Yeni mesajlar Yeni konular En çok cevaplanan En görüntülenen konu En çok begenilen

En çok mesaj
Kullanıcı
Mesaj
TEO
20,683
aSk
19,734
Eqe
18,256
16,011
sdC
14,090
13,263
11,257
10,969
10,961

Ransomware Saldırılarından Korunmak için 30 İpucu

TheGirLinBlack

Geceye aşık bir kadını güneşin yapamazsın..
Yönetici
TF Root
Katılım
24 Haz 2019
Mesajlar
54,720
Tepkime puanı
20,918
Puanları
113
Konum
Almanya
Cinsiyetiniz
Bayan
Yaş
28
Burc
Koç
Memleket
35 İzmir
Nerden:
Avrupa
OS X için Ransomware Virüsü: KeRanger



Fidye Yazılımı (Ransomware) Nedir?

Fidye yazılımı/virüsü (ransomware), hedef sisteme sızdıktan sonra sistemde bulunan tüm veri dosyalarını şifreleme yoluyla kilitleyen bir zararlı yazılım türüdür. Sistem, zararlı yazılım tarafından ele geçirildikten sonra kullanıcının dosyalara tekrar erişebilmesi için yapması gerekenler ile alakalı bir bilgilendirme mesajı göstermektedir. Bilgi mesajında; dosya içeriklerine erişimin yalnızca özel anahtar ile açılabileceği, bu anahtarı alabilmek için fidye ödenmesinin zorunlu olduğu
belirtilmektedir. Fidyenin, Bitcoin, Monero, Etherium gibi kripto para birimleriyle ödenmesi istenmektedir. Fakat fidye ödense bile kullanıcının dosyalarına tekrar erişebilmesinin bir garantisi bulunmamaktadır.



Bir Ransomware Saldırısı Nasıl Gerçekleştirilir

Ransomware‘lar Türkiye’de son dönemlerde genellikle e-fatura içeren sahte mailler yoluyla yayılmaktadır. Saldırganlar, fatura tutarını oldukça yüksek göstererek kullanıcının dikkatini çekip gönderdikleri maildeki linke tıklatarak zararlı yazılımın inmesini sağlamatadır. Aşağıdaki örnekte, TTNET tarafından gönderilmiş gibi gözüken bir e-posta bulunmaktadır. Kullanıcılar, faturanın detaylarını görmek amacıyla belirtilen dosya ekine tıklayıp dosyayı kendi sistemlerinde çalıştırdıktan sonra zararlı yazılım devreye girer ve kullanıcının bilgisayarındaki tüm dokümanlar zararlı yazılım tarafından güçlü şifreleme algoritmaları ile şifrelenmektedir. Dosya uzantıların sonuna “.encrypted” gibi kelimeler eklenmektedir. Örneğin; “faturalar.doc.encrypted“. Dakikada 5 GB’a kadar veri şifreleyen bu zararlı, yaklaşık 10 dakika içerisinde sabit diskinizdeki tüm verileri şifreleyebilir.






Verileriniz şifrelendikten sonra, kullanıcı masaüstüne bir uyarı metni yerleştirilir. “Uyarı: Bilgisayarınızda bulunan önemli dosyalarınız, fotoğraflarınız, video ve kişisel bilgileriniz şifrelenmiştir. Dosyalarınızı kurtarmanızın tek yolu sunucularımızda bulunan decryption anahtarını satın almaktır. Aksi takdirde tüm dosyalarınızı kaybedebilirsiniz.” benzeri bir açıklama ile şifrenin çözülmesi için kullanıcılardan $500 para talep edilir.





Fidye yazılımı, zarar vereceği dosyanın şifreli yeni bir kopyasını oluşturup orijinal dosyayı silmektedir. Bu silme işlemi hızlı olabildiği gibi bazı durumlarda güvenli silme şeklinde (en az 3 kez üzerine yazma gibi) de olabilmektedir.
Bilgisayar her açıldığında tekrar çalışmak üzere kayıt defterinde “%AppData%” klasörüne kendini rastgele bir isim ile kurmakta ve yine kayıt defterinde “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” altına, çalışabilecek şekilde bir anahtar oluşturmaktadır. Ayrıca şifrelediği her bir dosya için “HKCU\Software\CryptoLocker\Files” altına bir dosya ismini belirten anahtar değeri eklemektedir.
Burada yaşanmış bir senaryo üzerinden fidye yazılımı saldırılarının nasıl gerçekleştirdiği anlatılmıştır. Saldırganların zararlı yazılımlarını yayacak yeni yöntemler geliştirebilecekleri unutulmamalıdır. Örneğin seçim dönemleri yaklaştığında, Yüksek Seçim Kurulu‘ndan gelmiş gibi gözüken bir sahte e-postada, hangi sandıkta oy kullanılacağına dair bağlantılar sunan, aslında bağlantıya tıklandığında virüsün bulaşacağı bir senaryo mümkündür.


Fidye (Ransomware) Saldırı Örnekleri
  • WannaCry: 2017 yılının Mayıs ayında 200’den fazla ülkede 230.000 civarında bilgisayarlardaki verileri
    kriptolayarak kullanılamaz hale getirdi ve 28 dilde fidye talep etti. 08.12.2018 tarihinde tekrar aktif olduğu gözlemlendi.
  • CrySis – Dharma, Rapid, GrandCrab Ransomware: Saldırganlar spam, RDP, SQL,
    SMB vb. protokollere yapılan brute-force (kaba kuvvet saldırısı) ile erişim bilgilerinizi ele geçirirler, sisteme erişirler ve verileri kriptolayarak kullanılamaz hale getirirler. Verilerin çalışabilir hale getirilmesi için fidye talep ederler. Ayrıca Deep Web’te her ay 80.000 adet RDP hesaplarının satıldığı platformlar bulunmaktadır.



Bu tip ransomware saldırılarının sonuçlarıyla uğraşmak, Rus ruleti gibidir. İstenilen fidyeyi göndermek, kilitli verileri kurtarmak için tek seçenek gibi görünebilir. Ancak fidyeyi ödemek, kuruluşunuzun etkilenen verilerini geri alacağı anlamına gelmez.

Sisteminize bulaşmış olan bir fidye yazılımının tehdit kategorisi olarak gelişmeye devam ettiğini unutmamak gerekir. Kasım 2019’un sonlarından itibaren, Maze ve DoppelPaymer gibi ransomware tehdit aktörleri, kurbanların verileri şifreleyerek veya kullanıcıların cihazlarını kullanmasını engelleyerek fidye istediler. Fidyenin ödenmediği durumunda ise veriler çeşitli forumlarda çevrimiçi olarak paylaştılar. Örnek vermek gerekirse, dünya çapında tanınan simülasyon ve 3D baskı hizmetleri veren PADT adlı şirketin verileri geçtiğimiz günlerde DoppelPaymer’in web sitesinde yayınlandı.






Bu örneğe baktığımızda devam eden bir fidye yazılımı saldırısını tespit etmek yeterli değildir. İlk etapta fidye yazılımının bulaşmasını önlemeye odaklanmanız gerekir.

Fidye (Ransomware) Saldırılarını Önlemek İçin Alınabilecek Önlemler


1. Mevcut Varlıklarınızı Belirleyin
Ransomware saldırılarından korumak için öncelikle mevcut ağa hangi donanım ve yazılım varlıklarının bağlı olduğunu bilmeniz gerekir.
Bu sebepten dolayı ağa bağlı donanım ve yazılım listesini güncel tutmanız gerekir.

2. Anti-spam Ayarlarınızı Doğru Şekilde Kişiselleştirin
Çoğu fidye yazılımı varyantının, kötü amaçlı ekler içeren göz alıcı e-postalarla yayıldığı bilinmektedir. Bu eklerden bazıları, kuruluşunuzda yaygın olarak kullanılan Word belgelerini veya diğer dosya biçimlerini içerebilir. Ancak bazıları, nadiren kullanılan bir biçimde gelebilir. Bu tip phishing maillerden korunmak için webmail sunucunuzu .EXE, .VBS veya .SCR gibi dosya uzantılarını engelleyecek şekilde yapılandırabilirsiniz.

3. Şüpheli Görünen Ekleri Açmayın
Bu sadece tanımadığınız kişiler tarafından gönderilen mesajlar için geçerli değildir. Aynı zamanda tanıdıklarınız tarafından gönderilen maillerde bulunan şüpheli ekleri açmamanız gerekir. Kimlik avı e-postaları bir kargo hizmetinden, e-ticaret sitelerinden, emniyet teşkilatından veya bir banka kurumundan gelen bildirimler gibi görünebilir.

4. Kişisel Bilgileri Vermekten Kaçının
Kötü niyetli kişiler, gönderdikleri phishing mailleri inandırıcı kılmak için kişisel bilgilerinizi kullanır. Bu kişisel bilgiler Dark Web’te yayınlanan bir veri ihlalinden (ifşa edilmiş veritabanlarından) elde edilebilir. Benim verilerimin Dark Web’te ne işi olacak diyebilirsiniz ancak kişisel veya kurumsal verilerinizle üye olduğunuz meşru sitelerin hacklenmesi sonucu verileriniz bazı hacking forumlarında paylaşılabilir, bu sebeple basit bir üye olma işlemi gerçekleştirirken kişisel bilgilerinizi kullanma konusunda bir kez daha düşünmelisiniz. Saldırganlar çeşitli OSINT teknikleri ile, sosyal medya gönderilerinizi veya genel profillerinizi gözden geçirerek de kişisel verilerinize ulaşabilir. Bu noktada kullandığınız sosyal ağlarda fazla paylaşımda bulunmamak ve gerekli olmadıkça kişisel bilgilerinizi paylaşmaktan kaçınmak faydalı olabilir.

5. Tıklamadan Önce İki Kez Düşünün
Sosyal ağlar aracılığıyla tehlikeli bağlantılar içeren mesajlar alabilirsiniz. Saldırganlar çoğu zaman, birinin hesabını ele geçirerek kurbanın tüm kişi listesine tehlikeli bağlantılar gönderir. Mesaj güvendiğiniz bir arkadaşınızdan, meslektaşınızdan veya bir aile üyesinden gelebilir. Kimden gelirse gelsin şüpheli gözüken bağlantılara tıklamamanız gerekir.

6. Ekibinizi Eğitin
Yukarıda anlatılan maddeler ekibinizi, yaygın olarak kullanılan kimlik avı saldırına karşı eğitmeniz gerektiğini vurgulamakta. Tüm çalışanların kimlik avı saldırılarına karşı bilinçli olması için belli aralıklarla çeşitli eğitimlerverilmeli ve kimlik avı (oltalama) saldırıları simüle edilmelidir.

7. Dosya Uzantılarını Göster Özelliğini Kullanın
Dosya Uzantılarını Göster
, potansiyel olarak zararlı dosyalardan uzak durabilmeniz için hangi tür dosyaların açılmakta olduğunu kolayca anlamanıza olanak tanıyan yerel bir Windows işlevidir. Bu özellik, Windows’larda varsayılan olarak kapalı olarak gelmektedir. Saldırganlar bir dosyayı iki veya daha fazla uzantıya sahip gibi göstererek kafa karıştırmaya çalıştığı durumlarda bu özellik kullanışlıdır. Örneğin, fatura.pdf.exe veya table.xlsx.scr gibi.

8. Yazılımlarınızı Yamalayın ve Güncel Tutun
Saldırganlar sisteminizi güncel tutmadığınız durumlarda, işletim sisteminizdeki, tarayıcınızdaki, veya diğer uygulama yazılımlarınızdaki bir güvenlik açığından yararlanarak sisteminizi ele geçirebilir, fidye yazılımlarını ve diğer kötü amaçlı yazılımları sisteminize bulaştırabilirler. Bu nedenle, güvenlik uzmanlarınızın yamalama işlemlerini tam olarak yapabilmesi için, güvenlik açığı yönetiminizin yazılım varlıklarınızı kapsadığından emin olmanız gerekir.

9. Bilgisayarınızda Şüpheli Bir İşlem Görürseniz İnternet Bağlantınızı Kesin
Bu teknik, özellikle saldırının erken aşamalarında etkilidir. Örneğin, çoğu fidye yazılımının şifreleme rutinlerini tamamlamak için komuta kontrol (C&C) sunucularıyla bağlantı kurması gerekir. İnternete erişiminin olmadığı bir bilgisayara bulaşan fidye yazılımı etkisiz kalacaktır. Böyle bir senaryoda, herhangi bir verinin şifresini çözmenize gerek kalmadan zararlı yazılımı bilgisayardan kaldırmanız mümkün olabilir.

10. Yalnızca Güvendiğiniz Sitelerden İndirin
Fidye yazılımı bulaşmasını önlemede güven önemli bir rol oynar. Yeni bir uygulama indireceğiniz zaman yalnızca uygulamanın resmi sitesini kullanmanızda fayda var. Ayrıca, adres çubuğunda “HTTPS” kullanan web sitelerini kullanmanız çok önemlidir. Bu arada saldırganlar da HTTPS bağlantısı kullanmaktadır, bu yüzden ilgili web sitenin alan adı ve içeriğinden emin olmanız önerilir.

11. Uygulama Beyaz Listesini Kullanın

Güvenden bahsetmişken, sisteminizde risk oluşturabilecek uygulamalardan kaçınmak önemlidir. Kuruluşunuzun güvenlik politikalarına göre, sisteminizin hangi programları yürütebileceğini onaylamanın bir yolu olarak beyaz liste oluşturabilirsiniz. Bu konuda kaynak örneği için tıklayabilirsiniz.

12. Windows Güvenlik Duvarı’nı İyi Yapılandırarak Her Zaman Açık Tutun
Windows Güvenlik Duvarı, fidye yazılımlarının makinelerinize bulaşmaya çalışması gibi yetkisiz erişim denemelerine karşı bilgisayarınızı koruyabilir. Microsoft’un web sitesinden Windows Güvenlik Duvarı hakkında daha fazla bilgi edinebilirsiniz.

13. Minimum Ayrıcalık İlkesini Benimseyin
Güvenlik duvarları, kötü niyetli kişilerin ağa sızmasını önlemek için Kuzey-Güney trafiğinizi gözden geçirmenize yardımcı olur. Bununla birlikte, bu çözümler, yanal hareket belirtileri için Doğu-Batı trafiğini taramada daha az etkilidir. Bu nedenle, dağıttığınız yetki düzeylerini ve yazma erişimi örneklerini gözden geçirerek minimum ayrıcalık ilkesini uygulamayı düşünmelisiniz. Bu, ransomware aktörlerinin ağınızda hareket etmek için güvenliği ihlal edilmiş bir hesabı kullanmasını engelleyebilir.

14. Güvenlik Yazılımınızı Sıkıştırılmış veya Arşivlenmiş Dosyaları Tarayacak Şekilde Ayarlayın
Pek çok ransomware aktörü, payloa’dlarını sıkıştırılmış veya arşivlenmiş dosyalar içeren eklere gizleyerek e-posta filtrelerinizden geçirebileceğini düşünür. Bu nedenle, bu tür dosyaları kötü amaçlı yazılımlara karşı tarayabilen ürünlere ihtiyacınız var.

15. Kullanıcıların Kimliğini Doğrulamak İçin Güçlü Spam Filtreleri Kullanın
Sıkıştırılmış veya arşivlenmiş dosyaları tarama becerisine sahip olmanın yanı sıra, genel olarak kimlik avı e-postalarının kullanıcılara ulaşmasını engelleyebilen güçlü spam filtrelerine ihtiyacınız vardır. Saldırganların e-posta sahtekarlığı (email spoofing) tekniklerini kullanmasını önlemek için Sender Policy Framework (SPF), Sender Policy Framework (DMARC) ve DomainKeys Identified Mail (DKIM) gibi teknolojileri de kullanmalısınız.

16. Windows Script Host’u Devre Dışı Bırakın
Bazı tehdit aktörleri, zararlı bulaşmış bir bilgisayarda fidye yazılımı çalıştırmak için .VBS dosyalarını (VBScript) kullanır. Kötü amaçlı yazılımların bu dosya türünü kullanmasını engellemek için Windows Script Host‘u devre dışı bırakabilirsiniz.

17. Windows PowerShell’i Devre Dışı Bırakın
PowerShell
, bir komut satırı kabuğu ve betik dilinden oluşan platformlar arası bir görev otomasyonu ve yapılandırma yönetim çerçevesidir. PowerShell ve CMD (Windows Command Prompt) arasındaki fark nedir diye soracak olursanız, Windows 7 ile birlikte CMD Komut İstemi’nden daha güçlü bir komut dosyası dili olan PowerShell gelmiştir. PowerShell’de “cmdlet” olarak bilinen farklı komutlar kullanır. CMD’den erişilemeyen bir çok sistem yönetim görevi PowerShell cmdlet’leri aracılığıyla görünür. CMD ise Windows’da bulunan eski bir shell ortamdır. Sadece kolay ve temel komut dosyalarının çalıştırılmasına izin verir. Bu sebeple sistem yöneticileri Windows’u yönetmek için daha modern bir komut satırı olan PowerShell’i kullanır.
Saldırganlar genellikle fidye yazılımı memory üzerinden çalıştırmak için PowerShell’i kullanır. Böylece geleneksel Antivirüs çözümlerini atlatmalarına yardımcı olur. Bu nedenle, PowerShell kullanmıyorsanız, devre dışı bırakmayı düşünmelisiniz.

18. Microsoft Office Uygulamalarınızın Güvenliğini Artırın
Saldırganlar, kötü amaçlı yüklerini dağıtmak için silah haline getirilmiş Microsoft dosyalarını kullanma eğilimindedir. Bu dosyalar, özellikle makroları ve ActiveX’i kullanır. Bu gerçeği kabul ederek, kötü amaçlı kodun Windows bilgisayarda yürütülmesini önlemek için makroları ve ActiveX’i devre dışı bırakmalısınız.

19. Pop-up’ları Engellemek İçin Bir Tarayıcı Eklentisi Yükleyin
Pop-up’lar, saldırganların fidye yazılımı saldırıları başlatması için giriş noktası görevi üstlenebilir. Bu nedenle, pop-up’ları engellemek için güvenilir bir tarayıcı eklentisi yüklemelisiniz.

20. Güçlü Parolalar Kullanın
Saldırganlar, zayıf bir parolanın varlığında sisteme veya hesaba zorla girebilirler. Daha sonra, ikincil saldırılar gerçekleştirmek için bu erişimden yararlanabilir veya fidye yazılımı dağıtmak amacıyla ağda yanal olarak hareket edebilirler. Bu nedenle, tüm hesaplar için güçlü, benzersiz şifreler kullanmalı ve çalışanlara zorunlu kılmalısınız.

21. AutoPlay’i Devre Dışı Bırakın
AutoPlay
, kullanıcıların USB sürücüleri ve CD gibi dijital medya araçlarını anında çalıştırmasına olanak tanıyan bir Windows özelliğidir. Saldırganlar, oltalama (phishing) saldırılarını sadece e-posta veya zararlı link gibi sanal ortamlar üzerinden gerçekleştirmezler, doğrudan kullanıcıların adresine gönderilen fiziksel USB bellekler aracılığıyla da fidye yazılımını bilgisayarınıza gizlice sokabilir. Düşünün iş yerinize geldiniz ve yerde 256 gb’lık bir usb bellek duruyor ne yapardınız? Aklınıza şirket bilgisayarına takıp içinde ne varmış diye bakmak gelebilir ancak bu son derece sakıncalı bir durumdur. Bu sebeple, bu özelliği tüm bilgisayarlarınızda devre dışı bırakmalısınız.

22. Verilerinizi Yedekleyin
Verinizi düzenli olarak yedekleyin, geniş ağdan ayrı bir yere kaydedin ve güvenliğini sağlayın, öbür türlü yedekler de şifrelenebilir. Verileriniz ele geçirilse dahi yedeklere erişiminiz olacak.

23. Dosya Paylaşımını Devre Dışı Bıraktığınızdan Emin Olun
Saldırganlara, ortamınızdaki diğer makinelere bulaşması için bir yol vermek istemezsiniz. Bu nedenle dosya paylaşımını devre dışı bırakmalısınız. Böylece bir fidye yazılımı saldırısı durumunda, kötü amaçlı yazılım makinenizde izole kalacak ve diğer makinelere yayılmayacaktır.

24. Uzak Masaüstü Bağlantısını Devre Dışı Bırakın
Uzak Masaüstü Protokolü (RDP)
, saldırı yüzeyini genişletmek ve ağınızda bir yer edinmek için tehdit aktörleri tarafından kullanılabilir. Bu tehdidi engellemek için uzaktan hizmetleri devre dışı bırakmalısınız. Bunu yapmak, uzaktan gerçekleştirilecek saldırılar için bir vektörü kapatmaya yardımcı olacaktır.

25. Kullanılmayan Kablosuz Bağlantı Noktalarını Kapatın
Saldırganlar bir makineyi tehlikeye atmak için Bluetooth‘u kullandığı durumlar vardır. Sisteminizde kullanılmayan Bluetooth, kızılötesi bağlantı noktaları ve diğer kablosuz bağlantıları kapatarak bu tehdit vektörünü ortadan kaldırmalısınız.

26. Yazılım Kısıtlama Politikalarını kullanın
Microsoft’un belgelerine göre, Yazılım Kısıtlama Politikaları, kuruluşların bilgisayarlarında uygulama çalıştırma sürecini yönetmelerine olanak tanıyan güven politikasıdır. Uygulamaların nerede çalışıp çalışmayacağını belirlemenizi sağlar. Saldırganlar zararlı yazılımlarını barındırmak için genellikle ProgramData, AppData, Temp ve Windows\SysWow kullandığından, bu politikalar fidye yazılımı bulaşmasını önlemeye yardımcı olabilir.

27. Bilinen Zararlı Tor IP Adreslerini Engelleyin
Tor (The Onion Router)
ağ geçitleri, fidye yazılımı tehditlerinin C&C sunucuları ile iletişim kurması için birincil araçlardan biridir. Bu nedenle, zararlı işlemlerin geçmesini engellemeye yardımcı olabileceğinden bilinen kötü amaçlı Tor IP adreslerini engelleyebilirsiniz.

28. Ağı Bölümlere Ayırın
Sadece bir ağınızın olduğu durumlarda saldırganlar, ağınıza sızdıktan sonra tüm altyapınıza yayılabilir. Ağınızı bölümlere ayırarak bunu önleyebilirsiniz. Özellikle, endüstriyel varlıklarınızı ve IoT cihazlarınızı kendi segmentlerine yerleştirmeyi düşünebilirsiniz.

29. Şüpheli Aktiviteler için Ağınızı İzleyin
Ağınızı düzenlemeye hangi şekilde karar verirseniz verin, bir fidye yazılımı saldırısı veya güvenlik olayının göstergesi olabilecek tehdit davranışlarına dikkat etmeniz gerekir. Bu nedenle, ağı şüpheli etkinliklere karşı izlemek için çeşitli araçlar veya ürünler kullanmanız gerekir.

30. Tehdit İstihbaratından Yararlanın
Ransomware aktörleri
yeni teknikler geliştirmeye, yeni saldırılar başlatmaya ve yeni kötü amaçlı yazılım türleri oluşturmaya devam ediyor. Bu gerçeğin ışığında, tehdit ortamında neler olup bittiğine ve aynı bölgedeki veya sektördeki diğer kuruluşları hangi risklerden etkileyebileceğini tespit etmeniz gerekir. Bu işlemi saygın tehdit istihbara akışlarını takip ederek gerçekleştirebilirsiniz. Aşağıda tehdit istihbaratı için kullanabileceğiniz bazı platformlar bulunmaktadır.

Açık Kaynak Tehdit İstihbaratı Platformları
CISA ve MS-ISAC Fidye Yazılımı Kılavuzu

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve MS-ISAC, ransomware saldırılarına yanıt verme ve korunma yöntemlerini içeren, müşteri odaklı bir Fidye Yazılımı Kılavuzu yayınladı. Kılavuz, ağ savunma teknikleri hakkında kullanıcıları bilgilendirmeyi ve fidye yazılımı saldırılarına maruz kalmayı azaltmayı amaçlıyor. Kılavuza erişmek için tıklayabilirsiniz.
 

First panel title

First panel content

Second panel title

Second panel content
Üst