Ransomware Saldırılarını Nasıl Tespit Edebilirsiniz?

1. Ransomware saldırısı nedir?

Ransomware (Fidye yazılımı), hedef alınan kişi ya da kurumun dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Siber tehdit aktörü bu saldırı ile, kurban fidyeyi ödenene kadar kurbanın verilerine erişmesini engellemektedir. 

Ransomware saldırıları sonrasında, kurbanlara şifre çözme anahtarını almak için nasıl ücret ödeyeceklerine dair talimatlar verilir. Talep edilen fidye ücretleri genellikle Bitcoin olmak üzere kripto para cinsinden istenir. Fidyenin miktarı yüz dolardan milyon dolarlara kadar değişebilir. Ransomware  saldırılarının kurum ve kişilere:

  • Hassas veya özel bilgilerin geçici veya kalıcı kaybı, 
  • Düzenli operasyonların aksaması,
  • Sistemleri ve dosyaları geri yüklemek için maruz kalınan mali kayıplar, 
  • İtibar kaybı

gibi birçok olumsuz etkisi vardır.

Araştırmalar ransomware saldırganlarının hedefleri konusunda sektörel bir seçiciliğe sahip olmadıklarını gösterse de, en fazla zararı verecek ve hedeflerin fidyeyi ödemek zorunda kalacağı sektörlere daha çok yöneldiklerini gösteriyor. Bu sektörlerin başında üretim sektörü geliyor. Verilere olan ihtiyaçlarından dolayı fidye ödeme konusunda daha fazla baskı hissetmeleri ve sistemlerin daha savunmasız olması nedeniyle kamu kurumları, hastaneler ve tıbbi kuruluşlar da ransomware saldırılarının öncelikli hedefleri arasında yer alıyor.

2. Son Dönemlerde Yaşanan Ransomware Saldırıları

Ransomware saldırılarında kullanılan en yaygın yöntem sosyal mühendisliktir. Pandemi süreciyle birlikte RDP ve zero-day zafiyetleri kullanılarak yapılan ransomware saldırıları da yükselişe geçmiştir. 

  • Sosyal mühendislik ve kimlik avı: E-posta kimlik avı, fidye yazılımı kampanyaları için hala en önemli saldırı vektörü olma konumunu koruyor. Kimlik avı e-postalarının gönderilmesinin kolay olması ve saldırganlar için daha hızlı bir yatırım getirisi sağlaması bu durumun arkasındaki sebepler olarak öne çıkıyor. Sosyal mühendislik planlarının bir parçası olan kimlik avı, tehdit aktörünün fark edilmeden eylemlerini gerçekleştirmesini sağlıyor.
  • Güvenlik Açıkları/Zafiyetler: Yazılımlarda bulunan güvenlik açıklarının yaması bulunmasına rağmen kapatılmaması fidye yazılım saldırganları için büyük bir fırsat oluşturmaktadır. Ses getiren fidye yazılım saldırılarının birçoğu bilinen açıklıklardan faydalanılarak gerçekleştirilir. İş sürekliliğini riske atmamak için güncellemelerin ertelenmesi sistemlere sızmak için fırsat kollayan siber saldırganlara açık kapı bırakmaktadır. Örneğin Citrix sistemlerindeki bilinen bir güvenlik açığı (CVE-2019-19781) fidye yazılım saldırısı düzenleyen REvil, DoppelPaymer, Maze, CLOP gibi  birçok grup tarafından istismar edilmiştir. 
  • RDP: Pandemi süreciyle birlikte birçok çalışanın işyerlerinden evlerine geçişi, RDP kullanımının % 41 artmasına neden oldu. Bu durumu fırsata çevirmeye kalkan tehdit aktörleri de saldırılarını RDP’ye yöneltti. 2020 yılının ilk yarısında özellikle bazı ransomware gruplarının gerçekleştirdiği saldırıların çoğu risk altındaki RDP uç noktaları üzerinden düzenlendi. Örnek olarak İranlı siber tehdit aktörleri Dharma fidye yazılımının yayılması için RDP kullandı.

Colonial Pipeline’a Ransomware  Saldırısı: ABD’deki kritik altyapıya yönelik en büyük siber saldırı

7 Mayıs 2021’de, Houston/Teksas merkezli ABD’nin güneydoğusuna benzin ve jet yakıtı taşıyan bir Amerikan petrol boru hattı sistemi olan Colonial Pipeline şirketine ransomware saldırısı yapıldı. Ransomware sonrasında şirket boru hattında hizmeti durdurmak zorunda kaldı. Saldırganlar iki saatlik bir süre içinde 100 gigabayt veriyi ele geçirdi. FBI ile koordineli olarak yürütülen çalışmada, Colonial Pipeline şirketi saldırıdan birkaç saat sonra talep edilen 4.4 milyon dolar değerindeki fidyeyi ödedi. FBI ve çeşitli medya kuruluşları tarafından yapılan açıklamalarda saldırının arkasında DarkSide adlı tehdit aktörlerinin olduğu yorumu yapıldı.

ABD’nin doğu sahili boyunca uzanan Colonial Pipeline Boru Hattı güzergahı

Yakıt tedarikindeki aksaklıklar birçok şirketin operasyonlarının kesintiye uğramasına yol açtı. American Airlines, Charlotte Douglas Uluslararası Havalimanı’nda boru hattının kapatılmasından kaynaklanan yakıt eksikliğinden dolayı uçuş programlarını geçici olarak değiştirmek zorunda kaldı. Federal Motorlu Taşıyıcı Güvenlik İdaresi, 9 Mayıs’ta yakıt tedarik hatlarını açık tutmak için 17 eyalet ve Washington, D.C. için bölgesel bir acil durum bildirisi yayınladı. 

Tarihin En Yüksek Fidye Talep Edilen Saldırısı: Kaseya

2 Temmuz 2021 günü ABD merkezli Kaseya firmasının VSA sunucuları tarafından kötü amaçlı bir yama/güncelleme Kaseya tarafından yönetilen sunucularına yayılarak yüzlerce farklı işletmede binlerce ağ düğümünün güvenliğinin ihlal edilmesine ve şifrelenmesine neden oldu. Saldırının  ABD’nin bağımsızlık gününden 2 gün önce gerçekleşmesi dikkat çekti. 

Fidye Yazılımın Kullanıcılara Windows Masaüstünde Sunduğu Fidye Notu

Bu kötü amaçlı yama/düzeltme, REvil fidye yazılımı grup tarafından yayımlandığı bilinen Sodinokibi adlı bir fidye yazılımı yükü içeriyordu ve bu da sunucunun ve paylaşılan klasörlerin şifrelenmesine neden oluyordu. Tüm zamanların en yüksek fidye talebini Acer’e düzenlediği saldırı ile elinde bulunduran REvil grubu, Acer’a yaptığı talebin 20 milyon dolar daha yükselterek Kaseya’dan 70 milyon dolar fidye talep etti.

Kaseya 0-Day Nedeniyle Saldırıya Uğradı

Firma gidermeye çalıştığı 0-Day zafiyetinin yamasını bitirmek üzereyken, REvil grubunun güvenlik açığını aynı anda keşfederek saldırıda kullandı. Dutch Institute for Vulnerability Disclosure (DIVDnl) ve Kaseya tarafından 0-day zafiyetini gidermek için çalışmalar yürütülürken aynı zafiyeti  REvil grubunun istismar ettiği ortaya çıktı. Zafiyetin giderilmesi için yama hazırlanmış olduğu anda böyle bir saldırının gerçekleşmesi Kaseya ile DVIDnl arasındaki iletişimin dinlendiği gibi çeşitli soruları beraberinde getiriyor.

DVIDnl Araştırma Ekibi Başkanının Twitter’dan Yaptığı Paylaşım

Amerika merkezli Kaseya firması, müşterileri için sayıları on binleri bulan kullanıcıların uzaktan yönetimini, izlenmesini, raporlanmasını ve yama yönetimi işlemlerini tek bir merkezden kontrolüne imkan sağlayan bulut tabanlı bir IT yönetim yazılımı (VSA-Virtual System Administrator) hizmeti sunmaktadır.

Olaydan etkilenen şirketlerin ilk raporları arasında İsveçli süpermarket zinciri Coop için bazı sistemleri yöneten Norveçli Finansal yazılım şirketi Visma yer alıyordu. Coop firması için Kaseya’nın dördüncü taraf firma (fourth party vendors)  olmasına rağmen süpermarket zincirinin, 800 mağazasını neredeyse bir hafta boyunca kapatmak zorunda kaldı. Ayrıca, Yeni Zelanda’daki okullar ve ABD’de KOBİ’ler saldırının kurbanları arasında yer alıyordu.

REvil Grubunun Blog Sayfasındaki Bildiriler

23 Temmuz’da Kaseya tarafından yapılan açıklamada, Kaseya’nın evrensel bir şifre çözücü aracı aldığını ve kurbanların dosyalarını geri yüklemelerine yardımcı olduğunu duyurdu. 

Acer, 50 Milyon Dolarlık Bir Fidye Yazılımı Saldırısına Uğradı 

Tayvan merkezli teknoloji devi Acer’e yönelik 50 milyon dolarlık bir fidye yazılımı saldırısı gerçekleştirildi. REvil grubu tarafından yapılan açıklamada, siber saldırıyla  şirketin mali tablolarına, banka hesap bakiyelerine ve bankalara ilişkin iletişim bilgilerine erişim sağladığı ve şifrelediği belirtildi. Ayrıca, grup kendi sayfasında elde ettiği verilere kanıt olarak ekran görüntülerini paylaştı.  

REvil fidye yazılımı sitesinde yer alan Acer veri sızıntısı

 

Tor ödeme sitesinde Acer fidye talebi

 

Acer Exchange Server’ın hedeflemesini gösteren ekran görüntüsü

AdvIntel tarafından yapılan tespitte saldırının Acer’ın Exchange Server’a yönelik olduğu bilgisi paylaşıldı. REvil grubu, verileri çalmak veya cihazları şifrelemek için Microsoft Exchange’ın güvenlik açığından yararlandıysa, bu saldırı vektörünü ilk kez kullanmış oldu. Fakat, Acer tarafından siber saldırı girişimi reddedildi. Ayrıca, konuya yönelik sistemler üzerinde detaylı araştırmanın yapılmakta olduğu ve güvenlik tedbirleri nedeniyle ayrıntıları paylaşamadıkları ifade edildi.   

3. Ransomware Saldırıları Nasıl Önlenebilir? 

Fidye yazılımı saldırıları hem süreçleri hem de sonuçları itibariyle kurumların yoğun şekilde kaynak harcamak zorunda kalacağı durumlara yol açar. Fidyeyi göndermek, şifreli verileri kurtarmak için tek seçenek gibi görünebilir. Ancak fidyeyi ödemek, kuruluşunuzun etkilenen verilerini geri alacağı anlamına gelmez. Bu nedenle devam eden bir fidye yazılımı saldırısını tespit etmek yeterli değildir. İlk etapta fidye yazılımı bulaşmasını önlemeye odaklanmanız gerekir. 

Aşağıdaki adımlar ransomware saldırılarını önlemeye yardımcı olmaktadır:

  1. Dijital varlık envanterinizi çıkarın: Kendinizi bir fidye yazılımı bulaşmasına karşı korumak için öncelikle ağa hangi donanım ve yazılım varlıklarının bağlı olduğunu bilmeniz gerekir.
  2. Anti-spam ayarlarınızı doğru şekilde kişiselleştirin ve Güçlü spam filtreleri kullanın: Çoğu fidye yazılımı, kötü amaçlı ekler içeren göz alıcı e-postalarla yayıldığı bilinmektedir. Bu nedenle, bu tür dosyaların kullanıcılara ulaşmasını engelleyebilen güçlü spam filtrelerine ihtiyacınız vardır.
  3. Şüpheli görünen ekleri açmayın: Bu madde sadece tanımadığınız kişiler tarafından gönderilen mesajlar için geçerli değildir. Aynı zamanda tanıdıklarınız olduğuna inandığınız göndericiler için de geçerlidir. Oltalama kaynaklı olarak başlayan fidye yazılım saldırılarının büyük çoğunluğu yönetici seviyesindeki çalışanların kimlik bilgilerinin ele geçirilmesi sonucunda olmaktadır.
  4. Kişisel bilgileri vermekten kaçının: Kötü niyetli kişiler, fidye yazılımını bir kimlik avı e-postası göndermeyi hedefleyebilirler ve bilgilerinizi bir yerden almaları gerekir. önemli bilgiler için sosyal medya gönderilerinizi veya genel profillerinizi gözden geçirerek OSINT tekniklerini kullanarak elde edebilirler.
  5. Dosya Uzantılarını Göster özelliğini kullanın: Bu, dolandırıcıların, bir dosyanın iki veya daha fazla uzantıya sahip gibi göründüğü kafa karıştırıcı bir teknik kullanmaya çalıştığı durumlarda yararlıdır.
  6. Yazılımlarınızı yamalayın ve güncel tutun: Bir yama olmadığında, kötü niyetli kişiler işletim sisteminizdeki, tarayıcınızdaki, antivirüs aracınızdaki veya diğer yazılım programınızdaki bir güvenlik açığından yararlanma kiti yardımıyla istifade edebilir.
  7. E-posta kullanıcılarının kimliğini doğrulayın: Kötü niyetli kişilerin e-posta sahtekarlığı tekniklerini kullanmasını önlemek için Gönderen Politikası Çerçevesi (SPF), Etki Alanı İleti Kimlik Doğrulaması Raporlama ve Uygunluğu (DMARC) ve Etki Alanı Anahtarları Tarafından Tanımlanmış Posta (DKIM) gibi teknolojileri de kullanmalısınız.
  8. Pop-up’ları engellemek için bir tarayıcı eklentisi yükleyin: Pop-up’lar, saldırganların fidye yazılımı saldırıları başlatması için ortak bir giriş noktası görevi görür. Bu nedenle, pop-up’ları izlerinde durdurmak için tarayıcı eklentileri yüklemeye bakmalısınız.
  9. Tanımadığınız medya cihazlarını kullanmayın: Siber saldırganların bir kuruluşun tedarik zincirini tehlikeye atması ve truva atı haline getirilmiş medya cihazları göndermesi bilinen bir saldırı yöntemidir. Size ait olmayan bir USB bellek gibi medya cihazlarını kullanmayın.
  10. Dosya paylaşımını devre dışı bıraktığınızdan emin olun: Saldırganlara, ortamınızdaki birden fazla makineye bulaşması için herhangi bir yol vermemek için dosya paylaşımını devre dışı bırakmalısınız. Bir fidye yazılımı saldırısı durumunda, kötü amaçlı yazılım makinenizde izole kalacak ve diğer varlıklara yayılmayacaktır.
  11. Uzak hizmetleri devre dışı bırakın: Uzak Masaüstü Protokolü, saldırı yüzeyini genişletmek ve ağınızda bir yer edinmek için saldırganlar tarafından kullanılabilir. Bu tehdidi engellemek için uzak hizmetleri devre dışı bırakmalısınız. Bunu yapmak, uzaktan saldırılar için bir vektörü kapatmaya yardımcı olacaktır.
  12. Bluetooth veya kızılötesi bağlantı noktaları gibi kullanılmayan kablosuz bağlantıları kapatın.
  13. Bilinen kötü niyetli Tor IP adreslerini engelleyin.
  14. Windows Script Host’u devre dışı bırakın: Bazı siber suçlular, virüs bulaşmış bir bilgisayarda fidye yazılımı çalıştırmak için .VBS dosyalarını (VBScript) kullanır. Kötü amaçlı yazılımın bu dosya türünü kullanmasını engellemek için Windows Komut Dosyası Ana Bilgisayarını devre dışı bırakmalısınız.
  15. Windows PowerShell‘i devre dışı bırakın: Saldırganlar genellikle PowerShell’i bellekten fidye yazılımı çalıştırmak için kullanır ve geleneksel anti-virüs çözümleriyle tespit edilmekten kaçmaya yardımcı olur. PowerShell’i iş istasyonlarında devre dışı bırakmayı düşünmelisiniz.
  16. Microsoft Office uygulamalarınızın güvenliğini artırın: Siber suçlular, kötü amaçlı yüklerini dağıtmak için silah haline getirilmiş Microsoft dosyalarını kullanma eğilimindedir. Bu dosyalar, özellikle makroları ve ActiveX’i kullanır. Bu gerçeği kabul ederek, kötü amaçlı kodun Windows PC’de yürütülmesini önlemek için makroları ve ActiveX’i devre dışı bırakmalısınız.
  17. Bilgisayarınızda şüpheli bir işlem görürseniz web’i anında devre dışı bırakın.
  18. Ağı bölümlere ayırın: Saldırganlar, tüm alt yapınıza yayılmak için sürekli bir ağ kullanabilir. Ağınızı bölümlere ayırarak bunu önleyebilirsiniz. Özellikle, endüstriyel varlıklarınızı ve IoT cihazlarınızı kendi segmentlerine yerleştirmeyi düşünebilirsiniz.
  19. Verilerinizi Yedekleyin: Fidye yazılımının verilerinizi sonsuza dek yok etmesini engellemek için bir kurtarma sisteminiz olmalıdır. İki adet yedek oluşturmanız en iyisidir: Bunlardan biri bir bulutta durmalıdır (sizin için otomatik yedek alan bir servis ayarlamayı unutmayınız) ve diğeri, fiziksel olarak (taşınabilir harici disk, USB bellek, ek bilgisayar vs.) depolanmalıdır.
  20. Şüpheli etkinlik için ağı izleyin: Ağınızı düzenlemeye hangi şekilde karar verirseniz verin, bir ransomware saldırısı veya güvenlik olayının göstergesi olabilecek tehdit davranışlarına dikkat etmeniz gerekir. Bu nedenle, ağı şüpheli etkinliklere karşı izlemek için araçlar kullanmanız gerekir.

4. SOCRadar’ı Ransomware Saldırılarını Erken Tespit Amaçlı Nasıl Kullanabilirsiniz?

SOCRadar Unified olarak sunduğu Threat Intelligence servisi ile aşağıdaki maddelerle ransomware saldırılarından korunmanıza yardımcı olmaktadır.

SOCRadar Attack Mapper modülü sayesinde Internet üzerinde yer alan varlıklarınızı keşfederek & takip ederek ransomware saldırılarını engellemeye ve hızlı tespit etmeye olanak sağlar:

  • İnternete açık dijital varlık envanterinin çıkarılması,
  • Kritik port bildirimi,
  • 0-Day zafiyet tespiti.

SOCRadar RiskPrime Modülü sayesinde varlıklarınıza ve şirketinize yönelik olarak ortaya çıkan istihbari bilginin tespit edilmesine olanak sağlar:

  • Şirket Domain’lerinin Dark ve Deep web ortamlarında  otomatik olarak takibini sağlayarak olası durumlarda alarmlar oluşturulması,
  • Firmanıza hizmet sunan 3’üncü taraf kuruluşların  Dark ve Deep web ortamlarında  otomatik olarak takibini sağlayarak olası durumlarda alarmlar oluşturulması,
  • SOCRadar dark web analistlerinin HUMINT yeteneği sayesinde tehdit aktörüyle iletişim, güncel bilginin doğruluğunun teyidi ve gerekli durumlarda şirket  itibarını yükseltme amacıyla paylaşılan mesajın kaldırılması

SOCRadar ThreatFusion Modülü sayesinde güncel siber olaylara yönelik istihbaratın tespit edilmesine olanak sağlar: 

  • Vulnerability Tracking ile iç/dış sistem ve/veya uygulamalara yönelik zafiyet bildirimleri,
  • Tehdit aktörleri tarafından kullanılan  IOC lerin güvenlik cihazlarına entegrasyonu,
  • Ransomware grupları tarafından oltalama amaçlı kullanılan phishing domainlerin tespit edilerek engellenmesi için entegrasyonların yapılması,
  • Ransomware saldırılarına yönelik ülke bazlı ve sektör bazlı olarak yapılan tespitler sayesinde, bu saldırılardan etkilenebilecek şirketlere aksiyon almalarını sağlayabilecek tehdit paylaşımı bildirimlerinin iletilmesi
  • Tehdit aktörlerinin aktif olarak izlenmesi,
  • Ransomware saldırıları konusunda yapılan tehdit paylaşımları sayesinde (2021 yılında 42 adet ransomware saldırısı konusunda paylaşım yapılmıştır) güvenlik personelinin aktif bilgilendirilmesi
  • Threat Analysis modülüyle şüpheli dosyaların analiz edilmesi, 

SOCRadar Türkiye ekibi tarafından hazırlanmıştır.

Yorum Yaz

E-posta hesabınız yayımlanmayacak.

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.