Fidye yazılımı teknikleri, taktikleri ve prosedürleri

Modern fidye yazılımı şifreleyicilerinin derinlemesine analizi, evrensel yöntemleri uygulayarak fidye yazılımlarıyla mücadele etmenizi sağlıyor.

Kaspersky uzmanları en sık karşılaşılan sekiz fidye yazılımı grubu olan Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte ve BlackCat’in taktiklerini, tekniklerini ve prosedürlerini derinlemesine analiz etti. Saldırının farklı aşamalarında saldırganların kullandığı yöntemleri ve araçları karşılaştırarak birçok grubun aşağı yukarı aynı planla hareket ettiği sonucuna vardılar. Bu durum, şirketlerin altyapılarını fidye yazılımlarından koruyabilecek etkin evrensel önlemler yaratılmasını sağlıyor.

Çalışmalarının ayrıntılarını ve her bir tekniğin gerçek hayattan örneklerle detaylı analizini Modern Fidye Yazılımı Gruplarının Yaygın Teknikleri, Taktikleri ve Prosedürleri raporunda bulabilirsiniz. Raporda aynı zamanda SIGMA formatında kötü amaçlı yazılımları tespit etme kuralları da yer alıyor.

Rapor ağırlıklı olarak SOC analistlerine, Tehdit Avı ve Tehdit İstihbaratı uzmanlarına ve olay müdahalesi ve inceleme uzmanlarına hitap ediyor. Ancak araştırmacılarımız raporda aynı zamanda çeşitli kaynaklardan fidye yazılımlarına karşı kullanılan en iyi uygulamaları da derledi. Kurumsal altyapıları izinsiz giriş önleme aşamasında korumaya yönelik temel pratik önerileri blogumuzda da tekrar etmenin faydalı olacağını düşündük.

İzinsiz giriş önleme

İdeal opsiyon, fidye yazılımı saldırısını kurumsal sınırlardan içeri girmeden önce durdurmaktır. Aşağıdaki önlemler, izinsiz giriş riskini azaltmaya yardımcı olur:

Gelen trafiğin filtrelenmesi. Yönlendiriciler, güvenlik duvarları, IDS sistemleri gibi tüm uç cihazlarda filtreleme politikaları uygulanmalıdır. İstenmeyen e-postalara ve kimlik avına karşı e-posta filtrelemeyi de unutmayın. E-posta eklerini doğrulamak için korumalı alan kullanmak akıllıca olacaktır.

Kötü amaçlı web sitelerinin engellenmesi. Bilinen kötü amaçlı web sitelerine erişimi kısıtlayın. Bunun için örneğin araya giren proxy sunucuları uygulayabilirsiniz. Siber tehdit listelerini güncel tutmak için tehdit istihbaratı veri akışlarını kullanabilirsiniz.

Derin Paket İncelemesi (DPI) kullanımı. Ağ geçidi düzeyinde DPI sınıfı bir çözüm kullanmak, trafikte kötü amaçlı yazılım olup olmadığını kontrol etmenizi sağlar.

Kötü amaçlı kodları engelleme. Kötü amaçlı yazılımları engellemek için imza kullanın.

RDP koruması. Mümkün olan her yerde RDP’yi devre dışı bırakın. Bir sebepten ötürü kullanmayı bırakamıyorsanız açık bir RDP bağlantı noktasına (3389) sahip sistemleri güvenlik duvarı arkasına alın ve bunlara yalnızca VPN üzerinden erişime izin verin.

Çok faktörlü kimlik doğrulama. Uzaktan erişilebilen tüm noktalarda çok faktörlü kimlik doğrulama, güçlü parolalar ve otomatik hesap kilitleme politikaları kullanın.

İzin verilen bağlantılar listesi. Donanım güvenlik duvarlarını kullanarak IP izin listesini zorunlu hale getirin.

Bilinen güvenlik açıklarını onarın. Uzaktan erişim sistemlerinde ve internete doğrudan bağlantısı olan cihazlarda güvenlik açıklarına yönelik yamaları zamanında yükleyin.

Rapor aynı zamanda güvenlik açıklarının kötüye kullanımına ve yatay harekete karşı korunmaya dair pratik önerilerin yanı sıra, veri sızıntılarına karşı mücadele ve olay hazırlığına yönelik tavsiyeler de içeriyor.

İlave koruma

Kuruluşlar için saldırının yayılma yolunu mümkün olan en kısa sürede ortadan kaldırmaya ve olay incelemesine yardımcı olabilecek ilave araçlar sunmak üzere EDR çözümümüzü de güncelledik. BT olgunluğuna sahip güvenlik süreçleri olan kuruluşlara yönelik yeni sürümün adı Kaspersky Endpoint Detection and Response Expert. Bulutta veya şirket içerisinde devreye alınabiliyor. Bu çözümün becerilerine dair daha fazla bilgiye buradan ulaşabilirsiniz.

İpuçları