İşletmelere yönelik siber saldırılar, mağdurlar için toplam gelirin 24%'sini gerektirme eğilimindedir

Son yıllarda, mali suçların artan karmaşıklığı, siber suçluları boşluklar aramaya ve giderek daha yenilikçi saldırılar gerçekleştirmeye motive etti. Önemli mali kazanç vaadi, bu siber suçluların halihazırda bilinen yeni teknikler geliştirmesine ve yöntemleri iyileştirmesine neden olarak, gasp siber saldırılarında önemli bir artışa neden oluyor.

Verizon'un 2024 Veri İhlali Araştırmaları Raporu'na göre, tüm ihlallerin (32%) yaklaşık üçte biri fidye yazılımı saldırıları veya başka bir gasp tekniği içeriyordu.Saf gasp saldırıları geçen yıl arttı ve şimdi tüm ihlallerin 9%'sini oluşturuyor. Bu rakamlar, son üç yılda gözlemlenenleri güçlendiriyor: fidye yazılımı ve diğer gasp ihlallerinin birleşimi, o dönemde 59%'den 66%'ye kadar değişen, mali amaçlı siber saldırıların yaklaşık üçte ikisini oluşturuyordu.

Benzer şekilde, son iki yılda, mali motivasyonlu saldırıların dörtte biri (24%'den 25%'ye kadar), kurbanı kişisel veya hassas verileri açığa çıkarmaya ikna etmek için yanlış bir anlatı veya zorlayıcı bir bahane yaratıldığında, bir sosyal mühendislik saldırıları kategorisi olan bahane tekniğini içeriyordu. Çoğu, şirket adına yanlış e-posta mesajları göndermeyi içeren İş E-postası Uzlaşması (BEC) vakalarını temsil ediyordu.

“fidye yazılımı saldırıları, şirketler üzerinde hem mali hem de teknik açıdan yıkıcı bir etkiye sahip olmasının yanı sıra şirketlerin imajına da ciddi zararlar veriyor. Sonuçları büyük olsa da, bu saldırılar genellikle sızdırılan bir kimlik bilgisi veya sosyal mühendislik tekniği gibi basit infaz olaylarıyla başlıyor. Şirketler tarafından sıklıkla göz ardı edilen bu ilk yöntemler, multi-milyon dolarlık kayıplara ve güven kaybına yol açan siber saldırılara kapı açabilir” diye açıklıyor Verizon raporuyla işbirliği yapan Brezilya Apura Siber İstihbarat CCO'su Mauricio Paranhos.

Paranhos, siber gasp senaryosunu anlamanın Apura gibi şirketlerin suçluların eylemlerini hafifletmek için bir dizi çözüm ve önlem geliştirmeye devam etmeleri için temel bir anahtar olduğuna dikkat çekiyor. Bu nedenle verileri gözlemlemek ve onlardan mümkün olduğunca fazla bilgi çıkarmaya çalışmak gerekiyor.

Ölçülmesi en kolay maliyetlerden biri fidyenin ödenmesiyle ilişkili tutardır.FBI'ın İnternet Suç Şikayet Merkezi'nin (IC3) bu yılki istatistiksel veri kümesini analiz ettiğimizde, fidye ödeyenler için düzeltilmiş medyan kaybının (inceleme tarafından fonların geri alınmasından sonra) yaklaşık 46.000 US$ olduğu tespit edildi. Bu rakam, bir önceki yılın medyanından önemli bir artışı temsil ediyor, bu US$ 26.000. Ancak, %'ye kıyasla bu yıl sadece 4% gasp girişiminin gerçek kayıpla sonuçlandığını dikkate almak önemlidir.

Verileri analiz etmenin bir başka yolu da fidye taleplerini mağdur kuruluşların toplam gelirinin bir yüzdesi olarak gözlemlemektir.İlk fidye talebinin ortalama değeri, kuruluşun toplam gelirinin 1.34%'sine eşdeğerdi ve taleplerin 50%'si 0.13% ile 8.30% arasında değişiyordu.Bu geniş varyasyon, en ciddi vakalardan bazılarının, mağdurun toplam gelirinin 24%'sine kadarını bile gerektirdiğini gösteriyor. Bu değer aralıkları, kuruluşların bir fidye yazılımı saldırısıyla ilişkili potansiyel doğrudan maliyetlere daha yakından bakarak risk senaryolarını yürütmelerine yardımcı olabilir.

“Diğer birçok faktörün de dikkate alınması gerekmesine rağmen, bu veriler fidye yazılımı saldırılarının finansal boyutunu anlamak için değerli bir başlangıç noktası sağlıyor. Bu saldırıların artan görülme sıklığı ve siber suçlular tarafından kullanılan tekniklerin çeşitliliği, bu suçlarla ilişkili riskleri ve finansal etkileri azaltmak için sürekli gözetim ve sağlam siber güvenlik stratejilerine olan ihtiyacı güçlendiriyor.” diye açıklıyor Paranhos.

Hizmet reddi (DoS) saldırılarının hala hüküm sürdüğü olayların aksine, sistem müdahalesi ihlallerin ana modeli olmaya devam ediyor. Hem Sosyal Mühendislik hem de Çeşitli Hatalar standartları geçen yıldan bu yana önemli ölçüde arttı. Öte yandan Temel Web Uygulaması Saldırıları standardı, 2023 DBIR'deki konumundan önemli ölçüde düştü. DBIR raporu ayrıca en alakalı MITRE ATT&CK tekniklerini ve bu standartlardan birkaçını hafifletmek için benimsenebilecek ilgili kritik İnternet Güvenlik Merkezi (CIS) güvenlik kontrollerini de sunuyor: sistem müdahalesi, sosyal mühendislik, uygulamalara yönelik temel saldırılar, varlıkların kötüye kullanılması, web uygulamalarının veya varlıkların kötüye kullanılması.

“Uzman, ”Eldeki bu bilgilerle kuruluşlar savunmalarını geliştirebilir ve siber suçluların ortaya çıkardığı zorluklarla başa çıkmak için daha hazırlıklı olabilir, böylece sürekli gelişen siber tehditlere karşı daha etkili koruma sağlayabilir” diyor.