Fidye İsteyen Zararlılar-3 (CryptoLockers-3)

Fidye isteyen zararlılar (CryptoLockers) yazı dizimize kaldığımız yerden devam ediyoruz…

Siber saldırgan, siber korsan ve siber zorba olarak nitelendirilebilen bu kötü niyetli ve menfaatçi kişilerin tek amacı; önemli ve değeri yüksek kurumsal ve kişisel verilere ya sistem açıklıklarından faydalanarak ya da çeşitli siber saldırı yöntemleri (Oltalama, sosyal mühendislik v.b.) kullanarak erişmek ve bu verileri çeşitli şifreleme yöntemleri ile şifreleyip kullanılmaz hale getirdikten sonra dosyaları eski haline getirmek için fidye talep etmektir. [Bir önceki yazı için: Fidye İsteyen Zararlılar-2 (CrptoLockers-2) ]

Tabi ki talep edilen fidye türü de yakalanmamak için anonim olmayı sağlayan elektronik paralarla olmakta ve bunların en başında ise kripto paraların en tanınanı BitCoin gelmektedir. Kripto paralar bu nedenle siber saldırganların ekmeğine yağ sürmekte ve suç işlemelerini teşvik etmektedir. Ayrıca tespit edilmelerini de imkansız hale getirmektedir. Bu sorunla mücadele için muhakkak bir çözüm bulunması gerekmektedir, aksi halde fidye isteyen zararlı olayları iştah kabartan bir olay olmaya devam edecektir.

Fotoğraf: https://blockpublisher.com/bitcoin-ransomware-attackers-tasted-their-own-medicine/

Bugüne kadar karşılaştığımız ve bize iletilen fidye isteyen zararlı vakalarında olayın ilk tespiti genelde aksayan bir hususun araştırılması neticesinde oluyor.

Muhasebe yazılımının çalışmaması, lojistik ve sevkiyat uygulamalarının çalışmaması, cari işlemlerle ilgili dosyalara ve uygulamalara erişememe gibi sorunlar olayın ilk belirtileri olarak karşımıza çıkmaktadır. Ancak, böyle bir olayla karşılaşınca hemen hemen her kurum ve kuruluş kendince bir keşif yapıyor, kendi bilgi ve görgüsüne göre çeşitli müdahaleler yapıyor ve neticede herkesin başına ilk kez gelmesi nedeniyle bir çuval incirin berbat olmasına neden oluyor. Burada özellikle ifade edilmelidir ki bir siber olaya müdahale ancak ve ancak siber olay müdahalesinde uzman kişiler ve uzman bir ekip tarafında yapılmalıdır. Aksi halde geri dönüşü imkansız sonuçlara katlanmak zorunda kalınmaktadır.

Fotoğraf: https://www.cybersafesolutions.com/insights/the-key-components-of-cyber-incident-response

Fidye isteyen zararlı vakası ile karşılaşıldığında yapılması ve yapılmaması gerekenleri buradan tek tek yazmak isterdik, ancak bu yazıları saldırganların da okuyor olmasından dolayı maalesef burada anlatmayacağız. Tıpkı yıllar önce şifreleme amacıyla kullanılan yazılımlardaki açıklıkları kullanarak verileri kurtardığımızı söylediğimizde ya da verileri şifrelenmiş bilgisayardaki “Volume Shadow” kopyalara erişerek kurtardığımızı çeşitli sosyal medya platformlarındaki sorulara cevap olarak belirttiğimizde saldırganların bu paylaşımları fark edip yöntemlerini değiştirmesine neden olmuştu. Bu nedenle, saldırganlarla mücadelede daha dikkatli olmak zorundayız.

Saldırganlar ele geçirdikleri sistemde kalıcılığı sağlamak amacıyla çeşitli uygulamaları sisteme yerleştirmekte, sistem açılışında ( startup/boot ) bu uygulamaların otomatik olarak çalıştırılmasını sağlamakta ve diledikleri zaman sisteme erişme hakkı elde etmiş olmaktadır.
Sisteme girer girmez ise ilk yaptıkları iş ise, yönetici yetkisine sahip bir kullanıcı açmak ve varsayılan yönetici hesabını fark edilmemek için o andan itibaren kullanmamak.
Sonrasında ise çeşitli tarama uygulamaları ile ağı taramak, diğer sunucu ve bilgisayarları tespit etmek ve en önemlisi ise sistemlerin yedeğinin alındığı ortamları tespit etmek amacıyla yoğun çalışmalar yapmaktadırlar.
Ve nihayetinde, kurum ve kuruluşlara ait sistemdeki en kritik verileri (muhasebe, yönetim, lojistik, sevkiyat, üretim v.b.) kırılması nerede ise imkansız şifreleme yöntemleri ile şifrelemektedir.

Verileriniz şifrelenince ilk aklınıza ne gelir?

Tabi ki, sistem ve verilerin yedekleri ( backup ). Saldırganlar da bunu bildiği için ve ülkemizde de maalesef yedekleme konusu sadece sistem çökmesi düşünülerek online yedekleme yöntemi ile yapıldığından sistemlere takılı halde bulunan her türlü veri depolama aygıtı içerisinde yer alan tüm dosyaları da şifreleyerek erişilmez hale getirmekte, son olarak silinmiş alanları ve sistem kayıtlarını da kurtarılamayacak şekilde özenle silerek “BununOku.txt” şeklinde notunu bırakıp sistemden ayrılmaktadırlar.

Fotoğraf: https://www.nytimes.com/wirecutter/reviews/best-network-attached-storage/

Siber saldırganların sevmedikleri yedekleme sistemleri de var ⭐ ️Özellikle ağ üzerinde yedekleme amacıyla kullanılan NAS ya da DAS adı verilen sistemlere erişmeleri her zaman kolay olmamaktadır. Ancak, bize iletilen pek çok vakada gördüğümüz üzere büyük bir çoğunluk NAS ve DAS ağ depolama aygıtlarını herhangi bir parola sormadan doğrudan sunucu üzerinden doğrudan erişilebilir olarak ayarlaması nedeniyle bu da saldırganların işini kolaylaştırmaktadır. Ancak yine de saldırganların;

NAS ve DAS sistemlere erişemeyen saldırganların bu sistemlerin marka, model ve işletim sistemi sürümünü özel tarama imkanları ile öğrendiklerini,
Her ne kadar verilere erişip şifreleme işlemini gerçekleştiremeseler de, kapatılmayan sistem açıklıklarını veya yapılmayan firmware güncellemelerini suistimal ederek, RAID yapısını bozarak ve hatta birkaç farklı RAID kurulumu gerçekleştirmek suretiyle verileri erişilmez hale getirerek mağdurları fidye ödemeye zorladıkları örneklere de rastladık.

Bu konuyu gerçek bir olay ile açıklayayım. Son zamanlarda çalıştığımız bir vakada;

8 sabit diski bulunan ve RAID 5 yapılandırılmış bir ağ depolama aygıtındaki ( NAS ) verilerin ve yedeklerin saldırganlar tarafından şifrelenememesi nedeniyle RAID yapısının birkaç kez değiştirilmek suretiyle bozulduğunu fark ettik.
NAS cihazı içerisindeki 8 sabit diski çıkartıp bire bir olarak kopyaladık ve veri kurtarma laboratuvarımızdaki uzmanlarımızın emek ve çabaları ile bir hafta içerisinde saldırganlar tarafından şifrelenen verileri yazmış olduğumuz özel bir script sayesinde %100 olarak kurtarıp, mağdur şirketi saldırıya maruz kaldığı güne geri döndürmeyi başardık.

Ancak, bu her zaman bu kadar kolay olmamaktadır. Bu nedenle, ağ depolama aygıtı siber saldırıya maruz kalan kurum ve kuruluşun konusunda ehil uzmanlara müracaat etmesi ve veri kurtarma konusunda deneyimli uzmanların RAID sistemler üzerinden veriyi kurtarılabilmesi mümkün olmaktadır.

©DIFOSE

Son olarak ifade etmeliyim ki, ne kadar tedbir alırsanız alın, her an bir siber saldırı mağduru haline gelebilirsiniz. Dolayısıyla böyle bir saldırıyı ön görüp gerekli siber güvenlik tedbirlerini almalı ve bu tedbirlerin uygulanıp uygulanmadığını sürekli denetim ve gözetim yapmalısınız.

Unutmayın ki saldırganların erişemeyeceği dosya ve sistem yedekleri hayat kurtarır. Bu nedenle sadece çevirim içi yedek değil, çevirim dışı yedek almak ve bunu bir plan dahilinde sistematik bir şekilde yapmak karşılaşılan bir siber saldırıyı en az zararla atlatmanıza yardımcı olacaktır…

Güvenli, güzel ve aydınlık günler dileklerimle esen kalınız.

Sükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sdurmaz/