Bulut fidye yazılımı nedir ve saldırılardan nasıl kaçınabilirsiniz?

Fidye yazılımlarının bulut uygulamalarını ve verilerini ve bulut tabanlı şirketleri giderek daha fazla hedef almasıyla, işinizi nasıl koruyabileceğinizi açıklıyoruz

Fidye yazılımı saldırıları günlük bir olay haline geliyor ve operatörler bulutu giderek daha fazla hedefliyor. Bulut fidye yazılımı veya RansomCloud olarak bilinen şeyde, rakipler bulut uygulamalarına ve depolanan verilere ve bulut tabanlı şirketlere saldırmanın yollarını arıyor. 

Örneğin, ABD merkezli bulut barındırma hizmeti Cloudstar, Temmuz ayında, onu günlerce durma noktasına getiren gelişmiş bir fidye yazılımı saldırısına uğradı. Bu tür saldırılar daha belirgin olsa da, örneğin Güney Koreli web barındırma şirketi Nayana ile, müşteri sunucularındaki veriler şifrelendikten sonra 2017 yılında 1 milyon dolarlık bir fidye ödediği için bulut tabanlı hizmetler yıllardır hedef olmuştur.

Bu arada, COVID-19 kaynaklı dijital dönüşüm gerçekleşirken, çoğu kuruluş işlerinin en azından bir kısmını buluta taşıdı. Bu hamle, verimliliği artırıyor, ancak uzmanlar, bunun RansomCloud saldırılarından etkilenme riskini de artırabileceği konusunda uyarıyor.

Siber suçlular, fidye yazılımlarıyla bulutu çeşitli şekillerde hedefleyebilir . Kaspersky’nin baş araştırmacısı David Emm, bunlardan biri, kuruluşların buluta yedeklenen kendi sistemlerinde depoladıkları verileri şifreleyerek, diğerinin ise doğrudan bulut tabanlı verilere erişim elde etmek olduğunu açıklıyor. IT Pro’ya konuşan Emm, “Rakipler, personeli bulut sistemlerine erişmek için gereken kimlik bilgilerini ifşa etmeleri için kandırmak için sosyal mühendisliği kullanıyor” diyerek, herhangi bir sistemin zayıf kimlik bilgileri kullanılarak korunuyorsa , saldırganların erişim elde etmek için  kaba kuvvet yöntemlerini kullanabileceğini de sözlerine ekliyor.

Bilgisayar korsanları, bir bulut sağlayıcısının kendisinden ödün vererek bulutu da hedefleyebilir. Bu daha az yaygındır, ancak kötü şöhretli REvil çetesi ile, örneğin 2019’da, bir yedekleme ve bulut depolama tesisleri sağlayıcısı olan PerCSoft’u ABD diş hekimliği uygulamalarına taviz vermesiyle olur. 

Bulut fidye yazılımı: Siber çeteler buluta nasıl erişir? 

Analist firması Gigamon’un güvenlik mimarisi ekibinin saha CTO’su Ian Farquhar, çoğu kuruluş buluta geçerken, fidye yazılımı operatörlerinin bulut altyapısını hedeflemeye başladığını söylüyor. Bu, bulut altyapısı güvenliğinin birçok kuruluş için bir meydan okuma olduğu gerçeğiyle destekleniyor. “Infosec uzmanlarını işe almak zordur; bulut deneyimine sahip bilgi güvenliği uzmanlarını işe almak daha da zor.”

Bridewell Consulting’in siber savunma teknik lideri Gavin Knapp, siber suçluların bulut tabanlı kaynaklara ve verilere erişmesinin birden fazla yolu olduğunu söylüyor. Yer kazanmak için bulut hizmetlerindeki güvenlik açıklarını veya web kabuklarını ve kötü amaçlı yazılımları dağıtmak için web uygulamalarını hedefleyebilirler . “Diğer teknikler arasında bulut konsollarına ayrıcalıklı erişim elde etmek için geçerli kimlik bilgilerinin çalınmasının yanı sıra , paylaşılan dosya depolama veya hizmetlerin kötü amaçlı uygulamalar tarafından şifrelenmesine neden olabilecek OAuth uygulaması izinli kimlik avı ve diğer kimlik saldırıları yer alıyor.”

Knapp, RansomCloud saldırılarının, fidye yazılımını dahili bir hizmet olarak altyapı (IaaS) ortamına yaymadan önce, genellikle internete yönelik hizmetlerde zayıf erişim kontrolünü tehlikeye attığını söylüyor. Apache Log4j’de bulunan sıfır gün güvenlik açığı örneğini aktarıyor . “Kötü aktörlerin fidye yazılımları dahil etmek için yükleri kullanması çok az zaman aldı” diyor. “Tehdit, açıklardan yararlanma kodunun, Log4Shell’in yaygın olarak kamuya açık olarak paylaşılmasıyla daha da kötüleşti.”

Bulut saldırganları, genellikle kötü yapılandırılmış bulut API hizmetleri ve yanlışlıkla paylaşılan kimlik bilgileri aracılığıyla erişim elde edebilir. Güvenlik firması e2e-assure’ın CEO’su Rob Demain, “Saldırganlar GitHub gibi hizmetleri gözden geçirebilir ve halka açık depolara yanlışlıkla gönderilen bulut erişim anahtarlarını arayabilir” diyor. “Bilgisayar korsanları, kodda yazılı olan kimlik doğrulama anahtarlarını çıkarırlar.”

Kötü amaçlı yazılım yazarları ve suç grupları, herhangi bir modern işletme gibi çalışıyor ve kendi taktiklerini ve tekniklerini bulutu içerecek şekilde dönüştürüyor, diye uyarıyor Knapp. “Bulut saldırılarının otomasyonu da artıyor ve güvenlik açığının yayımlanması ile fidye yazılımları da dahil olmak üzere kötü amaçlı yazılımların silahlandırılması arasındaki süre kısalıyor.” 

Deloitte siber risk ortağı Nick O’Kelly, siber suçluların operasyonları gerçekleştirmenin verimli ve uygun maliyetli bir yolu olarak özel kötü amaçlı yazılım geliştiricilerini işe almasıyla fidye yazılımı iş modelinin giderek daha ‘profesyonel’ hale geldiğini söylüyor. “Bu geliştiriciler genellikle siber suç pazarları aracılığıyla reklam veriyor ve hizmetleri, belirli güvenlik açıklarından yararlanan ilk ‘damlacı’ kötü amaçlı yazılımlardan, müşterilerin ihtiyaçlarına ve kurban özelliklerine göre tasarlanmış özel fidye yazılımlarına (bulut altyapısı gibi) kadar değişebilir.”

Bu, en azından teoride, şimdiden olmaya başladı. Güvenlik firması KnowBe4, Ocak ayında , Microsoft Office 365 hesapları da dahil olmak üzere bulut e-posta hesaplarını gerçek zamanlı olarak şifreleyen çalışan bir RansomCloud türü geliştiren beyaz şapkalı bir hacker hakkında bir blog yayınladı.

Knapp, bulutu kullanan herhangi bir işletme risk altındadır, ancak güvenli bulut hizmetleri tasarlama konusunda olgunluğa sahip olmayanlar ve kullanıcıların uygulamalara izin vermesini önlemek için güvenlik denetimlerinden yoksun olan işletmeler “özellikle savunmasızdır”. İş ve bulut sağlayıcısının güvenlikten müşterek olarak sorumlu olduğu anlamına gelen, paylaşılan güvenlik sorumluluğu modelini anlamayan kuruluşlar da risk altındadır. 

Bulut fidye yazılımı: İşletmeniz tehditlere karşı nasıl savunma yapabilir?

Fidye yazılımı saldırılarının hacmi arttıkça, bulutu hedef alan baskılardan etkilenmeyeceğinizin garantisi yoktur, ancak işletmeniz bundan kaçınmak için adımlar atabilir. Yedeklemeler önemlidir ve savunmanızı test etmek çok önemlidir. Siber güvenlik danışmanlığı Prism Infosec’in baş danışmanı ve kurucusu Phil Robinson, kuruluşunuzun fidye yazılımı saldırılarına karşı dayanıklılığı konusunda düzenli değerlendirmeler ve kontroller yapılması gerektiğini söylüyor .

Bu, bulut hizmetlerinde tutulan verilere bakmayı ve silindiğinde veya şifrelendiğinde etkin bir şekilde kurtarılıp kurtarılamayacağını belirlemeyi içermelidir. Özellikle Robinson, işletmeleri verilerin sürümlendirilip, anlık görüntülenip yedeklenmediğini veya başka bir platforma yedeklenip yedeklenmediğini, bunun ne sıklıkta gerçekleştiğini ve simüle edilmiş bir kayıp ve geri yüklemenin en son ne zaman test edildiğini incelemeye çağırıyor.

Robinson, kuruluşunuz Microsoft , Amazon veya Google gibi önemli bir oyuncu tarafından sağlanan bulut tabanlı bir hizmet kullanıyor diye bunun verilerin güvenli olduğu anlamına geldiğini düşünmeyin. “Özellikle, IaaS kullanımı, bu tür saldırılara karşı dirençli olmanızı sağlamanın sizin sorumluluğunuzda olduğu anlamına gelir.”

Robinson, hizmet olarak platform (PaaS) veya hizmet olarak yazılım (SaaS) bile otomatik koruma sağlamaz, diye uyarıyor. “Microsoft Onedrive ve Sharepoint, Sürüm Oluşturma özelliği aracılığıyla bir düzeyde fidye yazılımı korumasına sahiptir . Ancak bu, kuruluşunuz tarafından etkinleştirilmemiş olabilir veya yönetici ayrıcalıkları kazanmış bir saldırgan bunu devre dışı bırakabilir.”

Knapp, ayrıca eğitimin RansomCloud tehdidini azaltmanın anahtarı olduğunu söylüyor. “BT, güvenlik ve son kullanıcılar, bulut odaklı saldırıların nasıl gerçekleştirildiği, bunlara karşı korunmak için neler yapılabileceği ve gerektiğinde bir olayı nasıl rapor edecekleri konusunda bilgilendirilmelidir.”

Çok faktörlü kimlik doğrulama (MFA) ve düzenli yamalama gibi iyi güvenlik hijyeninin yanı sıra teknik çözümler de yardımcı olur. İşletmeler güçlü uç nokta, e-posta ve bulut uygulaması algılama ve yanıtlama yetenekleri uygulamalıdır. Knapp, bunun geliştiricilerin ve bulut mühendislerinin sosyal mühendislik saldırıları tarafından kandırılmasını önlemeye yardımcı olacağını söylüyor. Tüm uyarılar, 7/24 izlenebilecekleri bir güvenlik bilgileri ve olay yönetimi (SIEM) veya güvenlik düzenleme, otomasyon ve yanıt (SOAR) sistemine gönderilmelidir, diye devam ediyor, tehdit istihbarat hizmetleri de erken uyarı sağlamada yararlı. bir saldırının.

Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.