Kuruluşunuz fidye yazılımının saldırısına uğradı ve verilerinizin şifresinin çözülmesi, saldırganların sunucularından silinmesi ve/veya çevrimiçi olarak sızdırılmaması için fidye ödemesi yapılıp yapılmayacağı konusunda bir karar verilmesi gerekiyor.
GuidePoint Security’ye göre önemli olan, saldırıyı gerçekleştiren fidye yazılımı operatörlerinin genel olgunluğu ve şöhreti olmalıdır.
Olgunlaşmamış fidye yazılımı grupları: Belirgin bir tehdit
Dünyanın dört bir yanındaki kolluk kuvvetleri ve hükümetler kuruluşlara fidyeyi ödememelerini tavsiye ederken, ödemenin sorunun umulan bir çözümüyle sonuçlanmayabileceğini bilmemize rağmen birçoğunun bunu yaptığını ve yapacağını hepimiz biliyoruz.
GuidePoint araştırmacıları ek tavsiyelerde bulundu: “Fidye ödemesi veya ödememe konusunda bilinçli bir karara varmak için fidye yazılımı gruplarının bilinen geçmişini, güvenilirliğini ve inandırıcılığını ve operatörlerinin iddialarını göz önünde bulundurun.”
LockBit, Alphv veya Black Basta gibi yerleşik RaaS şirketlerinin aksine, olgunlaşmamış, fırsatçı grupların yalan söyleme, mağdurlara yeniden şantaj yapma ve işlevsel kurtarma araçları (örneğin, şifre çözücüler) sunmama olasılıkları daha yüksektir.
“Yeniden gaspın açgözlülükten kaynaklanabileceğini, aynı zamanda şifrelenmiş dosyaların şifresinin çözülememesi gibi teknik eksiklikleri örtbas etmenin bir yolu olabileceğini belirtiyoruz; eğer tehdit aktörü kurban reddedene kadar ödeme talep etmeye devam edebilirse, makul bir açıklama mevcuttur Bu, teknik olarak beceriksiz bir aktörün ‘elini sallamaktan’ kaçınır” diye belirttiler.
Önceki deneyimlere ve meslektaşlarla yapılan tartışmalara dayanarak araştırmacılar, olgun RaaS gruplarının sağlam bir itibara sahip olmak için çalıştığını, böylece kurbanların grup ve bağlı kuruluşlarının talep ettiği önemli fidyeleri ödeme olasılıklarının daha yüksek olduğunu, daha küçük, daha az bilinen grupların ise çok daha az teşvik edildiğini buldu. belirledikleri kurallara göre oynamak.
Fırsatçı fidye yazılımı operatörlerinin genellikle şunları yapma olasılığı daha yüksektir:
- Daha küçük, daha az iyi savunulan kurbanları hedefleyin (KOBİ’leri düşünün)
- Şirket sistemlerine daha az karmaşık tekniklerle erişim sağlayın (açık bağlantı noktaları, güvenliği ihlal edilmiş kimlik bilgileri, kimlik avı, sıfır gün istismarı yerine kaba kuvvet)
- İlkel veya “ikinci el” altyapı (müzakere altyapısı dahil), sızdırılmış veya kırılmış araçlar kullanın, özel bir sızıntı sitesine veya ek tehditleri (etkilenen müşterilere yapılan çağrılar, tekrarlanan saldırılar vesaire.)
- Yetenekleri hakkında yalan söylemek (şifrelenmiş verilerin şifresini çözmek, belirli belgelere erişim, veri sızdırma)
- Daha küçük fidye miktarları isteyin / müzakereden sonra meblağı önemli ölçüde azaltın, ancak çoğu zaman sözlerini tutmayın ve daha fazlasını isteyin.
Yeniden gaspın neredeyse kesin olduğu
Araştırmacılar Phobos ve DATA LOCKER gruplarını içeren spesifik vaka çalışmaları/bağlı kuruluşlar fidye miktarı konusunda pazarlık yapıldıktan sonra yeniden gasp edilmeye özellikle yatkın görünüyorlar.
“Oluşturulacak veya savunulacak bir marka olmadığında ya da adı anında değiştirilebilen bir fidye yazılımı grubunun kurbanlara daha fazla ödeme yapmayı reddedene kadar yeniden şantaj yapma riski çok azdır veya hiç yoktur.
Araştırmacılar, konuyla ilgili topluluk bilgi paylaşımının düşük olduğunu ve bu sınıftaki tehdit aktörlerinin genel olarak daha az güvenlik raporlaması veya incelemesine maruz kaldığını belirtti.
Ayrıca, “fidye yazılımı olaylarına yönelik tehdit modelleme veya müdahale planlaması sırasında, markasız veya olgunlaşmamış fidye yazılımı gruplarının, daha büyük, daha yerleşik fidye yazılımı gruplarının aksine ayrı bir tehdit olarak değerlendirilmesi gerektiğini” savunuyorlar.
