Fidye yazılımı, siber suçluların ilgisini çekmeye devam ederken, bu tehditlerin uyarlanabilirliği ve kalıcılığı da giderek artmaktadır. Suçlular, çalınan verileri kamuoyu önünde sergileyebildikleri sürece bu yöntemi kullanmaya devam etmekte ve fidye yazılımı, suç ekonomisi için önemli bir gelir kaynağı olmaya devam etmektedir.
Siber güvenlik şirketi ESET, kuruluşların fidye yazılımı tehdidi ile başa çıkabilmeleri için almaları gereken savunma önlemleri hakkında bilgilendirmelerde bulunmaktadır.
Veri sızıntı siteleri nasıl işliyor?
Siber suçlar, zamanla yaşanan teknolojik gelişmelere ve dönemin özelliklerine göre değişiklik göstermektedir. Siber şantaj, geniş bir suç kategorisi olarak kalıcılığını kanıtlamış olsa da, en zararlı türlerinden biri olan fidye yazılımı artık yalnızca dosyaların şifrelenmesi ile sınırlı değildir. Geçmişte saldırganlar, dosya veya sistemleri kilitleyerek şifre çözme anahtarı karşılığında ödeme talep ederken, son yıllarda kampanyalar, şifrelemeyi veri sızdırma ve çalınan bilgileri yayımlama tehditleriyle birleştirmektedir.
Bu noktada, özel sızıntı siteleri veya veri sızıntı siteleri (DLS’ler) devreye girmektedir. İlk olarak 2019’un sonlarında ortaya çıkan bu siteler, çift şantaj stratejisinin bel kemiği haline gelmiştir. Tehdit aktörleri, kurumsal verileri şifrelemeden önce çalmakta ve ardından bu verileri kamuya açık bir şekilde kullanarak bir güvenlik olayını doğrudan bir krize dönüştürmektedir.
Siber şantajın etkileri nelerdir?
Fidye yazılımı artık yalnızca sistemlerin kilitlenmesi değil, aynı zamanda veri hırsızlığı ve şantaj sorunu olarak değerlendirilmektedir. Kamuya açık takip projeleri, bu eğilimi doğrulasa da, sızıntı sitelerinin yalnızca suçluların duyurmayı seçtiği olayları yansıttığı, gerçek kurban sayısının daha yüksek olabileceği belirtilmektedir. Dark web üzerinde barındırılan ve Tor ağı üzerinden erişilen veri sızıntı siteleri, genellikle çalınan verilerin bir kısmını yayımlamakta ve ödeme yapılmadığı takdirde tüm verilerin açıklanacağı tehdidinde bulunmaktadır.
Bazı durumlarda, kurban ödeme yapmayı reddettiğinde veriler yayımlanmakta ve baskı daha da artmaktadır. Kurbanlara ait bilgiler, çalınan verinin kapsamı ve belirlenen son tarihler bu stratejinin bir parçası olarak sunulmaktadır. Bu yaklaşımın yıkıcı etkisi, hız ve görünürlükten kaynaklanmaktadır; olay kamuoyuna duyurulduğu anda birden fazla risk aynı anda ortaya çıkmakta ve çoğu zaman kuruluşlar saldırının kapsamını tam olarak anlamadan yoğun belirsizlik altında kalmaktadır.
Alınması gereken önlemler nelerdir?
Veri sızıntı siteleri, bu nedenle doğrudan bir baskı aracı olarak kullanılmaktadır. Saldırganlar, blöf yapmadıklarını göstermek için genellikle sınırlı miktarda veri yayımlamakta ve kurban ödeme yapmazsa daha fazlasının paylaşılmaya devam edeceği tehdidinde bulunmaktadır. Zarar çoğu zaman ilk kurbanla sınırlı kalmamakta, sızdırılan veya yeniden satılan veriler, kimlik avı, iş e-postası dolandırıcılığı ve kimlik sahtekârlığı gibi sonraki suçların kaynağı haline gelmektedir. Tedarik zinciri olaylarında ihlal, müşterilere ve iş ortaklarına kadar yayılabilmektedir.
Bu domino etkisi, fidye yazılımının münferit olaylar değil, sistemik bir risk olarak değerlendirilmesinin nedenlerinden biri olarak görülmektedir. Yetkisiz erişimin kanıtı olarak çeteler, saldırının gerçek olduğunu ve tehdidin inandırıcı olduğunu göstermek için sözleşmeler ve şirket içi e-postalar gibi örnek belgeler yayımlamaktadır. Ayrıca, zamanlayıcılar ve geri sayımlar, zamanın dolmakta olduğu hissini uyandırarak, zaman baskısı altında alınan kararların genellikle saati kontrol eden tarafın lehine olmasına neden olmaktadır.
