Televizyon ve filmler bizi siber suçluların ağımıza sızmak için çatılardan inip lazer ışınlarının arasından geçmek gibi karmaşık planları uygulamak zorunda olduğuna inandırdı. Gerçekte ise düzeltmesi milyonlarca dolara mal olabilen bir olaylar zinciri başlatmak için iyi tasarlanmış bir e-posta ve dikkati dağınık bir kullanıcı yeterlidir. Bu basitçe çözülebilecek bir sorun gibi görünse de fidye yazılım saldırısının başarılı olması için çok sayıda güvenlik kontrolü katmanını boşa çıkarması gerekir. İlk olarak e-postanın istenmeyen e-postalar ve kimlik avı filtrelerini atlatıp kullanıcının gelen kutusuna ulaşması gerekir. Her gün oluşturulan milyarlarca spam mesajı düşünüldüğünde bir veya birden fazla e-postanın savunma sisteminizi aşması mantıksız bir ihtimal değildir. Bir sonraki adımda, ekteki dosyanın veya URL’nin yerel kötü amaçlı yazılımlara karşı koruma yazılımını ve web güvenliği ağ geçitlerini aşarak ana yükünü indirmesi gerekir. İndirilen yükün kendisi de koruma yazılımı ve ağ geçitleri tarafından fark edilmemelidir. Ayrıca doğal olarak, ağ izleme araçlarının da diğer sistemlere ve şifreli dosyalara yayılan kötü amaçlı yazılımı fark etmemesi gerekir. Burada önem olan, basitleştirilmiş fidye yazılım örneklerinde bile bir fidye yazılım saldırısının başarılı olması için birçok şeyin ters gitmesi gerektiğidir. Buna karşın bu durum, fidye yazılım saldırılarının milyarlarca doların söz konusu olduğu bir sektör haline gelmesinin önüne geçememiştir. Bu bilgiler ışığında, bir saldırı gerçekleştiğinde arka planda neler olup bittiğine bakalım ve erken tespit şansınızı artırmak için güvenlik mimarisi dışında neler yapabileceğinizi konuşalım.
Kimlik avı e-postaları ve kötü amaçlı eklerle işe başlamak
Yukarıda bahsettiğimiz saldırı örneği, kimlik avı e-postaları ve bir kullanıcıyla başladığından biz de buradan başlayalım. Spam ve kimlik avı saldırıları, yıllardır siber suçluların kurumsal ağlara kötü amaçlı kodlar eklemek için en fazla başvurduğu yöntem oldu. Kimlik avı saldırılarının son birkaç yılda oldukça ikna edici bir hale geldiğine tanık oluyoruz. Yanlış yazılan kelimelere ve dil bilgisi hatalarına dikkat etmek hala değerli bir yöntem olsa da günümüzde istenmeyen e-postalar meşru mesajlar gibi görünüyor ve yazılıyorlar. Emniyet yetkilileri, bir mesaj aldıktan sonra sakin kalıp bu mesajı eleştirel bir şekilde değerlendirmeleri için kullanıcıları eğitmeyi öneriyor ve böyle bir yaklaşımın, siber tehditlerin hassas verilere erişmesini engellemek için kritik öneme sahip olduğunu belirtiyor. Çalışanların çözümün bir parçası olduklarını hissetmelerini sağlamanın da ortak bir amaç duygusu oluşturacağı ve güvenlik yazılımlarının sağlayamadığı faydaları sağlayacağı ifade ediliyor. Örnek olarak, aşağıda alınan bir mesajın ekran görüntüsünü paylaştık.
Gördüğünüz kimlik avı e-postası son derece ikna edici bir şekilde hazırlanmış çünkü saldırganlar gerçek bir Amazon mesajını birebir kopyalayıp kullanıcılara dikkat etmeleri öğütlenen ifşa edici işaretleri ortadan kaldırmış. Bu örnekte, e-posta başlığının doğru alan alanından gelmemesi gibi bir e-postanın spam olduğunu ele veren çok sayıda teknik detaydan bahsedebiliriz ancak en büyük gösterge, mesajı gönderen e-posta adresinin bir Amazon hesabıyla ilişkili olmamasıdır. Bu senaryoda da sakin kalıp e-postaya eleştirel yaklaşmak, kötü amaçlı yazılımlara karşı koruma yazılımlarına daha fazla yatırım yapmaya göre daha iyi bir çözümdür.
Fidye yazılım saldırıları nasıl gerçekleşir?
Bir kullanıcıya kimlik avı saldırısı gerçekleştirilir ve kullanıcı bir bağlantıya tıklar. Peki sonrasında ne olur?
1. Adım: Bulaşma
Bu gerçekten “dağıtım” olarak adlandırılmayı hak eden bir adımdır çünkü ağ boyunca yanal bir şekilde yayılıp olabildiğince fazla sisteme bulaşan tam işlevli ve kötü amaçlı yazılım indirilmesi ve çalıştırılması bu adımda gerçekleşir. Gerçi bu senaryoda gizliliği ilk ihlal edilen sistem, kötü amaçlı yazılım hastalığını ağa getiren ve yayılmasına olanak sağlayan ilk hasta olarak görülebilir. Bu aşamada uç nokta koruma yazılımının saldırıyı engellemesi mümkündür ancak saldırının tespit edilmemesi durumunda kullanıcı, sisteminin etkilenmesi durumuyla karşı karşıya kalabilir.
2. Adım: Kademelendirme
Yayılan kötü amaçlı yazılım yükü, kalıcılık sağlamak için işletim sistemi üzerinde değişiklikler yapmaya başlar. Kötü amaçlı kişinin doğrudan ağa erişmesine olanak sağlayan komuta ve kontrol (C2) ağı iletişimi de bu adımda başlatılabilir. Uç nokta ve ağ tespit araçlarının kötü amaçlı faaliyeti algılamadığını varsayarsak, ağ trafiğinde zararsız gibi görünen bir artış olduğunu ve internetteki sık erişilmeyen web sitelerine ve sistemlere erişme girişimlerinde bulunulduğunu fark edebilirsiniz.
3. Adım: Tarama
Tarama çeşitli şekillerde gerçekleşebilir. Bazı fidye yazılımlar şifrelemek için bazı özel dosya türlerini tararken bazıları ise daha kapsamlı bir veri keşfi sağlamak için depolama dizilerine odaklanır. Öte yandan bazıları ise daha doğrudan bir eylem gerçekleştirmek amacıyla kullanabilecekleri açık bağlantı noktalarını ve güvenlik açıklarını ararlar. Bu aşamada ağ trafiği artar ve ağ izleme araçları ağ trafiğinde ani bir yükselme olduğunu tespit eder.
4. Aşama: Şifreleme
Fidye yazılım, olabildiğince yayıldıktan veya belirli bir süre geçtikten sonra dosyaları şifreleme işlemi başlar. Saldırıya uğrayan kullanıcının yerel olarak depoladığı dosyalar saldırı sonrasında anında şifrelenirken ağ üzerinde depolanan dosyaların şifrelenmesi ağa erişen işletim sistemlerinin hızına bağlıdır. Bununla birlikte, modern ağların hızı düşünüldüğünde bu işlem neredeyse hiç kesintiye uğramaz. Şifreleme işlemi gerçekleşirken saldırganlar da birden fazla fidye istemek için veri çalmaya başlar.
5. Adım: Verilerin gasp edilmesi
Verilerinize erişiminizi kaybettiğinizde saldırganlar bir fidye notu göndererek verilerinize alıkoyduklarını açıklar ve fidye olarak istedikleri tutarı, ödeme yöntemini (genelde kripto para olur) ve ödeme için koydukları süre sınırını tarafınıza bildirirler. Ayrıca fidyenin ödenmemesi durumunda verilerinize ne olacağını da notta açıklarlar. İlginçtir ki fidye yazılım saldırılarını gerçekleştirenlerin, herkesin kripto para kullanmayı bilmemesine alıştığına ve kripto para hesabı oluşturmaya yönelik talimatlar paylaşmaya başladığına tanık oluyoruz. Bazılarının, kurbanlara fidye ödeme sürecinde yardımcı olmak üzere destek kanalları oluşturacak kadar ileri gittiğini de görüyoruz. Teoride, fidye ödendikten sonra saldırganın kurbanın bilgisayarındaki şifreli dosyalara yeniden erişim sağlanabilmesi için şifre kırma anahtarını göndermesi beklenir. Fidye yazılım saldırısının kurbanı olan tarafa fidye yazılımı kaldıracakları ve çaldıkları tüm verileri silecekleri sözünü de verebiliyorlar.
Riskleri azaltmak ve fidye yazılım saldırılarını önlemek için ne yapabilirsiniz?
Şirketler, güvenlik yazılımlarına milyonlarca dolar yatırım yapmaktadır. Buna karşın, şüpheli dosya eklerine sahip bir kimlik avı e-postasına tıklamanın kısa sürede büyük bir felakete evrilebildiğine tanık oluyoruz. Tüm kötü amaçlı saldırıları engelleyemeyeceğimizin farkında olup siber saldırıya uğrama riskini azaltmaya ve verilebilecek hasarı en aza indirmeye odaklanmak önemlidir. Başka bir araç satın alıp sorunu çözmek mümkün olmadığında mevcut kaynaklarınızı kullanarak güvenlik anlayışınızı geliştirmek için yapabileceğiniz çok sayıda şey bulunmaktadır.
Siber hijyen
On yıllık fidye yazılım istatistiklerine baktığımızda daha iyi bir siber hijyen sağlama ihtiyacı doğuran bazı saldırı şablonları oluştuğunu fark ettik. Çoğu saldırı, zayıf şifre ilkelerinden veya çok faktörlü kimlik doğrulaması olmamasından yararlanır. Fidye yazılımların yayılması segmentasyon eksikliği ve zayıf erişim kontrolleriyle ilişkilendirilebilir ve çoğu durumda saldırılar yamalanmamış güvenlik açıklarından faydalanır. Hızlı bir düzeltmeyle güçlü bir şifre ilkesi oluşturulup son kullanıcılara şifre yöneticisi sağlanabilir ve bu aracın nasıl kullanılacağına yönelik eğitim verilebilir. Mümkün olduğu durumda çok faktörlü kimlik doğrulamasını etkinleştirmek birçok siber sigorta ilkesinin temel bir bileşenidir ve yetkisiz erişim riskini önemli ölçüde azaltabilir.
Uzun vadede, uygun sayıda testin gerçekleştirildiği ancak acil sorunlara çözüm getirebilecek kadar esnek olan bir yamalama takvimi oluşturmak, ağ genelindeki güvenlik açıklarını ortadan kaldırabilir. Yamalama yapılırken güvenlik açıklarının yarattığı riskler ile tam olarak test edilmemiş bir yamayı uygulamanın riskleri karşılaştırmalı olarak değerlendirilmelidir ve belgelendirilmelidir.
Kuruluşun organik büyümesine uygun olarak segmentasyon daha karmaşık hale getirilebilir. Bu işlem çoğu durumda altyapının da elden geçirilmesini gerektirir. Hem ağ hem de uygulama düzeylerinde doğru bir şekilde yapıldığında segmentasyon, fidye yazılımların yayılmasını sınırlandırabilir ve kuruluşların genel olarak saldırıya maruz kalma riskini azaltabilir. Çoğu şirket dinamik bir yapıya sahip olduğundan, bu kontrolleri düzenli olarak denetleyecek planların uygulamaya konulması gerekir.
Kullanıcı eğitimi
Daha önce de belirttiğimiz gibi fidye yazılım saldırılarının başarılı olması için iyi tasarlanmış bir e-posta ve dikkati dağınık bir kullanıcı yeterlidir. Şüpheli etkinlikleri fark etme ve bildirme konusunda rehberlik sunan bir siber güvenlik kullanıcı farkındalığı ve eğitimi programı uygulamak, saldırıları başlamadan durdurmak için önemli bir yol katedilmesini sağlayabilir. Kuruluşunuz genelinde kimlik avı testleri uygulayarak kullanıcı farkındalığınızı ölçmenizi ve kötü amaçlı olması olası e-postaları fark etmenin önemini daha güçlü şekilde anlatmanızı öneriyoruz.
Fidye yazılım saldırılarını önlemek için birlikte çalışmak
Ortamınızı sağlamlaştırmak için sağlayıcınızın önerdiği en iyi uygulamaları hayata geçirmek standart bir uygulama olmalıdır. CISA gibi ABD devlet kurumlarının yayınladığı Fidye Yazılım Kılavuzu‘na eklenen genel öneriler listesi ve kontrol listelerinden faydalanabilirsiniz. Ayrıca bilgi paylaşımı gruplarına katılmak da korumanızı geliştirmek için yeni yollar belirlemenize yardımcı olabilir.
- Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC): https://learn.cisecurity.org/ms-isac-registration
- Sektör bazlı ISAC’lar: ÜYE ISAC’LAR | natlcouncilofisacs (org)
- Bilgi Paylaşımı ve Analiz Kuruluşu: Bilgi Paylaşma Grupları – ISAO Standartları Kuruluşu
Güvenli yedekleme son savunma hattınızdır
Verilerimize yeniden erişim sağlamanın en güvenilir yolu tüm dosyalarınız için güvenli yedeklere sahip olduğunuzdan emin olmaktır. En kötü fidye ödeme senaryosuyla karşılaşmamak için hızla geri yüklenebilen, doğrulanmış, test edilmiş, güvenli yedekler içeren bir planınız olmalıdır. Hızlı ve güvenilir kurtarma, tüm siber güvenlik olaylarına müdahale süreçlerinin ayrılmaz bir parçasıdır ve güvenlik mimarinizin geri kalanında olduğu gibi dikkatli planlama gerektirir.
Verilerinize yeniden erişmenin tek yolunun fidye ödemek olduğundan emin olmak isteyen fidye yazılım saldırganlarının, yedek dosyalara erişiminizi engellemek için ellerinden geleni yapacakları ve yedekleme altyapısındaki güvenlik açıklarından faydalanacakları su götürmez bir gerçektir. Bu durum, yedekleme sistemlerinin bile, yedekleme programında veya yedekleme görevlerinde değişiklik olup olmadığı konusunda yöneticileri uyarabilmesi gerektiği anlamına gelir.
Bizi neler bekliyor?
Fidye yazılım dolandırıcılıklarının yakın bir gelecekte sona ermeyeceğini biliyoruz. Bu durum, kötü amaçlı yazılım bulaşmış bir sistemdeki verileri alıkoyup fidye istemenin çok kolay ve çok kârlı bir iş olmasından kaynaklanıyor. Öte yandan fidye yazılım türleri de ekran kilitleyen fidye yazılımlardan hem verileri şifreleyip hem de yazılım bulaşmış sistemlerden veri çalan çok aşamalı saldırılara varıncaya kadar bir değişim içerisinde girdi. Mobil cihazları hedefleyen fidye yazılım saldırıları da artma eğilimi gösteriyor ve saldırı yöntemlerinde yaşanan değişimin devam ettiğini ortaya koyuyor. Bu koşullar altında, bir sonraki fidye yazılım kurbanı olmamak için verilerini koruyanlar olarak tetikte olmamız gerekiyor.
