Fidye yazılımı nedir?

Makale
01/29/2025

Uygulamada, bir fidye yazılımı saldırısı, fidye ödenene kadar verilerinize erişimi engeller.

Aslında fidye yazılımı, bir bilgisayar, sunucu veya cihazdaki dosya ve klasörleri yok eden veya şifreleyen bir tür kötü amaçlı yazılım veya kimlik avı siber güvenlik saldırısıdır.

Cihazlar veya dosyalar kilitlendiğinde veya şifrelendikten sonra siber suçlular, şifrelenmiş verilerin kilidini açmak için bir anahtar karşılığında iş veya cihaz sahibinden para alabilir. Ancak ödeme yapıldığında bile siber suçlular anahtarı asla işletme veya cihaz sahibine vermeyebilir ve erişimi kalıcı olarak durdurabilir.

Microsoft Security Copilot , fidye yazılımı saldırılarının azaltılmasına yardımcı olmak için yapay zekadan yararlanıyor. Fidye yazılımlarına yönelik daha fazla Microsoft çözümü için Fidye yazılımı çözümleri kitaplığımızı ziyaret edin.

Fidye yazılımı saldırıları nasıl çalışır?

Fidye yazılımı otomatikleştirilebilir veya klavye üzerinde insan ellerini içerebilir - LockBit fidye yazılımı kullanan son saldırılarda görüldüğü gibi, insan tarafından işletilen bir saldırı.

İnsan tarafından çalıştırılan fidye yazılımı saldırıları aşağıdaki aşamaları içerir:

İlk uzlaşma - Tehdit aktörü, savunmadaki zayıflıkları belirlemek için bir keşif döneminin ardından önce bir sisteme veya ortama erişim kazanır.
Kalıcılık ve savunmadan kaçınma - Tehdit aktörü, olay yanıtı ekipleri tarafından algılanmamak için gizli olarak çalışan bir arka kapı veya başka bir mekanizma kullanarak sistemde veya ortamda bir yer açar.
Yanal hareket - Tehdit aktörü, güvenliği aşılmış cihaza veya ağ ortamına bağlı diğer sistemlere geçiş yapmak için ilk giriş noktasını kullanır.
Kimlik bilgisi erişimi - Tehdit aktörü, kullanıcı veya sistem kimlik bilgilerini toplamak için sahte bir oturum açma sayfası kullanır.
Veri hırsızlığı - Tehdit aktörü, güvenliği aşılmış kullanıcılardan veya sistemlerden finansal veya diğer verileri çalar.
Etki - Etkilenen kullanıcı veya kuruluş maddi veya itibarsal zarara uğrayabilir.

Fidye yazılımı kampanyalarında kullanılan yaygın kötü amaçlı yazılım

Qakbot – Kimlik avı kullanarak kötü amaçlı bağlantı ve ekleri yayar ve Cobalt Strike Beacon gibi kötü amaçlı yükler bırakır.
Ryuk – Genellikle Windows'a yönelik veri şifrelayıcısı
Trickbot : Excel ve Word gibi Microsoft uygulamalarını hedeflemiştir. Trickbot genellikle kullanıcıları kötü amaçlı dosya eklerini açmaya ikna etmek veya kötü amaçlı dosyaları barındıran web sitelerine tıklamak için geçerli olayları veya finansal tuzakları kullanan e-posta kampanyaları aracılığıyla teslim edildi. 2022'den bu yana, Microsoft'un bu kötü amaçlı yazılımı kullanan kampanyaları azaltması, yararlılığını kesintiye uğratmış gibi görünüyor.

Fidye yazılımı kampanyalarıyla ilişkili yaygın tehdit aktörleri

LockBit – Finansal motivasyonlu hizmet olarak fidye yazılımı (RaaS) kampanyası ve 2023-24 zaman aralığındaki en üretken fidye yazılımı tehdit aktörü
Siyah Basta – Zıpkınla kimlik avı e-postaları aracılığıyla erişim kazanır ve şifreleme yükünü başlatmak için PowerShell kullanır
Storm-1674 (DarkGate ve ZLoader) - Storm-1674, DarkGate, SectopRAT ve Zloader'ı dağıttığı ve Storm-0506 ve Sangria Tempest gibi tehdit aktörlerine erişim izni tanıdığı bir erişim aracısıdır.

Bu arada Storm-1811, Qakbot ve diğer kötü amaçlı yazılımları kullanarak BlackBasta dağıtımına yol açan sosyal mühendislik saldırıları ile bilinen bir tehdit aktörüdür. Geç Ekim ayından Kasım ayının başına kadar, Storm-1811'in hedef e-posta adreslerini istenmeyen posta (e-posta bombalama saldırısı) ile adeta boğduğu ve ardından istenmeyen posta sorununa yardım teklif ederek yardım masası personeli olarak kendini gösterdiği gözlemlendi. Bu yeni kampanyada, Storm-1811'in ReedBed adlı yeni bir kötü amaçlı yazılım yükleyicisi dağıttığı gözlemlendi.

Microsoft Defender verileri, 2024'ün son çeyreğinde en yaygın fidye yazılımı varyantlarının Akira, FOG, Qilin, Lynx ve yukarıda bahsedilen RansomHub ve BlackBasta olduğunu göstermektedir. Bu dönem ayrıca SafePay ve Hellcat'in yeni fidye yazılımı çeşitlemelerini de gördü. Mart 2025, tehdit aktörü Moonstone Sleet aracılığıyla Qilin fidye yazılımının yeniden ortaya çıkışını gördü.

Microsoft devam eden fidye yazılımı saldırısına nasıl yardımcı olabilir?

Microsoft Olay Yanıtı, devam eden fidye yazılımı saldırılarını azaltmaya yardımcı olmak için kimlikle ilgili tehditleri algılamaya ve yanıtlamaya yardımcı olan bulut tabanlı bir güvenlik çözümü olan Kimlik için Microsoft Defender kullanabilir ve dağıtabilir. Kimlik izlemenin olay yanıtına erken getirilmesi, etkilenen kuruluşun güvenlik operasyonları ekibinin denetimi yeniden kazanmasını destekler. Microsoft Olay yanıtı, olay kapsamını ve etkilenen hesapları tanımlamaya, kritik altyapıyı korumaya ve tehdit aktörü çıkarmak için Kimlik için Defender'ı kullanır. Ardından yanıt ekibi, tehdit aktörlerinin hareketlerini izlemek ve tehlikeye girmiş hesapları kullanarak ortama yeniden giriş yapma girişimlerini kesintiye uğratmak için Uç Nokta için Microsoft Defender getirir. Microsoft Olay Yanıtı, olayı kontrol altına aldıktan ve ortam üzerinde tam yönetimsel kontrolü yeniden sağladıktan sonra, gelecekteki siber saldırıları önlemeye yardımcı olmak için müşteriyle işbirliği yapar.

Otomatik fidye yazılımı saldırıları

Ticari fidye yazılımı saldırıları genellikle otomatiktir. Bu siber saldırılar virüs gibi yayılabilir, e-posta kimlik avı ve kötü amaçlı yazılım teslimi gibi yöntemlerle cihazlara bulaşabilir ve kötü amaçlı yazılım düzeltmesi gerektirebilir.

Bu nedenle, kötü amaçlı yazılımlara ve kimlik avı teslimlerine karşı koruma sağlayan Office 365 için Microsoft Defender kullanarak e-posta sisteminizi koruyabilirsiniz. Uç Nokta için Microsoft Defender Office 365 için Defender ile birlikte çalışarak cihazlarınızdaki şüpheli etkinlikleri otomatik olarak algılar ve engellerken, Microsoft Defender XDR kötü amaçlı yazılımları ve kimlik avı girişimlerini erken algılar.

İnsan tarafından işletilen fidye yazılımı saldırıları

İnsan tarafından çalıştırılan fidye yazılımı, bir kuruluşun şirket içi veya bulut BT altyapısına sızan, ayrıcalıklarını yükselten ve kritik verilere fidye yazılımı dağıtan siber suçluların etkin bir saldırısının sonucudur.

Bu "uygulamalı klavye" saldırıları genellikle tek bir cihaz yerine kuruluşları hedefler.

İnsan tarafından çalıştırılan , ortak sistem ve güvenlik yanlış yapılandırmalarıyla ilgili içgörülerini kullanan bir insan tehdit aktörü olduğu anlamına da gelir. Kuruluşa sızmayı, ağda gezinmeyi ve ortama ve zayıflıklarına uyum sağlamayı hedefler.

Bu insan tarafından çalıştırılan fidye yazılımı saldırılarının önemli noktaları genellikle kimlik bilgisi hırsızlığını ve çalınan hesaplardaki ayrıcalıkların yükseltilmesiyle yanal hareketi içerir.

Etkinlikler bakım pencereleri sırasında gerçekleşebilir ve siber suçlular tarafından keşfedilen güvenlik yapılandırma boşluklarını içerebilir. Hedef, tehdit aktörlerinin seçtiği yüksek iş etkisi kaynaklarına bir fidye yazılımı yükü dağıtmaktır.

Önemli

Bu saldırılar iş operasyonları için yıkıcı olabilir ve temizlenmesi zor olabilir ve gelecekteki saldırılara karşı koruma sağlamak için tam bir saldırgan çıkarma gerektirir. Genellikle yalnızca kötü amaçlı yazılım düzeltmesi gerektiren ticari fidye yazılımlarından farklı olarak, insan tarafından çalıştırılan fidye yazılımı ilk karşılaşmadan sonra iş operasyonlarınızı tehdit etmeye devam edecektir.

İnsan tarafından çalıştırılan fidye yazılımı saldırılarının devam etmesi etkisi ve olasılığı

Kuruluşunuz için fidye yazılımı koruması

İlk olarak, kötü amaçlı yazılım ve kimlik avı teslimine karşı koruma sağlamak için Office 365 için Microsoft Defender ile kimlik avı ve kötü amaçlı yazılım teslimini önleyin, Uç Nokta için Microsoft Defender cihazlarınızdaki şüpheli etkinlikleri otomatik olarak algılayıp engelleyin ve Microsoft Defender XDR kötü amaçlı yazılım ve kimlik avı girişimlerini erken algılamak için.

Fidye yazılımı ve haraç kullanımı ve kuruluşunuzu koruma hakkında kapsamlı bir görünüm için, İnsan tarafından çalıştırılan Fidye Yazılımı Risk Azaltma Proje Planı PowerPoint sunusunda yer alan bilgileri kullanın.

Microsoft Olay Yanıtı'nın fidye yazılımı önleme ve azaltma yaklaşımını izleyin.

Ekibinizi saldırı konusunda uyaran şüpheli etkinliği analiz ederek durumu değerlendirin.
Olayı ilk olarak hangi saatte/tarihte öğrendiniz? Hangi günlükler kullanılabilir ve aktörün şu anda sistemlere eriştiğine dair herhangi bir gösterge var mı?
Etkilenen iş kolu (LOB) uygulamalarını belirleyin ve etkilenen sistemleri yeniden çevrimiçi alın. Etkilenen uygulama güvenliği aşılmış olabilecek bir kimlik gerektiriyor mu?
Uygulamanın, yapılandırmanın ve verilerin yedekleri kullanılabilir mi ve bir geri yükleme alıştırması kullanılarak düzenli olarak doğrulanıyor mu?
Tehdit aktörü ortamdan kaldırmak için güvenliği aşma kurtarma (CR) işlemini belirleyin.

Microsoft'un İnsan tarafından çalıştırılan Fidye Yazılımı Azaltma Proje Planı kılavuzunun özeti aşağıda verilmiştir:

İnsan tarafından işletilen Fidye Yazılımı Risk Azaltma Proje Planı kılavuzunun özeti

Fidye yazılımı ve haraç temelli saldırıların bahisleri yüksektir.
Ancak saldırılar, saldırı olasılığınızı azaltabilecek zayıflıklara sahiptir.
Altyapınızı saldırı zayıflıklarını kötüye kullanmak için yapılandırmanın üç adımı vardır.

Saldırı zayıflıklarından yararlanmaya yönelik üç adım için, BT altyapınızı en iyi koruma için hızla yapılandırmak üzere Kuruluşunuzu fidye yazılımlarına ve haraçlara karşı koruma çözümüne bakın:

Fidyeyi ödemek zorunda kalmadan kuruluşunuzu bir saldırıdan kurtarmaya hazırlayın.
Ayrıcalıklı rolleri koruyarak fidye yazılımı saldırısının zarar kapsamını sınırlayın.
Riskleri artımlı olarak kaldırarak bir tehdit aktörün ortamınıza erişmesini zorlaştırın.