Blackcat Fidye Yazılımı Nedir ve Buna Karşı Nasıl Savunma Yapılır?

Yayınlanan: 2022-12-27

Siber saldırı, mevcut güvenlik açıkları aracılığıyla bir bilgisayar sistemine veya ağa yetkisiz erişim sağlamaya yönelik kasıtlı ve kötü niyetli bir girişimdir. Bu, hassas bilgileri çalmak ve normal işlemleri bozmak için yapılabilir.

Son zamanlarda fidye yazılımı, siber suçlular arasında başvurulacak siber saldırı aracı haline geldi. Fidye yazılımı genellikle diğerlerinin yanı sıra kimlik avı e-postaları, arabayla indirmeler, korsan yazılımlar ve uzak masa protokolü yoluyla yayılır.

Bir bilgisayara fidye yazılımı bulaştığında, fidye yazılımı bilgisayardaki kritik dosyaları şifreler. Bilgisayar korsanları daha sonra şifrelenmiş verileri geri yüklemek için fidye talep eder.

Siber saldırılar bir ülkenin ulusal güvenliğini tehlikeye atabilir, bir ekonominin kilit sektörlerindeki operasyonları sekteye uğratabilir ve çok büyük hasara ve ciddi mali kayıplara neden olabilir. WannaCry fidye yazılımı siber saldırısında olan da tam olarak buydu.

bilgisayar korsanı

12 Mayıs 2017'de Kuzey Kore'den geldiğine inanılan WannaCry adlı fidye yazılımı tüm dünyaya yayıldı ve iki günden kısa bir süre içinde 150'den fazla ülkede 200.000'den fazla bilgisayara bulaştı. WannaCry, Windows işletim sistemini çalıştıran bilgisayar sistemlerini hedef aldı. İşletim sisteminin sunucu ileti bloğu protokolündeki bir güvenlik açığından yararlandı.

Saldırının en büyük kurbanlarından biri Birleşik Krallık Ulusal Sağlık Servisi (NHS) oldu. Bilgisayarlar, tiyatro, teşhis ekipmanı ve MRI tarayıcıları dahil olmak üzere 70.000'den fazla cihazına virüs bulaştı. Doktorlar, hastalara bakmak için gerekli olan sistemlerine veya hasta kayıtlarına erişemedi. Bu saldırı NHS'ye 100 milyon dolara yakın bir maliyete mal oldu.

İşte bu kadar kötü olabilir. Ancak, özellikle arkasında kurbanlarla dolu bir yol bırakan BlackCat gibi yeni ve daha tehlikeli Fidye yazılımlarıyla işler çok daha kötüye gidebilir.

BlackCat Fidye Yazılımı

BlackCat-Ransomware

Geliştiricileri tarafından ALPHV olarak adlandırılan BlackCat fidye yazılımı, bir sisteme bulaştıktan sonra etkilenen sistemdeki verileri sızdıran ve şifreleyen kötü amaçlı bir yazılımdır. Hırsızlık, bir sistemde depolanan verilerin kopyalanmasını ve aktarılmasını içerir. BlackCat kritik verileri sızdırıp şifreledikten sonra, kripto para biriminde ödenecek bir fidye talebinde bulunulur. BlackCat kurbanlarının, verilerine yeniden erişebilmeleri için talep edilen fidyeyi ödemeleri gerekmektedir.

BlackCat sıradan bir fidye yazılımı değildir. BlackCat, genellikle C, C++, C#, Java veya Python'da yazılan diğer fidye yazılımlarının aksine, Rust'ta yazılan ilk başarılı fidye yazılımıydı. Ayrıca BlackCat, net web üzerinde saldırılarından çalınan bilgileri sızdırdıkları bir web sitesine sahip olan ilk fidye yazılımı ailesiydi.

Diğer Fidye Yazılımlarından bir diğer önemli fark, BlackCat'in hizmet olarak Fidye Yazılımı (RaaS) olarak çalışmasıdır. Raas, fidye yazılımı oluşturucuların fidye yazılımlarını diğer kişi veya gruplara bir hizmet olarak kiraladığı veya sattığı bir siber suç iş modelidir.

Bu modelde, fidye yazılımı yaratıcıları, başkalarının fidye yazılımı saldırılarını dağıtması ve yürütmesi için gerekli tüm araçları ve altyapıyı sağlar. Bu, fidye yazılımı ödemelerinden elde ettikleri kârdan pay almaları karşılığında.

Bu, BlackCat'in genellikle bireylere kıyasla fidyeyi ödemeye daha istekli oldukları için neden çoğunlukla kuruluşları ve işletmeleri hedef aldığını açıklıyor. Kuruluşlar ve işletmeler de bireylere kıyasla daha büyük bir fidye ödüyor. Siber saldırılarda insan yönlendirmesi ve karar verme, Siber Tehdit aktörleri (CTA) olarak bilinir.

BlackCat, kurbanları fidyeyi ödemeye zorlamak için "üçlü gasp tekniğini" kullanıyor. Bu, kurbanların verilerinin kopyalanıp aktarılmasını ve sistemlerindeki verilerin şifrelenmesini içerir. Kurbanlardan daha sonra şifrelenmiş verilerine erişmek için fidye ödemeleri istenir. Bunun yapılmaması, verilerinin halka sızdırılmasına ve/veya sistemlerinde hizmet reddi (DOS) saldırılarının başlatılmasına neden olur.

Son olarak veri sızıntısından etkilenecek kişilerle iletişime geçilerek verilerinin sızdırılacağı bilgisi verilir. Bunlar genellikle müşteriler, çalışanlar ve diğer şirket bağlı kuruluşlarıdır. Bu, mağdur kuruluşlara veri sızıntısından kaynaklanan itibar kaybı ve davalardan kaçınmak için fidye ödemeleri için baskı yapmak için yapılır.

BlackCat Fidye Yazılımı Nasıl Çalışır?

Nasıl-BlackCat-ransomware-çalışır

FBI tarafından yayınlanan bir flaş uyarıya göre, BlackCat fidye yazılımı, sistemlere erişim elde etmek için önceden güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini kullanır.

Sisteme başarılı bir şekilde girdikten sonra BlackCat, sahip olduğu erişimi aktif dizinde saklanan kullanıcı ve yönetici hesaplarını tehlikeye atmak için kullanır. Bu, BlackCat'in bir sistemdeki dosyaları şifrelemek için fidye yazılımını dağıtmasına izin veren kötü amaçlı Grup İlkesi Nesnelerini (GPO'lar) yapılandırmak için Windows Görev Zamanlayıcı'yı kullanmasına izin verir.

BlackCat saldırısı sırasında, kurbanın ağındaki güvenlik özelliklerini devre dışı bırakmak için Cobalt Strike ile birlikte PowerShell komut dosyaları kullanılır. BlackCat daha sonra kurbanların verilerini, bulut sağlayıcıları da dahil olmak üzere depolandığı yerden çalar. Bu yapıldıktan sonra, saldırıya rehberlik eden siber tehdit aktörü, kurbanın sistemindeki verileri şifrelemek için BlackCat fidye yazılımını kullanır.

Kurbanlar daha sonra sistemlerinin bir saldırıya uğradığını ve önemli dosyalarının şifrelendiğini bildiren bir fidye notu alırlar. Fidye ayrıca fidyenin nasıl ödeneceğine ilişkin talimatlar da sağlar.

BlackCat neden ortalama bir fidye yazılımından daha tehlikelidir?

şifreliKaraKedi

BlackCat, birkaç nedenden dolayı ortalama bir fidye yazılımına kıyasla tehlikelidir:

Rust'ta yazılmıştır.

Rust, hızlı, güvenli ve gelişmiş performans ve verimli bellek yönetimi sunan bir programlama dilidir. BlackCat, Rust'ı kullanarak tüm bu avantajlardan yararlanır ve onu hızlı şifreleme ile çok karmaşık ve verimli bir fidye yazılımı haline getirir. Ayrıca BlackCat'in tersine mühendislik yapmasını zorlaştırır. Rust, tehdit aktörlerinin BlackCat'i Windows ve Linux gibi farklı işletim sistemlerini hedef alacak şekilde kolayca özelleştirmesine olanak tanıyan ve potansiyel kurban yelpazesini artıran bir çapraz platform dilidir.

Bir RaaS iş modeli kullanır

BlackCat'in fidye yazılımını bir hizmet modeli olarak kullanması, birçok tehdit aktörünün nasıl oluşturulacağını bilmek zorunda kalmadan karmaşık fidye yazılımlarını dağıtmasına olanak tanır. BlackCat, onu savunmasız bir sistemde konuşlandırması gereken tehdit aktörleri için tüm ağır işleri yapar. Bu, savunmasız sistemlerden yararlanmakla ilgilenen tehdit aktörleri için karmaşık fidye yazılımı saldırılarını kolaylaştırır.

Bağlı kuruluşlara büyük ödemeler sunar

Bir Raas modeli kullanan BlackCat ile içerik oluşturucular, onu dağıtan tehdit aktörlerine ödenen fidyeden bir pay alarak para kazanıyor. Bir tehdit aktörünün fidye ödemesinin %30'una kadarını alan diğer Raas ailelerinin aksine BlackCat, tehdit aktörlerinin yaptıkları fidyenin %80 ila %90'ını elinde tutmasına izin verir. Bu, BlackCat'in tehdit aktörleri nezdindeki çekiciliğini artırır ve BlackCat'in onu siber saldırılarda konuşlandırmak isteyen daha fazla bağlı kuruluşa sahip olmasını sağlar.

Clear web'de halka açık bir sızıntı sitesi var

Dark web'de çalınan bilgileri sızdıran diğer fidye yazılımlarının aksine BlackCat, çalıntı bilgileri clear web'de erişilebilen bir web sitesinde sızdırır. Çalınan verilerin açık bir şekilde sızdırılmasıyla daha fazla kişi verilere erişebilir, bu da bir siber saldırının etkilerini artırır ve fidyeyi ödemeleri için kurbanlar üzerinde daha fazla baskı oluşturur.

Rust programlama dili, BlackCat'i saldırısında çok etkili hale getirdi. BlackCat, bir Raas modeli kullanarak ve büyük bir ödeme sunarak, onu saldırılarda kullanma olasılığı daha yüksek olan daha fazla tehdit aktörüne hitap ediyor.

BlackCat Fidye Yazılımı Enfeksiyon Zinciri

enfeksiyon Zinciri

BlackCat, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak veya Microsoft Exchange Server güvenlik açıklarından yararlanarak bir sisteme ilk erişimi elde eder. Bir sisteme erişim sağladıktan sonra, kötü niyetli aktörler sistemin güvenlik savunmasını indirir ve kurbanın ağı hakkında bilgi toplar ve ayrıcalıklarını yükseltir.

BlackCat fidye yazılımı daha sonra ağda yatay olarak hareket ederek mümkün olduğu kadar çok sisteme erişim elde eder. Bu, fidye talebi sırasında işe yarar. Ne kadar çok sistem saldırı altındaysa, kurbanın fidyeyi ödeme olasılığı o kadar artar.

Kötü niyetli aktörler daha sonra şantajda kullanılmak üzere sistemin verilerini sızdırır. Kritik veriler dışarı sızdırıldıktan sonra, BlackCat yükünün teslim edilmesi için sahne hazırlanır.

Kötü niyetli aktörler, Rust kullanarak BlackCat'i sunar. BlackCat öncelikle yedeklemeler, antivirüs uygulamaları, Windows İnternet hizmetleri ve sanal makineler gibi hizmetleri durdurur. Bu yapıldıktan sonra, BlackCat sistemdeki dosyaları şifreler ve sistemin arka plan görüntüsünü bozarak onu fidye notuyla değiştirir.

BlackCat Fidye Yazılımından Koruyun

güvenli

BlackCat, daha önce tanık olunan diğer fidye yazılımlarından daha tehlikeli olduğunu kanıtlasa da, kuruluşlar kendilerini fidye yazılımlarından çeşitli şekillerde koruyabilir:

Kritik Verileri Şifreleyin

Blackhat'in gasp stratejisinin bir kısmı, bir kurbanın verilerini sızdırmakla tehdit etmeyi içerir. Bir kuruluş, kritik verileri şifreleyerek verilerine fazladan bir koruma katmanı ekler ve böylece BlackHat tehdit aktörleri tarafından kullanılan gasp tekniklerini sakat bırakır. Sızdırılsa bile insan tarafından okunabilir bir formatta olmayacaktır.

Sistemleri düzenli olarak güncelleyin

Microsoft tarafından yapılan araştırmada, bazı durumlarda BlackCat'in bir kuruluşun sistemlerine erişim elde etmek için yama uygulanmamış değişim sunucularından yararlandığı ortaya çıktı. Yazılım şirketleri, sistemlerinde keşfedilmiş olabilecek güvenlik açıklarını ve güvenlik sorunlarını gidermek için düzenli olarak yazılım güncellemeleri yayınlar. Güvende olmak için, yazılım yamalarını çıktıkları anda kurun.

Verileri güvenli bir yere yedekleyin

Kuruluşlar, verileri düzenli olarak yedeklemeye ve verileri ayrı ve güvenli bir çevrimdışı konumda depolamaya öncelik vermelidir. Bu, kritik verilerin şifrelenmesi durumunda bile mevcut yedeklerden geri yüklenebilmesini sağlamak içindir.

Çok faktörlü kimlik doğrulamayı uygulayın

Bir sistemde güçlü parolalar kullanmaya ek olarak, bir sisteme erişim izni verilmeden önce birden fazla kimlik bilgisi gerektiren çok faktörlü kimlik doğrulaması uygulayın. Bu, bir sisteme erişmek için gerekli olan bağlantılı bir telefon numarasına veya e-postaya gönderilen tek seferlik bir parola oluşturmak için bir sistem yapılandırarak yapılabilir.

Bir ağdaki etkinliği ve bir sistemdeki dosyaları izleyin

Kuruluşlar, ağlarındaki şüpheli etkinlikleri olabildiğince hızlı bir şekilde tespit etmek ve bunlara yanıt vermek için ağlarındaki etkinliği sürekli olarak izlemelidir. Bir ağdaki etkinlikler de günlüğe kaydedilmeli ve potansiyel tehditleri belirlemek için güvenlik uzmanları tarafından incelenmelidir. Son olarak, bir sistemdeki dosyalara nasıl erişildiğini, bunlara kimlerin eriştiğini ve nasıl kullanıldığını takip eden sistemler kurulmalıdır.

Kritik verileri şifreleyerek, sistemlerin güncel olmasını sağlayarak, verileri düzenli olarak yedekleyerek, çok faktörlü kimlik doğrulama uygulayarak ve bir sistemdeki etkinliği izleyerek. Kuruluşlar bir adım önde olabilir ve BlackCat saldırılarını önleyebilir.

Öğrenme Kaynakları: Fidye yazılımı

Siber saldırılar ve BlackCat gibi fidye yazılımlarından gelen saldırılara karşı kendinizi nasıl koruyacağınız hakkında daha fazla bilgi edinmek için bu kurslardan birini almanızı veya aşağıda önerilen kitapları okumanızı öneririz:

1 numara. Güvenlik Farkındalık Eğitimi

Güvenlik-Farkındalık-Eğitim

Bu, internette güvende olmakla ilgilenen herkes için harika bir kurstur. Kurs, Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı (CISSP) olan Dr. Michael Biocchi tarafından verilmektedir.

Kurs, kimlik avı, sosyal mühendislik, veri sızıntısı, parolalar, güvenli gezinme ve kişisel cihazları kapsar ve çevrimiçi ortamda nasıl güvenli olunacağına dair genel ipuçları sunar. Kurs düzenli olarak güncellenir ve interneti kullanan herkes bundan faydalanır.

2 numara. Güvenlik Farkındalık Eğitimi, Çalışanlar İçin İnternet Güvenliği

Güvenlik-Farkındalık-Eğitim-İnternet-Çalışanlar-için-Güvenlik

Bu kurs, günlük internet kullanıcılarına göre düzenlenmiştir ve onları, insanların genellikle farkında olmadıkları güvenlik tehditleri ve bu tehditlere karşı kendilerini nasıl koruyacakları konusunda eğitmeyi amaçlar.

CISSP sertifikalı bir bilgi güvenliği uzmanı olan Roy Davis tarafından sunulan kurs, kullanıcı ve cihaz sorumluluğu, kimlik avı ve diğer kötü amaçlı e-postalar, sosyal mühendislik, veri işleme, parola ve güvenlik soruları, güvenli tarama, mobil cihazlar ve Fidye yazılımları kapsar. Kursu tamamladığınızda, çoğu işyerindeki veri düzenleme politikalarına uymanız için yeterli olan bir tamamlama sertifikası alırsınız.

#3. Siber Güvenlik: Yeni Başlayanlar İçin Farkındalık Eğitimi

Siber güvenlik

Bu, bir Eğitim ve Sertifika girişimi olan Logix Academy'den Usman Ashraf tarafından sunulan bir Udemy kursudur. Usman, CISSP sertifikalıdır ve doktora derecesine sahiptir. bilgisayar ağlarında ve birçok endüstri ve öğretim deneyiminde.

Bu kurs, öğrencilere sosyal mühendislik, şifreler, güvenli veri imhası, sanal özel ağlar (VPN'ler), kötü amaçlı yazılım, fidye yazılımı ve güvenli tarama ipuçları hakkında derinlemesine bir inceleme sunar ve çerezlerin insanları izlemek için nasıl kullanıldığını açıklar. Kurs teknik değildir.

#4. Fidye Yazılımı Ortaya Çıktı

Bu, bağımsız bir bilgi güvenliği danışmanı ve siber güvenlik ve dijital adli tıp uzmanı olan Nihad A. Hassan'ın yazdığı bir kitaptır. Kitap, fidye yazılımı saldırılarının nasıl azaltılacağını ve ele alınacağını öğretiyor ve okuyuculara var olan farklı fidye yazılımı türleri, bunların dağıtım stratejileri ve kurtarma yöntemleri hakkında derinlemesine bir bakış sunuyor.

Ön izleme Ürün Değerlendirme Fiyat
Fidye Yazılım Ortaya Çıktı: Yeni Başlayanlar İçin Fidye Yazılım Saldırılarından Korunma ve Kurtulma Rehberi Fidye Yazılım Ortaya Çıktı: Yeni Başlayanlar İçin Fidye Yazılım Saldırılarından Korunma ve Kurtulma Rehberi 23,74 dolar Amazon'da satın al

Kitap ayrıca fidye yazılımı bulaşması durumunda izlenecek adımları da kapsar. Bu, fidyelerin nasıl ödeneceğini, yedeklemelerin nasıl gerçekleştirileceğini ve etkilenen dosyaların nasıl geri yükleneceğini ve virüslü dosyaların şifresini çözmek için şifre çözme araçlarının çevrimiçi olarak nasıl aranacağını kapsar. Ayrıca, kuruluşların fidye yazılımı hasarını en aza indirmek ve normal operasyonları hızlı bir şekilde kurtarmak için nasıl bir fidye yazılımı olay müdahale planı geliştirebileceklerini de kapsar.

# 5. Fidye yazılımı: Anlayın. Önlemek. Kurtarmak

Bu kitapta, Recorded Future'da kıdemli bir güvenlik mimarı ve fidye yazılımı uzmanı olan Allan Liska, Fidye yazılımıyla ilgili tüm zor soruları yanıtlıyor.

Ön izleme Ürün Değerlendirme Fiyat
Fidye yazılımı: Anlayın. Önlemek. Kurtarmak. Fidye yazılımı: Anlayın. Önlemek. Kurtarmak. 17,99 $ Amazon'da satın al

Kitap, fidye yazılımlarının son yıllarda neden yaygınlaştığına, fidye yazılımı saldırılarının nasıl durdurulacağına, kötü niyetli kişilerin fidye yazılımı kullanarak hedeflediği güvenlik açıklarına ve fidye yazılımı saldırılarından minimum hasarla kurtulmaya yönelik bir kılavuza ilişkin tarihsel bir bağlam sunuyor. Ek olarak, kitap çok önemli bir soruyu yanıtlıyor, fidyeyi ödemeli misiniz? Bu kitap, fidye yazılımlarının heyecan verici bir keşfini sunuyor.

#6. Fidye Yazılımı Koruması Başucu Kitabı

Kendilerini fidye yazılımlarına karşı silahlandırmak isteyen herhangi bir kişi veya kuruluş için bu kitap mutlaka okunması gereken bir kitaptır. Bu kitapta, bilgisayar güvenliği ve sızma konusunda uzman olan Roger A. Grimes, insanların ve kuruluşların kendilerini fidye yazılımlarından korumalarına yardımcı olmak için bu alandaki engin deneyim ve bilgisini sunuyor.

Ön izleme Ürün Değerlendirme Fiyat
Fidye Yazılımı Koruması Başucu Kitabı Fidye Yazılımı Koruması Başucu Kitabı 17,00 $ Amazon'da satın al

Kitap, fidye yazılımlarına karşı güçlü savunmalar formüle etmek isteyen kuruluşlar için eyleme geçirilebilir bir plan sunuyor. Ayrıca bir saldırının nasıl tespit edileceğini, hızlı bir şekilde hasarın nasıl sınırlandırılacağını ve fidyenin ödenip ödenmeyeceğinin nasıl belirleneceğini de öğretir. Ayrıca, kuruluşların ciddi güvenlik ihlallerinin neden olduğu itibarı ve mali zararı sınırlamasına yardımcı olacak bir oyun planı sunar.

Son olarak, iş ve günlük yaşamdaki kesintileri azaltmak için siber güvenlik sigortası ve yasal koruma için güvenli bir temelin nasıl oluşturulacağını öğretir.

Yazarın notu

BlackCat, konu siber güvenlik olduğunda statükoyu değiştirecek olan devrim niteliğinde bir fidye yazılımıdır. Mart 2022 itibarıyla BlackCat, 60'tan fazla kuruluşa başarıyla saldırmış ve FBI'ın dikkatini çekmeyi başarmıştır. BlackCat ciddi bir tehdittir ve hiçbir kuruluş bunu göz ardı edemez.

BlackCat, modern bir programlama dili ve alışılmadık saldırı, şifreleme ve fidye gaspı yöntemleri kullanarak güvenlik uzmanlarını yakalamaya çalışıyor. Ancak bu fidye yazılımına karşı verilen savaş kaybedilmiş değil.

Kuruluşlar, bu makalede vurgulanan stratejileri uygulayarak ve insan hatasının bilgisayar sistemlerini açığa çıkarma olasılığını en aza indirerek bir adım önde kalabilir ve BlackCat fidye yazılımının feci saldırısını önleyebilir.