir.
Sıfır Gün Zafiyetleri.
Bu zafiyetler zaten bilinmektedir, ancak henüz yamanmamıştır. Genellikle diğer kişiler zafiyetleri geliştiriciye göre önce keşfeder ve bu nedenle geliştiricinin onları yamalamak için pek vakti olmaz.
Yamanmamış zafiyetler, özellikle ağ cihazlarında, tehdit aktörlerinin ransomware yaymaları için cazip bir fırsat sunar.
Tehdit aktörleri bu zafiyetleri kullanarak, bir ağda tespit edilmeden ransomware çalıştırabilir.
İçeriden gelen saldırılar.
Memnuniyetsiz veya tehlike altındaki çalışanlar gibi tehdit aktörleri, bir ağa fark edilmeden doğrudan ransomware yayabilirler.
Bu durumda, zaten enfekte olmuş bir depolama cihazı kullanarak ağ cihazlarına ransomware yayabilirler.
Ayrıca çalışan oldukları için, çoğu güvenlik protokolünü kolayca atlatırlar.
Sabotajlı Kimlik Bilgileri.
Tehdit aktörleri, karanlık webden ya da kimlik avından elde ettikleri kimlik bilgilerini kullanarak sistemlere ve diğer ağ cihazlarına erişirler. Erişim kontrollerinde meşru varlıklar olarak görüneceklerdir.
Tek bir sisteme erişerek, tehdit aktörleri sistemin zafiyetini ayrıcalık yükseltme için kullanabilir ve kritik sistemlere erişim sağlayabilirler.
Yükseltilmiş ayrıcalıklarla, tehdit aktörleri ransomware çalıştırabilir ve birkaç an içinde tüm ağına yayabilirler.
İşte en iyi ransomware koruma ve önleme uygulamalarından bazıları:
Düzenli veri yedeklemeleri.
Düzgün yedekleme ve felaket sonrası toparlanma stratejileri uygulayın. Örneğin, anlık görüntüler yerine, sistemin ve kritik verilerin düzenli dış kopyalarını yapın ve bunları ağdan uzak bir yerde saklayın.
Düzgün bir yedeklemeyle, fidye ödemek, sisteminize erişememek veya verilerinize ulaşamamak konusunda endişelenmeniz gerekmez. Tabii ki, yedeklemelerin şifrelendiğinden emin olun.
En iyi teknoloji uygulamalarını kullanın.
Bu uygulamalar, tespit ve önleme stratejilerini içerir. Bu, ransomware gibi kötü amaçlı yazılımlara karşı güvenlik için çok yönlü bir çözümü içerir.
En iyi uygulamalar, düzenli sistem ve yazılım güncellemeleri için otomatik yama sürecine, kapsamlı bir tespit sistemine, e-posta güvenliğine, parolalar için güvenli erişim kontrol politikalarına, kimlik doğrulamaya ve sıfır güven modeline sahip olduğunuzdan emin olur.
Güçlü uç nokta güvenliği.
Bir ağdaki diğer cihazlara yayılmadan önce, ransomware önce zayıf bir uç noktayı enfekte eder. Bunu önlemek için, mobil cihazlar dahil tüm uç noktaları güvence altına alın.
Uç nokta güvenliği stratejileri, premium antivirüs/antimalware yazılımı, güvenlik duvarları, uç nokta tespiti ve yanıtı ve erişim ayrıcalıklarını kullanmayı içerir.
Ağ bölümlemesi.
Ağınızı bölümlemek, bir ağda ransomware’in enfeksiyonunu, yayılmasını ve etkisini sınırlar. Ayrıca bölümlenmiş bir ağda ransomware ile başa çıkmak daha kolaydır.
Ağ bölümlemesi, sistemlerinizi envanterinize eklemeyi, kritik sistemlerinizi gözetim altında tutmayı, riskleri değerlendirmeyi ve çeşitli segmentlere etkili kontroller uygulamayı kolaylaştırır.
Ağ segmentlerindeki güvenliği, şüpheli aktiviteler için trafik izleyerek ve ağ politikaları uygulayarak artırabilirsiniz.
Çalışanları siber güvenlik farkındalığı konusunda eğitin.
Organizasyonlar ve kurumlar, çalışanlarına ve personeline kötü amaçlı yazılımlar ve ransomware hakkında güvenlik en iyi uygulamaları konusunda eğitim ve bilgilendirme yapmalıdır.
Bunlar, kimlik avı simülasyonları, kötü amaçlı e-postaları tanıma, parola politikaları ve teknoloji koruma uygulamalarını içerir.
Esas olarak, farkındalık eğitiminin sonucu, insan hatalarını azaltmak ve çalışanları ransomware senaryolarını nasıl önleyecekleri ve başa çıkacakları konusunda bilgilendirmektir.
Ransomware’la etkili bir şekilde mücadele etmek için onun nasıl yayıldığını ve fidye ödemeden enfeksiyondan nasıl kurtulabileceğinizi bilmelisiniz.