Sophos’un Fidye Yazılımda Son Durum araştırmasına göre, fidye yazılım saldırıları sırasında verilerin yalnızca %65’inin kurtarılabildiğini biliyor muydunuz? Bugün, fidye yazılım saldırısı sonrası kurtarma hakkında sıkça sorulan soruları ve bu saldırılara kurban gitmeden önce herkesin öğrenmesi gerekenleri detaylı şekilde inceleyeceğiz.
Fidye yazılım sonrası kurtarma nedir?
Fidye yazılım sonrası veri kurtarma, fidye yazılım saldırılarından sonra BT sistemlerini yeniden çevrimiçi hale getirme işlemidir. Belgelenmiş ve hem kapsamlı hem de güncel testlerden geçmiş felaket kurtarma planlarınız varsa mevcut felaket kurtarma süreçlerinizi izleyerek kolayca kurtarma yapabilirsiniz.
Veri koruma alanında kurtarma, özellikle de şifrelenmiş sanal makinelerin yedekten kurtarılması çok önemlidir. Bu süreç fidye yazılım sonrası kurtarmanın önemli bir bölümünü oluştururken BT ortamınızın geri kalanını da büyük ölçüde etkiler.
Siber güvenlik olaylarına müdahale kapsamında yürütülen adli analizle, fidye yazılımın ortama nasıl girdiği ve hangi sistemleri etkilediği belirlenir. Bu noktada, fidye yazılımları etkisiz hale getirmek, saldırganların ortama girmesine sebep olan güvenlik açıklarını kapatmak ve etkilenen sistemleri geri yüklemek için çeşitli adımlar atılabilir.
Fidye yazılım nasıl temizlenir?
Siber güvenlik olaylarına müdahale sürecinde, verileri şifrelemenin ötesinde fidye yazılımın ortama nasıl girdiğini ve sistemlerin nasıl etkilendiğini değerlendirmeye yönelik adımlar atılır.
Fidye yazılımın kendisi şifrelenen makinelerden kaldırılmalı, bunun yanı sıra saldırganların ortama nasıl girdiğini belirlemeye ve saldırı vektörlerini önlemeye yönelik adımlar atılmalıdır. Böylece, fidye yazılım saldırısı gerçekleştiğinde kötü amaçlı yazılımlara karşı koruma sistemlerinizin, etkilendiğiniz fidye yazılım türünü tespit edebilmek için doğru tanımlara sahip olmasını sağlayabilirsiniz.
Fidye yazılımdan etkilenen sistemler kurtarılabilir mi?
“Fidye yazılım sonrası kurtarma yapabilir miyim?” sorusu, bugün birçok BT kuruluşunun yanıt aradığı önemli bir sorudur. Kurtarma yapmak, neredeyse her zaman mümkündür. Ne yazık ki birçok kuruluş, kurtarma konusunda kendine güvenmiyor. Ortamınızın fidye yazılımdan kurtarılabilir olmasını sağlayacak adımlar atmak, işte tam da bu noktada önem kazanıyor.
Verilerinizi fidye yazılıma karşı korumak için ilk yapmanız gereken, güncel ve başarılı bir yedeğinizin olduğunu doğrulamaktır. Makineleriniz şifrelendikten sonra bu yedek kritik hale gelir. Şifreleme tamamlandıktan sonra bir önceki yedeğe geri yükleme yapmanız gerekir.
Fidye yazılımın harekete geçmeden sisteminizde kaldığı süreye bağlı olarak, tehdidi yeniden ortamınıza taşımadığınızdan emin olmak için geri yüklediğiniz sistemi taramak isteyebilirsiniz.
Fidye yazılım saldırısı sonrası kurtarma nasıl yapılır?
Fidye yazılımların en kafa karıştırıcı yönlerinden biri de saldırı sonrasında yaşananlardır. Atmanız gereken ilk adım, BT güvenlik ekibinizi sürece dahil etmektir. Böylece kendi olay müdahale süreçlerini başlatabilirler. Bu süreç, veri geri yükleme söz konusu olduğunda birçok yedekleme yöneticisinin alışkın olduğu süreçten biraz farklı olabilir.
Fidye yazılım sonrası kurtarma yapabilmeniz için önce Tespit ve Analiz, Önleme, Çevreleme, Ortadan Kaldırma ve Kurtarma gibi birkaç olay müdahale planı aşamasını tamamlamanız gerekir. Fidye yazılım sonrası kurtarmanın NASIL gerçekleştirileceği, Tespit ve Analiz aşamasında elde edilen sonuçlara bağlıdır. Bu yüzden kullanıma hazır ve kapsamlı testlerden geçmiş birkaç kurtarma stratejisine sahip olmanız önem taşır.
Siber Güvenlik Olaylarına Müdahale konusunda pek bilginiz yok mu? CISA’nın kısa süre önce yayınladığı Siber Güvenlik Olayı ve Hassasiyet Yanıtı kılavuzlarına göz atarak daha fazla bilgi edinebilirsiniz.
Farklı fidye yazılım saldırısı türleri nelerdir?
Çok sayıda farklı fidye yazılım saldırısı türü vardır. Bunlar arasında en sık karşılaşılanı veri şifrelemedir. Ayrıca iki/üç kat haraç (extortion) saldırılarına da rastlanmaktadır. İki kat haraç saldırısında fidye yazılım, verilerinizi şifrelemekle kalmaz, bir de çalar. Üç kat haraç saldırısında ise makineleriniz şifrelenir ve verileriniz çalınır. Kötü niyetli kişiler, biraz daha ileri giderek daha sonra hedef haline getirmek üzere kuruluşun müşterileri ve tedarikçileri hakkındaki verilere de göz dikerler.
Fidye yazılımlar verileri çalar mı?
Fidye yazılım saldırısı dendiğinde çoğu zaman veri şifreleme aklımıza gelir. Sıkça görülen bir başka fidye yazılım saldırısı türüyse veri çalmadır. Bu saldırıda ortamınızdaki kötü niyetli kişiler verilerinizi çalar ve sizi, fidye ödemediğiniz takdirde verilerinizi açığa çıkarmakla tehdit eder.
Fidye yazılımlar nasıl yayılır?
Fidye yazılımlar birçok farklı şekilde yayılabilir. En yaygın fidye yazılım yayma yöntemlerinden biri kimlik avı e-postalarıdır. Ortamınıza girmeyi başaran bir saldırgan başınıza her türlü sorunu açabilir. Unutmayın: Saldırganların ortamınızı felç etmesi için tek bir açığınız yeterlidir.
Önemli dosyalarımı fidye yazılım saldırılarına karşı korumak için uygulayabileceğim en iyi çözüm nedir?
Çoğumuz fidye yazılımlara karşı korunmak isteriz. Oysa bir gün saldırıya uğrayacağımızın farkında olmalıyız. İçeri sızıp fidye yazılımlarını kurmak için durmadan ortamları suistimal etmenin yeni yollarını arayan birçok fidye yazılım grubu var. Sağlam bir BT güvenliği stratejisi, fidye yazılıma karşı korumada çok faydalı olabilse de hiçbir şey, saldırıların gerçekleşmesini tamamen önleyemez.
En iyi çözüm, sabit yedekler gibi sağlam yedekleme stratejileri benimsemektir. Böylece verileriniz kötü niyetli kişiler tarafından şifrelenemez veya silinemez.
Karşılaşabileceğim kaç tür fidye yazılım saldırısı var?
Çok sayıda farklı fidye yazılım türü var ve sürekli yeni türlerin ortaya çıktığına tanık oluyoruz. En sık karşılaşılan ve adını duyuran saldırılar REvil, Conti ve Darkside‘dır.
Bu farklı fidye yazılım türlerinin herhangi bir BT kuruluşu gibi faaliyet gösterdiklerini unutmamalıyız. Her birinin kendi geliştiricileri var ve fidye yazılımlarını durmadan geliştirerek BT sistemleri için daha fazla tehlike oluşturmaya çalışıyorlar.
Fidye yazılım sonrası kurtarma yapmak ne kadar zaman alıyor?
Bir şekilde kurtarma yapabilen kuruluşlardan fidye yazılım sonrası kurtarma süreleriyle ilgili korku filmi senaryolarını andıran hikayeler duyabilirsiniz. Kurtarmanın haftalar, hatta aylar sürdüğünü söyleyenler olacaktır. Ama siz de bu yollardan geçmek zorunda değilsiniz.
Fidye yazılım sonrası kurtarma, tıpkı felaket kurtarma planı gibi düzenli olarak test edilmesi gereken bir stratejidir. Aslına bakarsanız güncel olduğu ve kapsamlı testlerden geçtiği sürece felaket kurtarma planınız, fidye yazılım sonrası kurtarma konusunda ilk adımı atmanız için harika bir zemin oluşturur.
Kurtarma planınızı test ettikten sonra, işletme ihtiyaçlarınıza göre sürece hız kazandırmak için çeşitli adımlar atabilirsiniz. Mesela ek altyapılar kurabilirsiniz.
Fidye yazılım sonrası kurtarma çok zaman almak zorunda değildir, ama kurtarma süreçlerinizi test etmeniz, RTO’larınızı karşılamanız açısından kritiktir.
Fidye yazılım şifrelemesi ne kadar sürüyor?
Fidye yazılımın şifreleme hızı, ortamınıza saldıran fidye yazılıma bağlıdır. Fidye yazılım grupları, yazılımlarını durmadan geliştiriyor ve BT ekipleri olan bitenin farkına varamadan verebilecekleri en fazla zararı vermek için saldırılarını hızlandırmaya çalışıyor.
Örneğin; REvil fidye yazılımı, hedefin tüm kaynaklarını hedefi şifrelemek amacıyla kullanmak için çok parçalı süreçlerden yararlanıyor.
Fidye yazılım şifrelemesi çözülebilir mi?
Fidye yazılım grupları, fidye bedelini öderseniz saldırdıkları verilerin şifresini çözebileceklerini söyler, ama tüm verilerin şifresi başarılı bir şekilde çözülmez. Şifresi çözülen verilerin bütünlüğünü sağlamak ise çok daha zordur çünkü şifreleme sırasında veri bütünlüğü tamamen bozulur. Fidye yazılım saldırısına uğrayan bir sunucunun şifresini çözseniz bile yine de sunucuyu yedekten geri yüklemeniz gerekir.
Windows’u yeniden yüklemek fidye yazılımı ortadan kaldırdır mı?
Zarar gören makinede yüklü Windows’u silip yeniden yüklemek fidye yazılımı ortadan kaldırmaz. Bir makineyi tamamen silip Windows’u yeniden yüklemek ise sistemi tamamen fidye yazılımdan arındırır ama makineyi düzgün şekilde yedeklemediyseniz tüm verilerinizi kaybedersiniz.
Fidye yazılımlar kişisel verileri çalar mı?
Fidye yazılım saldırganları ortamların zayıf noktalarını nasıl saptayacaklarını bilir. Bu sayede bir ortamdaki en fazla etki yaratacak verileri hedefleyebilirler. Çalışanların ve müşterilerin kişisel verileri, finansal bilgiler ve tescilli bilgiler bunlara örnek gösterilebilir. Bir fidye yazılım grubunun size fidye ödetmek için her şeyi yapabileceğini unutmayın.
Söz konusu fidye yazılım sonrası kurtarma olduğunda, göz önünde bulundurmanız gereken çok fazla şey olur. Bunlardan en önemlisi, ortamınızı korumak için gereken adımları bugün atmanızdır. Hem saldırganların sızacak bir nokta bulamaması için ortamınızı sağlamlaştırmanız hem de çalışanlarınızın saldırganlara tüm kapıları açan şüpheli bağlantılara tıklamaması için siber güvenlik kullanıcı farkındalığı eğitimi sunmanız gerekir.
Sonuç olarak güvenli yedeklemeler, son savunma hattınızdır. Fidye yazılımların şifreleyemediği veya silemediği sabit yedeklere sahip olmanızın yanı sıra kurtarma stratejinizi test etmeniz de çok önemlidir. Kurtarma stratejinizi test ederek yedeklerinizin çalıştığını doğrulayabilir ve saldırıya uğradığınızda RTO’larınızı karşılayabilirsiniz.
Verilerinizi fidye yazılıma karşı koruma hakkında daha fazla edinmek için Veeam’in fidye yazılım önleme kitine göz atıp hemen kiti kullanmaya başlayabilirsiniz.
