Fidye zararlısı üreten hacker grupları, 2020 yılının ilk yarısında kurumsal ağlara sızmak için Citrix ve Pulse Secure VPN yazılımlarında ortaya çıkan zafiyetleri yoğun bir şekilde hedeflerken, bazı fidye zararlıları ise güvenlik zafiyeti barındıran veya risk taşıyan Windows Uzak Masaüstü Protokolü (RDP) hedef almaktadır.
İşletme sektörünü hedef alan fidye zararlı yazılımı saldırıları, 2020’nin ilk yarısında tüm zamanların en yüksek seviyesine ulaştı.
Fidye zararlısı yazılımı üreten hacker grupları, her biri kendi uzmanlık alanlarına uygun şekilde zararlı yazılım üretsede, 2020’nin ilk yarısında kullandıkları en popüler saldırı yöntemleri; güvenli olmayan RDP servislerini sömürmek, e-posta kimlik avı saldırıları düzenlemek ve kurumsal VPN araçlarının sömürmek oldu.
Bu listenin başında Uzak Masaüstü Protokolü (RDP) var. Coveware , Emsisoft ve Recorded Future’dan gelen raporlara göre RDP servisi 2020’deki en popüler saldırı hedefi olmaya hak kazanıyor ve çoğu fidye yazılımı vakalarının kaynağı RDP çıkıyor.
Siber güvenlik firması Emsisoft, geçen ay fidye yazılımı hacker gruplarına karşı RDP servisinin güvenliğini sağlamaya yönelik bir kılavuzun parçası olarak, “Bugün RDP, fidye yazılımı için en büyük saldırı vektörü olarak görülüyor.” dedi.
Fidye zararlısı olaylarına müdahale ve fidye zararlılarına karşı korunma hizmetleri sağlayan bir şirket olan Coveware’den alınan istatistikler de bu değerlendirmeyi doğruluyor; Covaware bu yılki araştırmaları sonucunda, fidye zararlılarının bir cihaza bulaşırken kullandığı en popüler giriş noktasının RDP servisi olduğunu gözlemliyoruz.
RDP, uzak sunuculara bağlanmak için günümüzün en iyi teknolojisidir ve RDP bağlantı noktalarına sahip milyonlarca bilgisayar vardır, bu da RDP’yi yalnızca zararlı yazılımların bulaşması için değil, her türden siber aktivite için büyük bir saldırı vektörü haline getirir.
Günümüzde saldırganlar, RDP bağlantıları üzerinden sisteme sızmak için internet ağını tarıyor ve tespit ettikleri noktalara kaba kuvvet saldırıları gerçekleştiriyorlar.
Zayıf kullanıcı adı ve şifre kombinasyonları kullanan sistemler kaba kuvvet saldırılarıyla ele geçiriliyor ve dark web dünyasında satışa sunuluyor.
Saldırganlar zararlı yazılımlarını işletim sistemlerine bulaştırmada RDP ve güvenli olmayan VPN servislerini ne kadar kullansalarda, listemizin ikinci başında insan farkındalığı mevcut. Şirketler günümüzde e-posta güvenliğine çok fazla yatırım yapmakta ve bu yatırımlar bazen milyonları bulmaktadır. Ancak saldırganlar her geçen gün yeni saldırı türü ve yöntemi buluyorlar, geliştiriyorlar.
Saldırganlar, tüm güvenlik sistemlerini atlatacak bir zararlı vektör hazırlıyor ve bu vektörleri kullanıcılara e-posta yolu ile gönderiyorlar. Farkındalığı düşük e-posta kullanıcıları, zararlı adrese yönlendirilen linklere tıklayabiliyor veya zararlı ek dosyaları çalıştırabiliyorlar. Saldırganlar kullanıcıları yanıltmak için heyecan barındıran, yazım yanlışı olmayan ve kullanıcıların günlük hayatlarında bekledikleri türden e-postalar gönderiyorlar. Bu yüzden sahte e-postalar içerisindeki ek dosyaları çalıştırabiliyorlar. Bu dosyaları çalıştırdıklarında sisteme vereceği zarar siber korsanların amaçlarına göre değişsede, siber dünyada karşılaşılan vaka genellikle işletim sisteminin şifrelenmesi oluyor. Saldırgan sistem üzerindeki tüm dosyaları geri dönülmeyecek şekilde şifreleyerek karşılığında kullanıcıdan fidye talep ediyor.
Şirketimizin iç ağında bulunan sunucu veya kişisel bilgisayarların RDP portları dış ağa gerek duyulmadıkça açılmamalıdır. Eğer dış ağdan bir bağlantı sağlanması gerekiyor ise mutlaka VPN ile iç ağa dahil edilmeli ve bağlantının şifreli bir şekilde sağlanması gereklidir. Kurum yapısı gereği RDP ağlarının dış ağa direkt açılması durumunda, işletim sistemi güncel tutulmalı ve RDP bağlantı bilgileri (kullanıcı adı ve parola) tahmin edilemeyecek kadar zor hale getirilmelidir. Parola uzunluğu en az 10 karakterden oluşmalı, büyük küçük harf, özel karakter ve sayı içermelidir.
Kurum iç ağına yapılan bağlantılarda kullanılan VPN uygulamaları ve servislerinin şifreleme türleri yüksek tutulmalı, farklı konumlardan yapılan VPN bağlantıları takip edilmeli ve alert yapısı kurulmalıdır. Ayrıca VPN servisi güvenlik zafiyetlerine karşı güncel olmasını öneririz.
E-posta yolu ile kullanıcılara gönderilen zararlı atak vektörleri, kurumunuza gönderildiğinde e-posta servisleriniz ve güvenlik çözümlerinizin nasıl davrandığı, doğru konfigürasyon edilip edilmediğinin belirli aralıklarda e-posta tehdit simülasyonları yaparak tespit edilmesi önem arz etmektedir. E-posta servisleriniz doğru yapılandırılmadığı taktirde, güncel e-posta tehditleri kullanıcılara ulaşabilmekte.
Düzenli sosyal mühendislik testleri düzenleyerek kurum çalışanlarınızın farkındalıklarının ne derecede olduğunu ölçümleyebilir, farkındalığı düşük kullanıcılara eğitim ataması yaparak farkındalıklarını geliştirebilirsiniz. Güvenlik cihazlarına her ne kadar yatırım yapılsa da, insan farkındalığıda bir o kadar önem teşkil etmektedir.
Bu yazı ilk olarak tr.keepnetlabs.com’da yayınlanmıştır.