Fidye Yazılımlarının Yaşam Döngüsü

tarih:

          


                                 


Fidye yazılımlarının yaşam döngüsü, 2018 yılına kadar değişmeden kaldı. Bu dönemden itibaren, fidye yazılımları daha fazla işlevsellik kazandı ve şantaj teknikleri olgunlaştı. Fidye yazılımı saldırılarının beş aşaması şunlardır:

  1. İlk Erişim: Saldırganlar, hedef sistemlere ilk erişimlerini sağlar. Bu aşama, genellikle kimlik avı, kötü amaçlı yazılım veya zayıf güvenlik önlemleri aracılığıyla gerçekleşir.

  2. Yürütme: Saldırganlar, kötü amaçlı yazılımı hedef sistemde çalıştırır. Bu aşamada, zararlı yazılımın sistem üzerinde etkinliği sağlanır.

  3. Hedeflere Yönelik Eylem: Fidye yazılımı, hedef sistemde belirlenen dosyaları veya verileri şifreler veya bunlara zarar verir. Bu aşama, fidye yazılımının asıl etkisini gösterir.

  4. Şantaj: Saldırganlar, şifrelenen veya zarar gören verilerin serbest bırakılması için fidye talep eder. Bu aşama, genellikle kurbanın ödemesi için baskı yapılmasını içerir.

  5. Fidye Görüşmesi: Kurban ile saldırgan arasında fidye ödemesi üzerine müzakereler yapılır. Bu aşama, çoğu zaman ödeme miktarı ve yöntemleri hakkında görüşmeleri içerir.

Bu aşamalar, her zaman katı bir ardışıklık izlemeyebilir ve olayların dinamiklerine göre değişebilir. Fidye pazarlığı, fidye yazılımı saldırılarında önerilen bir yaklaşım değildir. Yetkili siber güvenlik makamları veya kolluk kuvvetleri ile iletişime geçmek, bu tür olayların ele alınması için önerilen yaklaşımdır. Ancak, tipik fidye yazılımı olaylarının yaşam döngüsünü tanımlarken, fidye görüşmesi aşamasını kapsayıcı bir şekilde dahil etmek önemlidir çünkü bu aşama birçok durumda gerçekleşir.

Şekil 1, fidye yazılımı saldırısının yaşam döngüsündeki aşamaları ve şantajın ne olduğunu açık bir şekilde gösterir. Bu aşamalar, eylemler ve varlıklar dahil olmak üzere ilk erişimden fidye görüşmesine kadar tipik bir olay akışını takip eder. Aşamaların her biri, aşağıdaki alt bölümlerde daha ayrıntılı olarak tartışılacaktır.


Şekil 1: Fidye yazılımı yaşam döngüsünün beş aşaması;



1.İlk Erişim

Fidye yazılımı saldırısının ilk aşaması, hedef sisteme ilk erişimin sağlanmasıdır. Bu aşamada, fidye yazılımları çeşitli teknikler kullanır. Bu teknikler şunları içerebilir:

  • Yazılım Açıklarından Yararlanma: Hedef sistemdeki güvenlik açıklarından faydalanarak erişim sağlama.
  • Çalınan Kimlik Bilgileri: Çalınan kullanıcı adı ve şifrelerle sisteme giriş yapma.
  • Kimlik Avı: Kullanıcıları aldatıcı e-postalar veya web siteleri aracılığıyla bilgilerini paylaşmaları için kandırma.

Fidye yazılımları tarafından kullanılan mevcut ilk erişim tekniklerini belirlemek zor olabilir. Bunun nedeni, güvenliği ihlal edilmiş kuruluşların olay raporlama konusundaki eksiklikleridir. Bu eksiklikler, bilgi paylaşımının azalmasına ve öğrenilen derslerin paylaşılmamasına yol açar. Kamu açıklamaları nadiren yapılır ve rapor edilen birkaç vakada bile saldırının nasıl gerçekleştiği, hangi fidye yazılımının kullanıldığı, nelerin ele geçirildiği ve fidye taleplerinin ayrıntıları hakkında bilgi verilmez. Bu bilgilerin paylaşılmaması, genellikle mağdurların tehdit aktörlerinin daha fazla olumsuz eyleminden veya itibar zararından kaçınma korkusundan kaynaklanmaktadır.


2.Uygulamak

Fidye yazılımı saldırısının ilk aşamasında, saldırganlar genellikle daha fazla varlığın istismar edilmesini sağlamak için çeşitli teknikler kullanır. Bu süreç, tehdit aktörüne, hedefin büyüklüğüne ve savunmasına bağlı olarak birkaç hafta sürebilir. Bu aşama, fidye yazılımı çalışmaya başlamadan önce tamamlanır; ancak, fidye yazılımı faaliyete geçtiğinde kurbanın ağı içinde yanal hareketler de yapılabilir.

Fidye yazılımının yürütülmesinden önce, genellikle bazı hazırlık eylemleri gerçekleştirilir. Bu temizleme aşamasında yapılan işlemler şunları içerebilir:

  • Güvenlik Yazılımının Sonlandırılması: Kurbanın güvenlik yazılımını devre dışı bırakmak.
  • Programların Durdurulması: Veritabanları gibi yazmayı engelleyebilecek programları durdurmak.
  • Kurtarma Özelliklerinin Devre Dışı Bırakılması: Sistemlerin, gölge kopyaların, günlüklerin ve diğer kurtarma özelliklerinin kapatılması.

Bir sonraki adım fidye yazılımının dağıtılmasıdır. Fidye yazılımı, doğrudan dağıtılabilir veya dağıtım mekanizmaları olarak botnet tabanlı kötü amaçlı yazılımlar kullanılarak, örneğin TrickBot ve Emotet gibi, üçüncü taraflar tarafından yayılabilir. Ryuk fidye yazılımı, bu tür dağıtım yöntemlerine örnek olarak verilebilir.


3.Hedefler Üzerine Eylem

Fidye yazılımı dağıtıldıktan sonra, hedeflenen varlıkların kullanılabilirliğine ve/veya gizliliğine yönelik bir dizi eylem gerçekleştirilir. Bu aşama genellikle "Hedeflere Yönelik Eylem" olarak adlandırılır. Fidye yazılımının tüm yetenekleri ve bu yeteneklerin nasıl işlediği Tablo 1'de detaylandırılmış ve haritalanmıştır.

Şifrelemenin doğru yapıldığını ve ödeme tamamlandıktan sonra dosyaların şifresinin çözülebileceğini garanti etmek mümkün değildir. Bu nedenle, fidye talebini ödemenin etkili olacağına dair hiçbir garanti bulunmadığından, fidye ödemenin önerilen bir yaklaşım olmaması gerektiği vurgulanmaktadır.


4.Şantaj

Varlıkların kullanılabilirliği tehlikeye girdikten sonra, tehdit aktörleri, fidye elde etmek için hedeflere şantaj yapmaya devam ederler. Şantajın üç ana bileşeni vardır:

  1. İletişim: Hedefe, varlıkların artık mevcut olmadığı veya başka bir şekilde zarar gördüğü bilgisi verilir.
  2. Tehdit: Talebin karşılanmaması durumunda oluşacak kayıp veya zarar hakkında bilgi verilir.
  3. Talep: Tehdit aktörünün, durumdan elde etmeyi beklediği şeydir.

Fidye taleplerinin iletişim biçimleri son on yılda değişim göstermiştir. Önceden, fidye taleplerinde ödeme yapma ve verileri geri almak için ne yapılması gerektiğine dair talimatlar içeren fidye notları etkilenen sistemlerde gösterilirdi. Ancak günümüzde tehdit aktörleri, etkilenen varlıklar, fidye talepleri ve hedefin itibarını zedeleyen bilgileri halka açık bir şekilde sergilemektedir. Ayrıca, bazı tehdit aktörleri sadece hedefleri değil, aynı zamanda müşterileri, ortakları ve diğer ilgili tarafları da zorlamaktadır; böylece hedef üzerindeki baskıyı artırmaktadırlar.

Fidye taleplerindeki tehditler, yeni zorlama biçimlerinin tanıtılmasıyla gelişmiştir. Şu anda, kuruluşlar aşağıdaki tehditlerle karşı karşıyadır:

  • Kısmi ve Tam Veri Sızıntıları: Verilerin sızdırılması.
  • Varlıkların Silinmesi: Hedeflerin varlıklarının silinmesi.
  • Veri Yeniden Satışı: Verilerin en yüksek teklifi verene (genellikle hedefin rakipleri) satılması.
  • Dağıtılmış Hizmet Reddi (DDoS) Saldırıları: Kuruluşun altyapısına yönelik siber saldırılar ve fidye ödemesi yapılana kadar bu saldırıların devam etmesi.

Fidye yazılımı talepleri de zamanla gelişmiştir, ancak bu değişim daha sınırlı olmuştur. Birincil talep genellikle parasaldır; tehdit aktörleri fidye ödemelerinden finansal kazanç sağlamaya çalışırlar. Hedef ödediğinde ve tehditler gerçekleşmediğinde, tehdit aktörü kamuoyunda itibar kazanarak faaliyetlerine devam eder. Ancak, talepler her zaman parasal değildir. Örneğin:

  • Yazılım Özellikleri: Şirketlerin ürünlerine yazılım özellikleri eklemelerini veya kaldırmalarını talep eden fidye yazılımları.
  • Ücretsiz Şifre Çözme Anahtarları: Hedeflerin diğer insanlara bulaşmasını isteyen fidye yazılımları, böylece ücretsiz şifre çözme anahtarları elde etmeye çalışır.

5.Fidye Pazarlığı

Fidye yazılımı saldırısında fidye pazarlığı, genellikle hedef ile tehdit aktörleri arasında özel bir iletişim yoluyla gerçekleştirilir. Bu süreç, tavsiye edilen bir adım olmamakla birlikte, bazı olaylarda yer aldığından, olay yaşam döngüsünü anlamak için incelenmesi önemlidir.

Fidye pazarlığının iki olası sonucu vardır:

  1. Hedefler Fidye Öder: Hedef, fidye ödemeyi kabul edebilir.
  2. Hedefler Fidye Ödemez: Hedef, fidye ödemeyi reddedebilir.

Hedef kuruluşların veya bireylerin fidye miktarını azaltmak için tehdit aktörleriyle başarılı bir şekilde müzakere ettiğine dair raporlar bulunmaktadır. Ancak, fidyeyi kimin ödediğini veya ödemediğini ve hangi durumlarda daha düşük bir fidye anlaşmasına varıldığını belirlemek oldukça zordur. Bu bilgiler genellikle kamuya açık hale getirilmez.

Çoğu zaman, fidye ödemelerinin başarılı olduğuna dair raporlar bulunur, ancak bu raporlar genellikle tehdit aktörlerinin toplam kazançlarına dair genel bilgiler içerir ve bireysel ödemeler hakkında detay vermez. Bazı tehdit aktörleri, başarılı ödemeler sonrasında güvenliği ihlal edilen hedeflerin adlarını herkese açık web sitelerinden kaldırabilirler. Ancak, fidye yazılımı web siteleri genellikle hatalı ve kararsız olduğundan, artık web sayfasında olmayan tüm hedeflerin fidye ücreti ödediğini genellemek güvenilir değildir. Ayrıca, siber suçluların iddialarına dayanan değerlendirmeler güvenilir bir kaynak olarak kabul edilmemelidir.