Yedeklemeler fidye yazılımlarına karşı en önemli savunmadır. Ancak, fidye yazılımı saldırganları kurbanların verilerini çalmak için yanlış yapılandırılmış yedekleri kullanıyor. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), kuruluşların fidye yazılımı saldırılarını azaltmasına yardımcı olmak için yedekleme yönergelerini güncelledi.
Saldırganlar Verileri Çalmak için Yedekleri Kullanıyor
Genellikle fidye yazılımı saldırısının bir parçası olarak , kötü niyetli aktörler kurbanın sistemlerini şifrelemeden önce, hassas verilerini çalarlar. Çalınan veriler daha sonra kurbanı fidye ödemek veya verilerin çevrimiçi olarak ifşa edilme tehdidi ile şantaj yapmak için kullanılır.
Geçmişte, fidye yazılımı saldırganları, çalınacak hassas verileri bulmak için kurbanın ağ cihazlarını ele geçirirdi. Bu zaman alıcı ve saldırganları tespit etmeye açık olduğundan, artık kurbanın kendi yedeklerini kullanmaya yöneldiler. Bir kurbanın sistemleri ihlal edildiğinde, saldırganlar kurbanın yedeklerini bulur. Bunlar bulutta veya kurbanın ağında depolanırsa, saldırganlar yedekleri kurbanların verilerini kontrolleri altındaki sunuculara geri yüklemek için kullanır.
BleepingComputer’a gönderilen bir e-postada, bir saldırgan şöyle açıklıyor: “Evet, onları indiriyoruz. Bu çok kullanışlı. Hassas bilgileri aramaya gerek yoktur, kesinlikle yedeklerde bulunur. Buluttaki yedeklemeler daha kolaysa, sadece buluta giriş yapın ve sunucudan indirin, veri ihlali algılama yazılımına karşı tam görünmezlik. ” Saldırganlar kurbanın kendi yedeklerinden geri yüklendiğinden, yedekleme yazılımı herhangi bir günlük oluşturmaz. Sonuç olarak, kurban saldırının farkında değildir.
Fidye Yazılımı Saldırısının Bir Parçası Olarak Tehlikede Olan Yedekler
Fidye yazılımı saldırısının bir parçası olarak, kötü niyetli aktörler yedekleri genellikle kurbanın ağının geri kalanıyla birlikte şifreler. Bulutta depolanan yedeklemeler için saldırganlar, yedekleme dosyalarına erişmek ve bunları silmek için kurbanın kendi yedekleme yazılımını kullanır.
Saldırganlar yedekleri siler veya şifreler, böylece kurbanlar şifreli dosyalarını geri yüklemek için yedeklerini kullanamazlar.
Fidye Yazılımı Saldırılarından Yedekleri Nasıl Koruruz?
İşletmelerin kullandığı yedekleme yazılımı ne olursa olsun, bir saldırgan bir ağı ele geçirdiğinde yedeklemeler risk altındadır. Fidye yazılımı saldırıları riski en çok ağda depolanan yedeklerdir. Ayrıca, bir saldırı gerçekleştiğinde hala ağa bağlı cihazlarda depolanan yedeklemeler yüksek risk altındadır.
Bu gerçekleri göz önünde bulundurarak, İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) geçen hafta fidye yazılımı saldırılarını hafifletme yönergelerini güncelledi . NCSC’nin yeni yönergeleri artık çevrimdışı yedeklemeleri fidye yazılımı saldırılarına karşı en iyi savunma olarak vurguluyor. NCSC ayrıca, Dropbox veya OneDrive gibi bulut senkronizasyon hizmetlerinin tek yedekleme kaynağı olarak kullanılmaması gerektiği konusunda da uyarıyır. Bunun nedeni, eşitleme yerel dosyalar fidye yazılımı tarafından şifrelendikten hemen sonra gerçekleşirse, buluttaki dosyalar da şifrelenir.
NCSC’ye göre, fidye yazılımına dayanıklı yedeklemeler oluşturmak için en iyi yöntem “3-2-1” kuralına uymaktır . Bu kural, kuruluşların 2 ayrı cihaza kopyalanmış, yedeklerden en az 3 kopyasına sahip olduklarını ve cihazlardan birinin tesis dışında tutulduğunu savunur.