Fidye Yazılımı Nedir-Nasıl Korunulur ?

 

Fidye Yazılımı (Ransomware) Nedir?


Fidye yazılımı/virüsü (ransomware), hedef sisteme sızdıktan sonra sistemde bulunan tüm veri dosyalarını şifreleme yoluyla kilitleyen bir zararlı yazılım türüdür. Sistem, zararlı yazılım tarafından ele geçirildikten sonra kullanıcının dosyalara tekrar erişebilmesi için yapması gerekenler ile alakalı bir bilgilendirme mesajı göstermektedir. Bilgi mesajında; dosya içeriklerine erişimin yalnızca özel anahtar ile açılabileceği, bu anahtarı alabilmek için fidye ödenmesinin zorunlu olduğu belirtilmektedir. Fidyenin, Bitcoin, Monero, Etherium gibi kripto para birimleriyle ödenmesi istenmektedir.  Fakat fidye ödense bile kullanıcının dosyalarına tekrar erişebilmesinin bir garantisi bulunmamaktadır.

Bir Ransomware Saldırısı Nasıl Gerçekleştirilir


Ransomware, Türkiye’de son dönemlerde genellikle e-fatura içeren sahte mailler yoluyla yayılmaktadır. Bunlara phishing(oltalama) mesajları adı verilir. Saldırganlar, örneklendirmek gerekirse, fatura tutarını oldukça yüksek gösterebilir ve bu sayede kullanıcının dikkatini çekip gönderdikleri maildeki linke tıklamalarını sağlayarak, zararlı yazılımın sisteme ulaşmasını sağlayabilirler. Aşağıdaki örnekte, TTNET tarafından gönderilmiş gibi gözüken bir e-posta bulunmaktadır. Kullanıcılar, faturanın detaylarını görmek amacıyla belirtilen dosya ekine tıklayıp dosyayı kendi sistemlerinde çalıştırdıklarından sonra zararlı yazılım devreye girer ve kullanıcının bilgisayarındaki tüm dokümanlar zararlı yazılım tarafından güçlü şifreleme algoritmaları ile şifrelenir. Dosya uzantıların sonuna “.encrypted” gibi kelimeler eklenmektedir. Örneğin; “faturalar.doc.encrypted“. Dakikada 5 GB’a kadar veri şifreleyen bu zararlı yazılımlar, yaklaşık 10 dakika içerisinde sabit diskinizdeki tüm verileri şifreleyebilirler.

TTNET Oltalama mesajı örneği- Cemal Mete Hayırlı

Verileriniz şifrelendikten sonra, kullanıcı masaüstüne bir uyarı metni yerleştirilir. “Uyarı: Bilgisayarınızda bulunan önemli dosyalarınız, fotoğraflarınız, video ve kişisel bilgileriniz şifrelenmiştir. Dosyalarınızı kurtarmanızın tek yolu sunucularımızda bulunan decryption anahtarını  satın almaktır. Aksi takdirde tüm dosyalarınızı kaybedebilirsiniz.” benzeri bir açıklama ile şifrenin çözülmesi için kullanıcılardan $500 gibi bir para veya kripto para çeşitlerinden birisiyle para talep edilebilir.

Fidye yazılımı, zarar vereceği dosyanın şifreli yeni bir kopyasını oluşturup orijinal dosyayı silmektedir. Bu silme işlemi hızlı olabildiği gibi bazı durumlarda güvenli silme şeklinde (en az 3 kez üzerine yazma gibi) de olabilmektedir.

Bilgisayar her açıldığında tekrar çalışmak üzere kayıt defterinde “%AppData%” klasörüne kendini rastgele bir isim ile kurmakta ve yine kayıt defterinde “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” altına, çalışabilecek şekilde bir anahtar oluşturmaktadır. Ayrıca şifrelediği her bir dosya için “HKCU\Software\CryptoLocker\Files” altına bir dosya ismini belirten anahtar değeri eklemektedir.

Burada yaşanmış bir senaryo üzerinden fidye yazılımı saldırılarının nasıl gerçekleştirildiği anlatılmıştır. Saldırganların zararlı yazılımlarını yayacak yeni yöntemler geliştirebilecekleri unutulmamalıdır. Örneğin seçim dönemleri yaklaştığında, Yüksek Seçim Kurulu‘ndan gelmiş gibi gözüken sahte bir e-postada, hangi sandıkta oy kullanılacağına dair bağlantılar sunan, aslında bağlantıya tıklandığında virüsün bulaşacağı bir senaryo mümkündür.

Fidye (Ransomware) Saldırı Örnekleri


  • WannaCry Saldırısı: 2017 yılının Mayıs ayında 200’den fazla ülkede 230.000 bilgisayardaki veriler,
    kriptolanarak kullanılamaz hale getirildi ve 28 dilde fidye talep edildi. Virüsün 08.12.2018 tarihinde tekrar aktif olduğu gözlemlendi.

 

  • CrySis – Dharma, Rapid, GrandCrab Ransomware Saldırısı: Saldırganlar spam, RDP, SQL,
    SMB vb. protokollere yapılan brute-force (kaba kuvvet saldırısı) ile erişim bilgilerinizi ele geçirirler, sisteme erişirler ve verileri kriptolayarak kullanılamaz hale getirirler. Verilerin çalışabilir hale getirilmesi için fidye talep ederler. Sisteminize bulaşmış olan bir fidye yazılımının tehdit kategorisi olarak gelişmeye devam ettiğini unutmamak gerekir.

 

  • Kasım 2019’un sonlarında ortaya çıkan, Maze ve DoppelPaymer gibi ransomware tehditleri, kurbanların verilerini şifreleyerek veya kullanıcıların cihazlarını kullanmasını engelleyerek fidye istediler. Fidyenin ödenmediği durumunda ise verileri çeşitli forumlarda çevrimiçi olarak paylaştılar. Örnek vermek gerekirse, dünya çapında tanınan simülasyon ve 3D baskı hizmetleri veren PADT adlı şirketin verileri DoppelPaymer’in adındaki web sitesinde yayınlandı.

 

 

Bu örneğe baktığımızda devam eden bir fidye yazılımı saldırısını tespit etmek yeterli değildir. İlk etapta fidye yazılımının bulaşmasını önlemeye odaklanmanız gerekir. Deep Web’te her ay 80.000 adet RDP hesabının satıldığı platformlar bulunmaktadır.

Bu tip ransomware saldırılarının sonuçlarıyla uğraşmak, Rus ruleti gibidir. İstenilen fidyeyi göndermek, kilitli verileri kurtarmak için tek seçenek gibi görünebilir. Ancak fidyeyi ödemek, kuruluşunuzun etkilenen verilerini geri alacağı anlamına gelmez.

Fidye Yazılımı Saldırısı Örnek Mesaj- Cemal Mete Hayırlı

  •  

    Fidye (Ransomware) Saldırılarından Korunmak İçin Alınabilecek Önlemler


    1. Mevcut Varlıklarınızı Belirleyin

    Ransomware saldırılarından korumak için öncelikle mevcut ağa hangi donanım ve yazılım varlıklarının bağlı olduğunu bilmeniz gerekir.
    Bu sebepten dolayı ağa bağlı donanım ve yazılım listesini güncel tutmanız gerekir.

    2. Anti-spam Ayarlarınızı Doğru Şekilde Kişiselleştirin

    Çoğu fidye yazılımı varyantının, kötü amaçlı ekler içeren göz alıcı e-postalarla yayıldığı bilinmektedir. Bu eklerden bazıları, kuruluşunuzda yaygın olarak kullanılan Word belgelerini veya diğer dosya biçimlerini içerebilir. Ancak bazıları, nadiren kullanılan bir biçimde gelebilir. Bu tip phishing maillerden korunmak için webmail sunucunuzu .EXE.VBS veya .SCR gibi dosya uzantılarını engelleyecek şekilde yapılandırabilirsiniz.

    3. Şüpheli Görünen Ekleri Açmayın

    Bu sadece tanımadığınız kişiler tarafından gönderilen mesajlar için geçerli değildir. Aynı zamanda tanıdıklarınız tarafından gönderilen maillerde bulunan şüpheli ekleri açmamanız gerekir. Kimlik avı e-postaları bir kargo hizmetinden, e-ticaret sitelerinden, emniyet teşkilatından veya bir banka kurumundan gelen bildirimler gibi görünebilir.

    4. Kişisel Bilgileri Vermekten Kaçının

    Kötü niyetli kişiler, gönderdikleri phishing mailleri inandırıcı kılmak için kişisel bilgilerinizi kullanır. Bu kişisel bilgiler Dark Web’te yayınlanan bir veri ihlalinden (ifşa edilmiş veritabanlarından) elde edilebilir. Benim verilerimin Dark Web’te ne işi olacak diyebilirsiniz ancak kişisel veya kurumsal verilerinizle üye olduğunuz meşru sitelerin hacklenmesi sonucu verileriniz bazı hacking forumlarında paylaşılabilir, bu sebeple basit bir üye olma işlemi gerçekleştirirken kişisel bilgilerinizi kullanma konusunda bir kez daha düşünmelisiniz. Saldırganlar çeşitli OSINT teknikleri ile, sosyal medya gönderilerinizi veya genel profillerinizi gözden geçirerek de kişisel verilerinize ulaşabilir. Bu noktada kullandığınız sosyal ağlarda fazla paylaşımda bulunmamak ve gerekli olmadıkça kişisel bilgilerinizi paylaşmaktan kaçınmak faydalı olabilir.

    5. Tıklamadan Önce İki Kez Düşünün

    Sosyal ağlar aracılığıyla tehlikeli bağlantılar içeren mesajlar alabilirsiniz. Saldırganlar çoğu zaman, birinin hesabını ele geçirerek kurbanın tüm kişi listesine tehlikeli bağlantılar gönderir. Mesaj güvendiğiniz bir arkadaşınızdan, meslektaşınızdan veya bir aile üyesinden gelebilir. Kimden gelirse gelsin şüpheli gözüken bağlantılara tıklamamanız gerekir.

    6. Ekibinizi Eğitin

    Yukarıda anlatılan maddeler ekibinizi, yaygın olarak kullanılan kimlik avı saldırına karşı eğitmeniz gerektiğini vurgulamakta. Tüm çalışanların kimlik avı saldırılarına karşı bilinçli olması için belli aralıklarla çeşitli eğitimler verilmeli ve kimlik avı (oltalama) saldırıları simüle edilmelidir.

    7. Dosya Uzantılarını Göster Özelliğini Kullanın

    Dosya Uzantılarını Göster, potansiyel olarak zararlı dosyalardan uzak durabilmeniz için hangi tür dosyaların açılmakta olduğunu kolayca anlamanıza olanak tanıyan yerel bir Windows işlevidir. Bu özellik, Windows’larda varsayılan olarak kapalı olarak gelmektedir. Saldırganlar bir dosyayı iki veya daha fazla uzantıya sahip gibi göstererek kafa karıştırmaya çalıştığı durumlarda bu özellik kullanışlıdır. Örneğin, fatura.pdf.exe veya table.xlsx.scr gibi.

    8. Yazılımlarınızı Yamalayın ve Güncel Tutun

    Saldırganlar sisteminizi güncel tutmadığınız durumlarda, işletim sisteminizdeki, tarayıcınızdaki, veya diğer uygulama yazılımlarınızdaki bir güvenlik açığından yararlanarak sisteminizi ele geçirebilir, fidye yazılımlarını ve diğer kötü amaçlı yazılımları sisteminize bulaştırabilirler. Bu nedenle, güvenlik uzmanlarınızın yamalama işlemlerini tam olarak yapabilmesi için, güvenlik açığı yönetiminizin yazılım varlıklarınızı kapsadığından emin olmanız gerekir.

    9. Bilgisayarınızda Şüpheli Bir İşlem Görürseniz İnternet Bağlantınızı Kesin

    Bu teknik, özellikle saldırının erken aşamalarında etkilidir. Örneğin, çoğu fidye yazılımının şifreleme rutinlerini tamamlamak için komuta kontrol (C&C) sunucularıyla bağlantı kurması gerekir. İnternete erişiminin olmadığı bir bilgisayara bulaşan fidye yazılımı etkisiz kalacaktır. Böyle bir senaryoda, herhangi bir verinin şifresini çözmenize gerek kalmadan zararlı yazılımı bilgisayardan kaldırmanız mümkün olabilir.

    10. Yalnızca Güvendiğiniz Sitelerden İndirin

    Fidye yazılımı bulaşmasını önlemede güven önemli bir rol oynar. Yeni bir uygulama indireceğiniz zaman yalnızca uygulamanın resmi sitesini kullanmanızda fayda var. Ayrıca, adres çubuğunda “HTTPS” kullanan web sitelerini kullanmanız çok önemlidir. Bu arada saldırganlar da HTTPS bağlantısı kullanmaktadır, bu yüzden ilgili web sitenin alan adı ve içeriğinden emin olmanız önerilir.

    11. Uygulama Beyaz Listesini Kullanın

    Güvenden bahsetmişken, sisteminizde risk oluşturabilecek uygulamalardan kaçınmak önemlidir. Kuruluşunuzun güvenlik politikalarına göre, sisteminizin hangi programları yürütebileceğini onaylamanın bir yolu olarak beyaz liste oluşturabilirsiniz. Bu konuda kaynak örneği için tıklayabilirsiniz.

    12. Windows Güvenlik Duvarı’nı İyi Yapılandırarak Her Zaman Açık Tutun

    Windows Güvenlik Duvarı, fidye yazılımlarının makinelerinize bulaşmaya çalışması gibi yetkisiz erişim denemelerine karşı bilgisayarınızı koruyabilir. Microsoft’un web sitesinden Windows Güvenlik Duvarı hakkında daha fazla bilgi edinebilirsiniz.

    13. Minimum Ayrıcalık İlkesini Benimseyin

    Güvenlik duvarları, kötü niyetli kişilerin ağa sızmasını önlemek için Kuzey-Güney trafiğinizi gözden geçirmenize yardımcı olur. Bununla birlikte, bu çözümler, yanal hareket belirtileri için Doğu-Batı trafiğini taramada daha az etkilidir. Bu nedenle, dağıttığınız yetki düzeylerini ve yazma erişimi örneklerini gözden geçirerek minimum ayrıcalık ilkesini uygulamayı düşünmelisiniz. Bu, ransomware aktörlerinin ağınızda hareket etmek için güvenliği ihlal edilmiş bir hesabı kullanmasını engelleyebilir.

    14. Güvenlik Yazılımınızı Sıkıştırılmış veya Arşivlenmiş Dosyaları Tarayacak Şekilde Ayarlayın

    Pek çok ransomware aktörü, payloa’dlarını sıkıştırılmış veya arşivlenmiş dosyalar içeren eklere gizleyerek e-posta filtrelerinizden geçirebileceğini düşünür. Bu nedenle, bu tür dosyaları kötü amaçlı yazılımlara karşı tarayabilen ürünlere ihtiyacınız var.

    15. Kullanıcıların Kimliğini Doğrulamak İçin Güçlü Spam Filtreleri Kullanın  

    Sıkıştırılmış veya arşivlenmiş dosyaları tarama becerisine sahip olmanın yanı sıra, genel olarak kimlik avı e-postalarının kullanıcılara ulaşmasını engelleyebilen güçlü spam filtrelerine ihtiyacınız vardır. Saldırganların e-posta sahtekarlığı (email spoofing) tekniklerini kullanmasını önlemek için Sender Policy Framework (SPF), Sender Policy Framework (DMARC) ve DomainKeys Identified Mail (DKIM) gibi teknolojileri de kullanmalısınız.

    16. Windows Script Host’u Devre Dışı Bırakın

    Bazı tehdit aktörleri, zararlı bulaşmış bir bilgisayarda fidye yazılımı çalıştırmak için .VBS dosyalarını (VBScript) kullanır. Kötü amaçlı yazılımların bu dosya türünü kullanmasını engellemek için Windows Script Host‘u devre dışı bırakabilirsiniz.

    17. Windows PowerShell’i Devre Dışı Bırakın

    PowerShell, bir komut satırı kabuğu ve betik dilinden oluşan platformlar arası bir görev otomasyonu ve yapılandırma yönetim çerçevesidir. PowerShell ve CMD (Windows Command Prompt) arasındaki fark nedir diye soracak olursanız, Windows 7 ile birlikte CMD Komut İstemi’nden daha güçlü bir komut dosyası dili olan PowerShell gelmiştir. PowerShell’de “cmdlet” olarak bilinen farklı komutlar kullanır. CMD’den erişilemeyen bir çok sistem yönetim görevi PowerShell cmdlet’leri aracılığıyla görünür. CMD ise Windows’da bulunan eski bir shell ortamdır. Sadece kolay ve temel komut dosyalarının çalıştırılmasına izin verir. Bu sebeple sistem yöneticileri Windows’u yönetmek için daha modern bir komut satırı olan PowerShell’i kullanır.

    Saldırganlar genellikle fidye yazılımı memory üzerinden çalıştırmak için PowerShell’i kullanır. Böylece geleneksel Antivirüs çözümlerini atlatmalarına yardımcı olur. Bu nedenle, PowerShell kullanmıyorsanız, devre dışı bırakmayı düşünmelisiniz.

    18. Microsoft Office Uygulamalarınızın Güvenliğini Artırın

    Saldırganlar, kötü amaçlı yüklerini dağıtmak için silah haline getirilmiş Microsoft dosyalarını kullanma eğilimindedir. Bu dosyalar, özellikle makroları ve ActiveX’i kullanır. Bu gerçeği kabul ederek, kötü amaçlı kodun Windows bilgisayarda yürütülmesini önlemek için makroları ve ActiveX’i devre dışı bırakmalısınız.

    19. Pop-up’ları Engellemek İçin Bir Tarayıcı Eklentisi Yükleyin

    Pop-up’lar, saldırganların fidye yazılımı saldırıları başlatması için giriş noktası görevi üstlenebilir. Bu nedenle, pop-up’ları engellemek için güvenilir bir tarayıcı eklentisi yüklemelisiniz.

    20. Güçlü Parolalar Kullanın

    Saldırganlar, zayıf bir parolanın varlığında sisteme veya hesaba zorla girebilirler. Daha sonra, ikincil saldırılar gerçekleştirmek için bu erişimden yararlanabilir veya fidye yazılımı dağıtmak amacıyla ağda yanal olarak hareket edebilirler. Bu nedenle, tüm hesaplar için güçlü, benzersiz şifreler kullanmalı ve çalışanlara zorunlu kılmalısınız.

    21. AutoPlay’i Devre Dışı Bırakın

    AutoPlay, kullanıcıların USB sürücüleri ve CD gibi dijital medya araçlarını anında çalıştırmasına olanak tanıyan bir Windows özelliğidir. Saldırganlar, oltalama (phishing) saldırılarını sadece e-posta veya zararlı link gibi sanal ortamlar üzerinden gerçekleştirmezler, doğrudan kullanıcıların adresine gönderilen fiziksel USB bellekler aracılığıyla da fidye yazılımını bilgisayarınıza gizlice sokabilir. Düşünün iş yerinize geldiniz ve yerde 256 gb’lık bir usb bellek duruyor ne yapardınız? Aklınıza şirket bilgisayarına takıp içinde ne varmış diye bakmak gelebilir ancak bu son derece sakıncalı bir durumdur. Bu sebeple, bu özelliği tüm bilgisayarlarınızda devre dışı bırakmalısınız.

    22. Verilerinizi Yedekleyin

    Verinizi düzenli olarak yedekleyin, geniş ağdan ayrı bir yere kaydedin ve güvenliğini sağlayın, öbür türlü yedekler de şifrelenebilir. Verileriniz ele geçirilse dahi yedeklere erişiminiz olacak.

    23. Dosya Paylaşımını Devre Dışı Bıraktığınızdan Emin Olun

    Saldırganlara, ortamınızdaki diğer makinelere bulaşması için bir yol vermek istemezsiniz. Bu nedenle dosya paylaşımını devre dışı bırakmalısınız. Böylece bir fidye yazılımı saldırısı durumunda, kötü amaçlı yazılım makinenizde izole kalacak ve diğer makinelere yayılmayacaktır.

    24. Uzak Masaüstü Bağlantısını Devre Dışı Bırakın

    Uzak Masaüstü Protokolü (RDP), saldırı yüzeyini genişletmek ve ağınızda bir yer edinmek için tehdit aktörleri tarafından kullanılabilir. Bu tehdidi engellemek için uzaktan hizmetleri devre dışı bırakmalısınız. Bunu yapmak, uzaktan gerçekleştirilecek saldırılar için bir vektörü kapatmaya yardımcı olacaktır.

    25. Kullanılmayan Kablosuz Bağlantı Noktalarını Kapatın

    Saldırganlar bir makineyi tehlikeye atmak için Bluetooth‘u kullandığı durumlar vardır. Sisteminizde kullanılmayan Bluetooth, kızılötesi bağlantı noktaları ve diğer kablosuz bağlantıları kapatarak bu tehdit vektörünü ortadan kaldırmalısınız.

    26. Yazılım Kısıtlama Politikalarını kullanın

    Microsoft’un belgelerine göre, Yazılım Kısıtlama Politikaları, kuruluşların bilgisayarlarında uygulama çalıştırma sürecini yönetmelerine olanak tanıyan güven politikasıdır. Uygulamaların nerede çalışıp çalışmayacağını belirlemenizi sağlar. Saldırganlar zararlı yazılımlarını barındırmak için genellikle ProgramData, AppData, Temp ve Windows\SysWow kullandığından, bu politikalar fidye yazılımı bulaşmasını önlemeye yardımcı olabilir.

    27. Bilinen Zararlı Tor IP Adreslerini Engelleyin

    Tor (The Onion Router) ağ geçitleri, fidye yazılımı tehditlerinin C&C sunucuları ile iletişim kurması için birincil araçlardan biridir. Bu nedenle, zararlı işlemlerin geçmesini engellemeye yardımcı olabileceğinden bilinen kötü amaçlı Tor IP adreslerini engelleyebilirsiniz.

    28. Ağı Bölümlere Ayırın

    Sadece bir ağınızın olduğu durumlarda saldırganlar, ağınıza sızdıktan sonra tüm altyapınıza yayılabilir. Ağınızı bölümlere ayırarak bunu önleyebilirsiniz. Özellikle, endüstriyel varlıklarınızı ve IoT cihazlarınızı kendi segmentlerine yerleştirmeyi düşünebilirsiniz.

    29. Şüpheli Aktiviteler için Ağınızı İzleyin

    Ağınızı düzenlemeye hangi şekilde karar verirseniz verin, bir fidye yazılımı saldırısı veya güvenlik olayının göstergesi olabilecek tehdit davranışlarına dikkat etmeniz gerekir. Bu nedenle, ağı şüpheli etkinliklere karşı izlemek için çeşitli araçlar veya ürünler kullanmanız gerekir.

    30. Tehdit İstihbaratından Yararlanın

    Ransomware aktörleri yeni teknikler geliştirmeye, yeni saldırılar başlatmaya ve yeni kötü amaçlı yazılım türleri oluşturmaya devam ediyor. Bu gerçeğin ışığında, tehdit ortamında neler olup bittiğine ve aynı bölgedeki veya sektördeki diğer kuruluşları hangi risklerden etkileyebileceğini tespit etmeniz gerekir. Bu işlemi saygın tehdit istihbaratı akışlarını takip ederek gerçekleştirebilirsiniz. Aşağıda tehdit istihbaratı için kullanabileceğiniz bazı platformlar bulunmaktadır.

    Açık Kaynak Tehdit İstihbaratı Platformları

    CISA ve MS-ISAC Fidye Yazılımı Kılavuzu


    Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve MS-ISAC, ransomware saldırılarına yanıt verme ve korunma yöntemlerini içeren, müşteri odaklı bir Fidye Yazılımı Kılavuzu yayınladı. Kılavuz, ağ savunma teknikleri hakkında kullanıcıları bilgilendirmeyi ve fidye yazılımı saldırılarına maruz kalmayı azaltmayı amaçlıyor. Kılavuza erişmek için tıklayabilirsiniz.

 

Yazımızı Nasıl Buldunuz?

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*