Şantajcılar çalınan verileri yayınladığı sürece yedekleme her derde deva değil

Fidye yazılımı geliştiricileri, ödeme yapmayı reddeden şirketlerin verilerini yayınlamak gibi yeni bir trend izlemeye başladı.

Verileri yedeklemek, emek-yoğun bir yöntem olsa da, şifreleme yapan fidye yazılımlarına karşı en etkili önlemlerden biri oldu. Şimdi ise suçlular, yedeklemeye güvenenlerin bir adım önüne geçmiş görünüyor. Fidye ödemeyi reddeden kurbanlarla karşı karşıya kalan fidye yazılımı geliştiricileri, artık bu verileri çevrimiçi olarak paylaşmaya başladı.

Verilerin yayınlanması, tehditleri gerçek kılıyor

Gizli bilgileri herkese açık hale getirme tehditleri yeni değil. Örneğin, 2016 yılında, San Francisco Belediyesi Demiryolu sistemlerine bulaşan kripto yazılımın arkasındaki grup bu hileyi denedi. Fakat yönelttikleri tehditleri yerine getirmediler.

Maze ilkti

Öncüllerinden farklı olarak, Maze fidye yazılımının arkasındaki grup, 2019’un sonlarında söylediklerini gerçekten de yaptı; üstelik birden fazla defa. Kasım ayında, Allied Universal ödeme yapmayı reddettiğinde suçlular, sözleşmeler, fesih anlaşmaları, dijital sertifikalar ve daha fazlası dahil olmak üzere 700 MB dahili veriyi çevrimiçi olarak sızdırdı. Şantajcılar, çaldıklarının yalnızca %10’unu yayınladıklarını ve hedef şirket işbirliği yapmadığı takdirde geri kalan verileri de halka açacaklarını söyleyerek tehditlerini sürdürdü.

Aralık ayında, Maze failleri bir web sitesi oluşturdu ve bu sitede kurban şirketlerin adlarını, virüs bulaşma tarihlerini, çalınan veri miktarını, IP adreslerini ve virüslü sunucuların adlarını yayınladı. Siteye bazı belgeler de yüklediler. Ay sonunda, Florida’nın Pensacola kentinden çalınmış görünen 2 GB dosya çevrimiçi olarak ortaya çıktı. Şantajcılar blöf yapmadıklarını kanıtlamak için bilgileri yayınladıklarını söyledi.

Maze yaratıcıları Ocak ayında Tıbbi Tanı Laboratuvarları verilerinin 9,5 GB’ını ve daha önce gizli bilgileri sızdırdığı için şantajcılara dava açmış olan kablo üreticisi Southwire’dan gelen belgelerin 14,1 GB’ını yükledi. Dava sonucunda Maze’in web sitesi kapatıldı, ancak bu durum uzun süremeyecek.

Ardından Sodinokibi, Nemty ve BitPyLock

Bunu diğer siber suçlular izledi. Yeni yıl arifesinde uluslararası finans şirketi Travelex’e saldırmak için kullanılan fidye yazılımı Sodinokibi’nin arkasındaki grup, Ocak ayı başında şirketin müşterilerine ait verileri yayınlama niyetini belirtti. Siber suçlular doğum tarihleri, sosyal güvenlik numaraları ve banka kartı bilgileri dahil 5 GB’dan fazla bilgiye sahip olduklarını söylüyor.

Travelex, bir sızıntı olduğuna dair kanıt görmediğini ve ödeme yapmayı reddettiğini söylüyor. Bu arada suçlular ise şirketin müzakere etmeyi kabul ettiğini söylüyorlar.

11 Ocak’ta aynı grup, bir hacker mesaj panosuna yaklaşık 337 MB’lık bir veri bağlantısı yükleyerek verilerin fidye ödemeyi reddeden işe alım şirketi Artech Information Systems’a ait olduğunu söyledi. Suçlular, yüklenen verilerin çaldıklarının yalnızca bir kısmı olduğunu da belirtti. Kurbanlar, istenenlere uymazsa geri kalan verileri yayınlamak değil, satmak istediklerini söylediler.

Nemty kötü amaçlı yazılımının geliştiricileri, ödeme yapmayanların gizli verilerini yayınlama planlarını duyurdu. Taleplerini yerine getirmeyen mağdurların şirket içi belgelerini parça parça yayınlamayı amaçladıklarını belirttiler.

BitPyLock fidye yazılımı operatörleri de fidye notlarına kurbanların gizli verilerini halka açma tehdidi ekleyerek bu trende katıldı. Henüz yapmamış olsa da, BitPyLock da veri çaldığını kanıtlayabilir.

Sadece fidye yazılımları söz konusu değil

Fidye yazılımı programlarına eklenen gelişmiş özellikler yeni değil. Örneğin, 2016 yılında, Shade Truva Atının bir sürümü, bir muhasebe makinesine denk geldiğini tespit ederse dosyaları şifrelemek yerine uzaktan yönetim araçları yüklüyordu. CryptXXX, hem şifreli dosyaları hem de Bitcoin ve kurbanların giriş bilgilerini çaldı. RAA’nın arkasındaki grup ise giriş bilgilerini de hedefleyen bazı kötü amaçlı yazılım örneklerini Pony Truva Atı ile donattı. Fidye yazılımlarının veri çalma yeteneği kimseyi şaşırtmamalı; özellikle de şirketler artık bilgilerini yedekleme ihtiyacını giderek daha fazla fark ederken.

Bu saldırılara karşı yedekleme yaparak korunulamayacağını bilmek endişe verici. Yazılım sisteminize bulaştığı takdirde, fidye ile sınırlı olmayacak kayıplardan kaçınmanın bir yolu yok; şantajcılar hiçbir garanti vermiyor. Kendinizi korumanın tek yolu, kötü amaçlı yazılımların sistemlerinize girmesine izin vermek.

Kendinizi fidye yazılımlarından nasıl korursunuz

Bu yeni fidye yazılımı trendinin etkili olup olmayacağını veya sürdürülüp sürdürülmeyeceğini önümüzdeki zamanlarda göreceğiz. Bu saldırılar yakın zamanda ivme kazanmaya başladı, bu yüzden korunma altında olmak önemli. Bu tür saldırılar yalnızca itibar kayıplarına ve ticari sırların ifşa edilmesine sebep olmakla kalmıyor; bir müşterinin kişisel verilerinin çalınmasına izin verirseniz ciddi para cezalarıyla karşılaşabilirsiniz. İşte size bazı tavsiyeler:

  • Bilgi güvenliği bilincini geliştirin. Personel ne kadar bilgili olursa, kimlik avı ve diğer sosyal mühendislik tekniklerinin onlar üzerinde işe yarama olasılığı o kadar düşük olur. Kaspersky Automated Security Awareness Platform adında, farklı iş yükü seviyelerine, ilgi alanlarına ve gizli bilgilere erişim düzeylerine sahip çalışanlara göre tasarlanmış bir öğrenme platformumuz var.
  • İşletim sistemlerinizi ve yazılımlarınızı, özellikle de sisteme yetkisiz erişime ve sistemin kontrolüne izin veren güvenlik açıkları içerdiği tespit edilen her şeyi, derhal güncelleyin.
  • Özel olarak fidye yazılımlarıyla mücadeleye yönelik koruyucu bir çözüm kullanın. Örneğin, Kaspersky Anti-Ransomware Tool çözümümüzü ücretsiz olarak indirebilirsiniz.
İpuçları