Ransomware Hakkında Bilmemiz Gerekenler

Ransomware atak nedir ?

Fidye yazılımı, herhangi bir cihazdaki dosyaları şifreleyerek, dosyaları ve bunlara bağlı sistemleri kullanılamaz hale getirmek için tasarlanmıştır. Sürekli gelişen bir kötü amaçlı yazılım biçimidir. Kötü niyetli aktörler daha sonra şifre çözme karşılığında fidye talep etmektedirler. Şifrelenen kaynaklar bireylerin ve kuruluşların iş süreçlerini ciddi şekilde etkileyebilecek ve kuruluşları işletmek ve görev açısından kritik hizmetler sunmak için ihtiyaç duydukları verilerden yoksun bırakmaktadır.Fidye yazılımı aktörleri, fidye ödenmezse genellikle sızdırılmış verileri veya kimlik doğrulama bilgilerini hedefler ve bunları satmak veya sızdırmakla tehdit etmektedirler.

source: https://pixabay.com/photos/ransomware-cybersecurity-cyber-3998798/

30 Ağustos 2021 tarihinde Accenture müşteri bilgileri ve çalışma materyallerinin çalındığını duyurmuştur.

source: https://threatpost.com/accenture-lockbit-ransomware-attack/168594/

İnsan tarafından yönetilen fidye yazılımı nedir?

WannaCry fidye yazılım solucanı network'e girdiğinde kendi kendine network'teki tüm cihazlara yayılmaktadır.Windows Server (SMB) protokolündeki güvenlik açıklığından faydalanarak yayılma işlemini gerçekteştirmektedir.Kötü amaçlı yazılımın hedefler sistemler üzerinde herhangi bir yerleşik güvenlik kontrolü olmadığı sürece, diledikleri bilgisayara bu tür fidye yazılımları bulaştırabilir.

İnsan tarafından işletilen bir fidye yazılımı saldırısı daha çok hedef odaklıdır. Otomatik olarak yayılmak yerine, insan tarafından işletilen fidye yazılımları bir kişi veya gruplar tarafından bir sisteme yerleştirilir ve yürütülür. Saldırgan, hedef ortama erişim kazanır ve kuruluşun operasyonları üzerinde en büyük etkiye sahip olacağı yere yerleştirebilir ve yürütebilir, bu da kesintiyi ve saldırganın talep edebileceği fidye boyutunu artırır.

Peki insan tarafından işletilen ve ya geleneksel fidye yazılımı saldırılarının arasındaki en büyük fark nedir ?

Tüm fidye yazılım saldırıları, kurumların değerli dosyaları şifreleyerek fidye ödemeye zorlamak için tasarlanmıştır. Bununla birlikte, insan tarafından işletilen fidye yazılımı saldırıları, geleneksel saldırılardan daha büyük bir etkiye sahip olabilmektedir.

İnsan odaklı fidye yazılımı saldırıları, geleneksel fidye yazılımlarından farklı olarak initial access vektörleri kullanabilir. Örneğin, bir hacker elde etmiş olduğu kullanıcı erişim bilgileri aracılığıyla erişim elde edebilir ve ardından amaçlarına ulaşmak için ağda yatayda hareket edebilirken, geleneksek fidye yöntemleri kötü amaçlı fidye yazılımlarının başarılı bir şekilde iletilebilmesi için e-post'a yöntemi ile kimlik avı yapmaktadır.

Fidye yazılımı saldırıları, fidye talep ederken saldırganların hedef üzerindeki etkisini artırmak için veri hırsızlığını gitmektedir. İnsan tarafından işletilen fidye yazılımı ile tehdit aktörü, müşteri verileri, finansal bilgiler, kaynak kodu vb. gibi yüksek değerli verileri arayabilmektedir.

Özetle dört ana başlıkta değerlendirilebilir.

İtibar zedelenmesi :

Kurum bilgilerinin ya da kurumlardan elde edilen müşteri bilgilerinin black market'te satılması ile kurumlarda itibar zedelenmesi oluşabilir.

Verinin ihlal edilmesi :

Fidye yazılım casusları, verileri şifrelemeden önce çalmış oldukları dataları kurumlara şantaj yöntemi ile sunup tehdit etmektedirler.Kurumlar datalarına ulaşabilmek için fidye yazılımlarına ödeme yapsalar dahi bu datalar çoktan salgınlar tarafından ihlal edilmiş durumdadır.

Kayıp veri:

Bir fidye yazılımı saldırısı, bir kuruluşun verilerini şifreleyerek ve şifre çözme karşılığında fidye talep etmektedir.Ancak fidye ödeyen şirketler bile her zaman tüm verilerini geri almaları garanti değildir. Fidye yazılımı saldırısından etkilenen kuruluşlar, verilerinin en azından bir kısmını kalıcı olarak kaybetmeyi göze alabilirler.

Operasyonel etkiler:

Fidye yazılımı saldırıları, bir kuruluşun operasyonlarını engeller ve kurumlara ciddi ekonomik zarar vermektedir.

Fidye yazılımlarından korunma yöntemleri nelerdir ?

Backup :

Fidye yazılımı bulaşmasından sonra kurtulmanın en etkili ve tek yolu verilerin yedeklenmesidir.Tabi backup işlemi yapılıren bu yedeklerin bulunduğu ortamda önemlidir.Aksi durumda saldırganların eline düşerse geri dönüşü olmayan sonuçlar doğrubilir.Ayrıca backup dönmeden önce backup datasına virus bulaşmadığından emin olunmalıdır.

Hassas verilere erişimi sınırlanmaldır :

Next-Gen firewall'lar, kötü amaçlı yazılımlara ve diğer virüslere karşı bir başka önemli koruma aracıdır. Next-gen firewall hem kullanıcıların belirli web sitelerine erişmesini engelleyebilir hem de türlerine veya kaynak noktalarına göre belirli dosya indirmelerini engelleyebilir. En kritik sistemlerinizi ağınızdaki diğer bilgisayarlardan izole edrek erimler ayrıca kısıtlanabilir. Bu sayede fidye yazılımının yayılmasını kısıtlanabilir ve kurumuzun üzerindeki etkisini sınırlanabilir.

Güvenli olmayan bağlantılar :

Spam mail ile gelen linkler veya bilinlemeyen linkler tıklanmamalıdır.Aksi durumda tıklanan link ile birlikte sisteminize zararlı kodların indirilmesi sağlanmış olacaktır.

Planlar ve politikalar geliştirin :

Güvenlik ekibinizin bir fidye yazılımı olayı sırasında ne yapacağını bilmesi için bir olay müdahale planının olması gereklidir. Plan, bir saldırı sırasında paylaşılacak tanımlanmış rolleri ve iletişimleri içermelidir. Çalışanların emin olmadıkları bir e-posta aldıklarında ne yapmaları gerektiği konusunda eğitilmesi konusunda planlar yapılmalıdır.

Bağlantı noktası ayarlarını gözden geçirilmelidir :

Bir çok fidye yazılımı türü, Uzak Masaüstü Protokolü (RDP) bağlantı noktası 3389 ve Sunucu İleti Bloğu (SMB) bağlantı noktası 445'ten yararlanmaktadır. Kuruluşunuzun bu bağlantı noktalarını açık bırakması gerekip gerekmediğini tartışılmadır ve bağlantıları yalnızca güvenilir ana bilgisayarlarla sınırlandırılmaldır.PAM (Privileged Access Management) ile daha kontrollü erişim yöntemleri sağlanabilir.

Kişisel bilgilerinizin paylaşırken temkinli davranın:

Güvenilmeyen bir kaynaktan kişisel bilgi isteyen bir arama gelirse, ya da kısa mesaj veya e-posta alırsanız, yanıtlamamaya özen gösteriniz.

Şüpheli gördüğünüz e-posta eklerini açmayınız :

Açmış olduğunuz zararlı ekler aracılığı ile sisteminize yerleşebilirler.E-postanın güvenilir olduğundan emin olmak için gönderene çok dikkat edilmelidir.Adresin doğru olup olmadığını kontrol edilmesi gereklidir. Görüntülemek için makro çalıştırmanızı isteyen eklere dikkat edilmedir.

Güvenlik farkındalığı eğitimi :

Fidye yazılımlarını duruma yöntemlerinden en etkili olanıdır. Çalışanlar kötü niyetli e-postaları tespit edip önleyebildiğinde, herkes organizasyonun korunmasında rol oynar. Güvenlik farkındalığı eğitimi, ekip üyelerine bir bağlantıya tıklamadan veya bir eki indirmeden önce bir e-postada nelere bakmaları gerektiğini öğretebilir ve geliştirilebilir.İnsan güvenlik zincirinin en zayıf halkası olabildiği gibi aynı zamanda en güçlü olanıdır.

EDR - NDR sistemlerinin kullanımı :

EDR-NDR kullanımı network'ünüzde görünürlük sağlamaktadır.Hangi sistemlerin hangi protokoller ile iletişime geçtiği,ne kadar boyutta trafik ilettiği, x bir kaynağın süpheli davranışlarını takip etkmek, şüpheli trafiği contained etmek gibi bir çok destekleyici katkı sağlamaktadır.

İyi bir fidye yazılımı savunması için herhangi bir saldırı gerçekleşmeden önce önlem alabilmelidir. Dolayısı ile fidye yazılımlarının network'ünüzü bulaşmadan önce almış olduğunuz yöntemler zararı en aza indirecektir. Aksi duruma çok geç kalınmış olabilir. Dosyalarınızı yedeklemekten güçlü antivirüs /EDR/NDR/PAM/Next-gen firewall yapılandırması ve siber güvenlik eğitimine kadar, olası her senaryoya hazır olmanız gerekmektedir.