Fidye yazılımı akınları, şirketlerin karşılaştığı en önemli siber tehditlerden biri olarak kabul edilir. Sırf kritik iş operasyonlarını aksatmakla kalmaz, tıpkı vakitte büyük mali kayıplara ve hatta birtakım durumlarda yasa ve yönetmeliklerin ihlali sonucunda ortaya çıkan para cezaları ve davalar nedeniyle iflasa neden olabilirler. Örneğin WannaCry ataklarının bugüne dek 4 milyar dolardan fazla mali kayba neden olduğu varsayım ediliyor. Lakin yeni fidye yazılımı kampanyaları işleyiş usulünü değiştiriyor: Artık çalınan şirket bilgilerini kamuya açıklamakla da tehdit ediyorlar.

Ragnar Locker ve Egregor, bu yeni gasp tekniğini uygulayan iki tanınmış fidye yazılımı ailesi olarak öne çıkıyor.

Ragnar Locker birinci olarak 2019’da keşfedildi, fakat 2020’nin birinci yarısında büyük şirketlere saldırana kadar pek tanınmadı. Hücumlar hedeflenen kurbanlardan fidye ödemeyi reddedenlerin bilinmeyen datalarını veri sızıntısı sitelerinin “Utanç Duvarı” kısmında yayınlıyor. Kurban saldırganlarla sohbet ediyor ve akabinde ödeme reddedilirse bu sohbet de yayınlanıyor. Birincil maksadı Amerika Birleşik Devletleri’nde faaliyet gösteren farklı kesimlerdeki şirketler olan Ragnar Locker, geçtiğimiz Temmuz ayında Maze fidye yazılımı karteline katıldığını, yani ikilinin iş birliği yaparak çalınan bilgileri paylaşacağını açıkladı. Maze, 2020’de en makus şöhretli fidye yazılımı ailelerinin başında geliyor.

Egregor ise Ragnar Locker’dan çok daha yeni, birinci olarak geçen Eylül ayında keşfedildi. Fakat tıpkı taktikleri kullanıyor ve kodlarının bir kısmını Maze ile paylaşıyor. Berbat maksatlı yazılım, ekseriyetle ağı ihlal ederek taarruza geçiyor ve akabinde kurbana, çalınan bilgiler halka açılmadan evvel fidyeyi ödemesi için 72 saat mühlet veriyor. Mağdurlar ödemeyi reddederse, saldırganlar mağdurların isimlerini ve bâtın şirket datalarını sızıntı sitelerine indirmek için ilişkileri yayınlıyor.

Egregor’un taarruz alanı Ragnar Locker’ınkinden çok daha geniş. Şimdiye dek Kuzey Amerika’nın yanı sıra Avrupa ve APAC bölgesinin kimi kısımlarında da yeni kurbanları gaye aldığı görüldü.

Latin Amerika Global Araştırma ve Tahlil Grubu (GReAT) lideri Dmitry Bestuzhev, “Şu anda gördüğümüz şeye Fidye Yazılımı 2.0’ın yükselişi ismini verdik” diyor. “Bununla demek istediğim, taarruzlar son derece maksatlı hale geliyor ve odak noktası yalnızca şifreleme değil. Gasp süreci birebir vakitte bilinmeyen dataların çevrimiçi olarak yayınlanması üzerine heyeti. Bunu yaparak yalnızca şirketlerin prestijini riske atmakla kalmıyor, tıpkı vakitte yayınlanan bilgiler HIPAA yahut GDPR üzere düzenlemeleri ihlal ederse şirketleri çok daha büyük cezalarla ve mali kayıplarla baş başa bırakıyor.”

Kaspersky Güvenlik Uzmanı Fedor Sinitsyn, bu nedenle kurumların fidye yazılımı tehdidini bir tıp berbat maksatlı yazılımdan daha fazlası olarak düşünmeleri gerektiğine dikkat çekiyor. Sinitsyn, “Çoğu vakit fidye yazılımı bir ağ ihlalinin sırf son kademesidir. Fidye yazılımı devreye girdiğinde, saldırgan aslında bir ağ keşfi gerçekleştirmiş, bilinmeyen bilgileri tanımlamış ve bu dataları çalmıştır. Kuruluşların tüm siber güvenlik en iyi uygulamalarını uygulamaları çok değerli. Saldırganlar sonuncu gayelerine ulaşmadan evvel saldırıyı erken bir evrede tespit etmek, kurumların para ve prestij kaybetmesinin önüne geçecektir” diyor.

Securelist’te Ransomware 2.0 hakkında daha fazla bilgi edinebilirsiniz.

Kaspersky uzmanları, şirketinizi bu çeşit fidye yazılımı akınlarına karşı müdafaanız için şunları öneriyor:

• Mutlaka gerekmedikçe uzak masaüstü hizmetlerini (RDP gibi) genel ağlara maruz bırakmayın ve bunlar için her vakit güçlü parolalar kullanın.
• Kullandığınız tüm aygıtlarda yazılımı aktüel tutun. Fidye yazılımının güvenlik açıklarından yararlanmasını önlemek için, güvenlik açıklarını otomatik olarak algılayabilen ve yamaları indirip yükleyebilen araçlar kullanın.
• Uzak çalışanların ağınıza erişimini sağlayan ticari VPN tahlilleri için mevcut yamaları ihmal etmeyin.
• E-posta eklerine yahut tanımadığınız bireylerden gelen mesajlara dikkatle yaklaşın. Kuşkunuz varsa, açmayın.

Hürriyet