Fidye Yazılımı Saldırılarının (Ransomware) Anatomisi

Fidye Yazılımı Saldırılarının (Ransomware) Anatomisi

Tem 17, 2022 / Kron

Siber saldırı vektörleri, sayısız avantajından yararlandığımız dijital teknolojilerin ortaya çıkardığı olumsuz sonuçların başında geliyor. BT ağları başta olmak üzere, siber güvenlik sistemlerine dair birçok farklı unsuru ciddi şekilde tehdit eden siber saldırı vektörleri, kuruluşları önemli zararlara uğratabilme kapasitesine sahip. Veri güvenliği açısından büyük bir tehdit oluşturan söz konusu vektörlerden biri de fidye yazılımı saldırıları.

Fidye yazılımı saldırıları (Ransomware), kuruluşların BT ağlarına ve veri tabanlarına sızan siber saldırganların ele geçirdikleri veri yığınlarını ilgili kuruluşa tekrar vermek için fidye talep edilmesi mantığına dayanıyor. Dijital dönüşüm çağının ilk yıllarında bireysel siber tehdit aktörleri olarak karşımıza çıkan bu saldırılar, günümüzde küresel anlamda ayrım gözetmeyen ve farklı sektörlerdeki kuruluşları hedef alabilen hizmet olarak Fidye Yazılımı Saldırıları (RaaS) modeline dönüşmüş durumda.

Söz konusu siber tehdit, hastane ve sağlık merkezleri gibi kritik kişisel verileri barındıran kurumların hedef alınmasında önemli rol oynuyor. Bu kuruluşlardaki veri yığınlarını fidye yazılımı saldırısı yoluyla ele geçirme düşüncesiyle hareket eden siber saldırganlar, erişim güvenliği açıklarından yararlanarak siber suç üzerinden elde edilen kazancı maksimum seviyeye çıkarmaya çalışıyor.

Verizon tarafından hazırlanan Data Breach Investigations Report isimli çalışmada yer alan veriler, fidye yazılımı saldırılarının geldiği noktayı çok iyi şekilde ortaya koyuyor. Rapora göre bu yıl ransomware saldırılarında yaklaşık %13’lük bir artış yaşandı. Söz konusu artış oranı neredeyse bundan önceki beş yılda yaşanan artış oranına eş değer nitelikte. Ayrıca malware saldırılarından kaynaklanan veri ihlali vakalarının yaklaşık %70’ini ise fidye yazılımı saldırıları oluşturuyor.

Fidye Yazılımı Saldırılarının Aşamaları

Fidye yazılımı saldırısı 6 temel aşamadan oluşmaktadır. Bir bilgisayar korsanı, fidye yazılımı saldırısı gerçekleştirirken bu adımları takip ederek arzu ettiği sonuca ulaşabilir. Söz konusu aşamaların sistematik şekilde işlemesine engel olmak ve saldırı vektörünü ortadan kaldırmak için yapılması gerekenleri anlatmadan önce bu ilgili aşamalardan bahsetmekte yarar var.

1. Kampanya

Bu aşama, siber saldırganın fidye yazılımı saldırısı düzenlerken kullanmayı tercih ettiği yöntemi ifade ediyor. Kampanya aşamasındaki yöntemler arasında web sunucuları uzaktan erişim yoluyla kontrol etmek, web sitelerini silahlandırmak ve kötü amaçlı e-postalar göndermek gibi seçenekler yer alıyor. Sistematik bir sosyal mühendislik saldırısına dönüşen kötü amaçlı e-posta gönderimi, sık karşılaşılan yöntemlerden biri. Bu yöntemde saldırgan, kullanıcıları farkında olmadan kötü amaçlı bir yazılım indirmeye zorluyor.

2. Enfeksiyon

Enfeksiyon aşaması, siber saldırganın hazırladığı kötü amaçlı kod ya da kod parçasının hedeflenen BT ağına yayılmaya başladığı aşama olarak kabul ediliyor. Bu aşamada kötü amaçlı yazılım BT ağına yayılıyor ancak fark edilip gerekli müdahale kısa sürede sağlandığı takdirde şifreleri kurtarma şansınız olabilir.

3. Evreleme

Evreleme aşamasında saldırgan, hazırlandığı siber saldırı vektörü üzerinde ufak değişiklikler yaparak girdiği sistemde kalıcılık elde etmeye çalışıyor. Enfeksiyondan farklı olarak evrelemede şifreleme anahtarını koruyan C2 sunucusu ile fidye yazılımı arasında iletişim kuruluyor.

4. Tarama

Fidye yazılımı, ele geçirilecek şifreli dosyalar için BT ağında tarama yapmaya başladığında devreye giren bu aşama, siber saldırganın sonuç elde etmesi açısından bir hayli kritik. Zira sisteminizdeki yetkili erişim tanımlamaları ve izin seviyeleri, saldırganın tarama aşamasından sonra gidebileceği yolu belirliyor.

5. Şifreleme

Taramanın tamamlanmasının ardından bir şifreleme işlemi başlatılıyor. BT ağınızdaki yerel dosyalar saniyeler içinde şifreleniyor, daha sonra ise fidye yazılımı buluta ve ağda paylaşılan dosyalara taşınıyor. Ağdaki veriler şifreleniyor ve kopyalanıyor. Son olarak kopyalanıp şifrelenen veriler ağdaki orijinal dosyanın yerini alması için yeniden yükleniyor.

6. Ödeme

Siber saldırgan kritik verileri ele geçirdikten sonra ödeme alabilmek amacıyla BT ağındaki kullanıcıların hesaplarına ödeme miktarının ve şeklinin yazdığı bir fidye notu gönderiyor. Bazen saldırganlar bir saat belirleyerek zaman geçtikçe fidye fiyatının arttığı bir yöntem izleyebiliyor. Bilgisayar korsanlar bazen de kurbanlar için müşteri hizmetleri hattı oluşturarak ödeme şartlarının konuşulmasını sağlıyor. Fakat herhangi bir ödeme yönteminde parayı verdiğinizde verileri geri alabileceğinizin garantisi bulunmuyor.

Fidye Yazılımı Saldırılarına Karşı Savunma Mekanizmaları

Bir fidye yazılımı saldırısının hangi aşamalardan meydana geldiğini detaylandırdıktan sonra söz konusu saldırı vektörüne karşı nasıl korunabileceğinizi detaylı şekilde ele alalım.

1. Ayrıcalıklı Erişimi Sınırlayın

Ayrıcalıklı erişim mekanizmasını zero trust ilkesi etrafında şekillendirin. Etki alanı yöneticisi grubunda yer alan kullanıcı sayısını sınırlandırın ve bu grupta yer alan sınırlı sayıdaki kullanıcının BT ağındaki hareketlerini denetleyin.

2. Ayrıcalıklı Hesapları Koruyun

Ayrıcalıklı hesaplar, fidye yazılımı saldırılarına karşı oluşturacağınız savunma mekanizmalarının en önemli bileşeni konumunda. Gelişmiş parola koruma ve doğrulama modüllerine sahip PAM (Privileged Access Management) çözümleri kullanarak ayrıcalıklı hesap kimlik bilgileri üzerinde yüksek seviyede koruma sağlayabilirsiniz.

3. Aktif Dizini Güvenli Hale Getirin

Kuruluşlar arasında güvenli olarak tanımlanan ancak güvenliğinden şüphe duyduğunuz etki alanlarını ortadan kaldırın. Gerekli etki alanı faaliyetlerinin siber güvenlik protokolüne uygun şekilde yürütüldüğünden emin olmak için gelişmiş bir denetim mekanizması oluşturun.

4. Yanal Hareket Yollarını Ortadan Kaldırın

SMB, RPC ve RDP ağ segmentasyonları aracılığıyla yanal hareket yollarını ortadan kaldırın.

5. Kimlik Avı Tehditlerine Karşı Korunun

Kötü amaçlı e-postaların kullanıcılara ulaşmadan tespit edilmesini ve engellenmesini sağlayan bir sistem inşa edin. Bu tarz e-postaları algılayabilen gelişmiş bir e-posta güvenlik yazılımı kullanmak işinizi kolaylaştıracaktır.

6. Yama Yönetiminden Yararlanın

BT ağınızda saldırıya uğrama ihtimali en yüksek yamalara öncelik vermek için bir yama yönetimi uygulaması kullanın.

Ayrıcalıklı Erişim Yönetimi Çözümleriyle Tehditi En Aza İndirin

Fidye yazılımı saldırılarından kaynaklanan tehdidi en aza indirmenin temel yolu, Ayrıcalıklı Erişim Yönetimi çözümlerinden yararlanmak. Kimlik doğrulama ve parola yönetimi başta olmak üzere, gelişmiş bir siber güvenlik altyapısı inşa etmek için ihtiyaç duyduğunuz her şeyi sunan PAM sistemleri, tüm parolaların merkezi şekilde kontrol edilmesini sağlıyor. Ayrıca sistem, ayrıcalıklı hesaplara ait parolaların BT ağından izole şekilde şifreli kasalarda saklanmasını da mümkün kılıyor.

İki faktörlü kimlik doğrulama özelliği ise BT ağına giriş yapmak isteyen bir kullanıcıdan aynı anda konum ve zaman doğrulaması talep ediyor. Sınırlı süreli parolalar göndererek sisteme girişi daha güvenli kılan bu PAM modülü, iki aşamalı doğrulama tamamlanmadığı takdirde sisteme girişe izin vermeyen modül, ağdaki kimlik bilgilerinin çalınmasını bir hayli zorlaştırıyor.

Yetkili oturum yöneticisi modülü, BT ağı üzerinde 7/24 denetim yapabilmenize imkân tanıyor. Ayrıcalıklı erişim iznine sahip kullanıcıların ağa girişlerini kontrol eden sistem, bir veri ihlali ile karşılaştığınızda hemen müdahale etmenizi mümkün kılıyor. PAM’in sunduğu avantajlardan biri olan veri maskeleme de BT ağında yer alan tüm kritik verileri maskeleyerek işleme tabi tutulan verilerin gerçek verilerden farksız hale gelmesini sağlıyor. Bu da gerçek verilerin siber saldırgan tarafından tespit edilmesinin önüne geçiyor.

Ayrıcalıklı hesap kimlik bilgileri ve yetkili erişime sahip kullanıcıların parolalarını elde edip kuruluşun BT ağındaki kritik verileri çalarak, bloke ederek veya iş akışını durma noktasına getirerek fidye talep eden bu saldırılara karşı yukarıda ifade edilen modüllere ve daha fazlasına sahip olan Ayrıcalık Erişim Yönetimi ürünümüz Single Connect’i inceleyebilirsiniz.

Kron olarak geliştirdiğimiz ve global alanda sayılı PAM çözümlerinden biri olan Single Connect hakkında daha detaylı bilgi almak için ise ekip arkadaşlarımızla bağlantıya geçebilir, merak ettiklerinizi sorabilirsiniz.  

Diğer Bloglar