İçeriğe geçmek için "Enter"a basın

Amerikan Gazetelerine Yapılan Siber Saldırı Bizi Neden İlgilendiriyor?

29 Aralık 2018 Cumartesi sabahı yüz binlerce Amerika’lı günlük gazetesinin beklendiği şekilde dağıtılamayacağını öğrenerek şaşırdı hatta bir kısmı Cumartesi gününün gazetesini alabilmek için Pazar gününü beklemek zorunda kaldı.

Haberleri her durumda, her türlü zorluğa karşın zamanında teslim etme temeline dayanan bir endüstride ücretli abonelerine gazete dağıtımı yapamamak çok nadir yaşanan bir olay olduğundan bu siber saldırı büyük yankı uyandırdı.

Geçtiğimiz Cumartesi günü zararlı yazılım nedeniyle gazete dağıtımı yapılamayan ilk gün olarak tarihte yerini alırken bunun arkasında yatan nedenin Tribune Publishing isimli yayımcıya yapılan Ryuk isimli fidye yazılım saldırısı olduğu da pek çok farklı haber sitesinden yayıldı.

Tribune Publishing, Chicago Tribune ve benzeri pek çok farklı gazetenin sahibi ve aynı zamanda Amerika’nın 4. Büyük gazetesi olarak kabul edilen Los Angeles Times gibi gazetelerin de baskı işlerini yürütüyor. New York Times, Wall Street Journal ve San Diego Union Tribune gibi Amerika’nın diğer büyük gazeteleri de olaydan etkilenenler içerisinde.

Yapılan saldırının Amerika dışından gerçekleştirildiği ve ana kaynağının Ryuk fidye yazılımı olduğu belirtiliyor.

Şu ana kadar abonelerin bilgilerinin çalındığına dair bir haber yok, yani gazetelerin ücretli abone olmuş okurları güvende gibi görünüyor.

Ryuk Fidye Zararlı Yazılımı Nedir?

İlk olarak Ağustos 2018’de duyulan Ryuk fidye zararlı yazılımı, ESET tarafınca Win64/Filecoder.T varyantı olarak tespit edilmişti. Kısa bir süre sonra Checkpoint araştırmacıları tarafınca “2 hafta içerisinde iyi planlanmış ve hedefli saldırılar için kullanılan Ryuk fidye yazılımı dünya çapında çok sayıda kuruluşu etkiledi ve enfekte olmuş kuruluşlarda yüzlerce bilgisayarı, depolama ve veri merkezini şifreledi” şeklinde tanımlandı. Ağustos ayının sonunda ise Amerikan hükümeti Ryuk özelinde bir tehdit bilgilendirme brifingi yayınladı.

Ryuk büyük ölçekli saldırılarda kullanılmamasına ve yeni bir çeşit fidye yazılımı olmamasına karşın bu saldırının mağdurlarından elde edilen Bitcoin miktarı ilk birkaç haftada yarım milyon dolardan fazla olunca ciddi şekilde kaygı uyandırdı.

Her ne kadar Tribune Publishing olayının arkasında yatan nedenin Ryuk fidye yazılımı olduğu kanıtlanmamış olsa da, pek çok farklı kaynaktan alınan bilgiye göre dosyalar Ryuk tarafınca kullanılan .ryk uzantısı ile şifrelenmiş.

Fidye Yazılım Saldırısı mı? Tedarikçi Kaynaklı Siber Saldırı mı?

Gazetelerin bir kısmını baskı aşamasında (Tribune Publishing tarafınca basıldıkları için) etkilediği düşünüldüğünde olay sadece bir fidye yazılım saldırısı olarak değil aynı zamanda tedarikçi kaynaklı siber saldırı olarak da değerlendirilebilir. (“Tedarikçi Kaynaklı Siber Riskler” danışmanlığı kapsamında düzenlediğimiz 2 günlük çalıştay sırasında verdiğimiz eğitimin giriş sunumuna https://www.slideshare.net/AlperBasaran/tedarikci-siber-risk-workshop-giris adresinden ulaşabilirsiniz)

Saldırganlar Kimleri Hedefliyor?

Saldırganlar açısından bakıldığında fidye yazılım saldırısı için gazeteleri hedeflemek oldukça mantıklı. Daha önce yaşanan büyük çaplı fidye yazılım saldırılarından çıkan sonuç şu olmuştu; bu saldırganlar sağlık sektörü gibi verilerine çok acil ihtiyaç duyacak, o veriler olmadan bütün hareket kabiliyetini kaybedecek yerleri hedefliyorlar. Bu nedenle gazeteler de uygun bir hedef haline geliyor. Yani eğer verileriniz olmadan bir gün bile idare edemez hale gelebilen bir iş yapıyorsanız bu sizi birincil hedef yapıyor. Hukuk, finans, market zincirleri ve en başı çeken sağlık sektörünün saldırganlar için bu denli gözde olmasının nedeni bu.

Ayrıca çok kazanan, hızlı yükselen, adı basında geçen, kısaca başarılı her firma, her sektör, her kuruluş siber saldırganların tehdidi altında.

Saldırganlar Nasıl Başarılı Oluyor?

Fidye yazılımı saldırılarının gerçekleşebilmesinin en önemli nedeni kuruluşların oltalama/kimlik avı saldırılarını durdurmakta başarılı olamaması veya RDP (Uzak Masaüstü Protokolü) vb. protokollerin kullanımı nedeniyle sistemlerine uzaktan erişimi güvende tutamaması.

Yukarıdaki resimde görüldüğü üzere siber saldırganlarca kullanıldığı bilinen arama motoru Shodan ülkemizde neredeyse 25.000 internete açık RDP bağlantısı gösteriyor.

Korunmak için ne yapmalı?

Zararlı yazılımlardan koruyabilmek için yeterli olmasa da aşağıdakilerin yapılması önerilebilir:

1. Kuruluşunuzda yer alan internete bağlı cihazların tam bir listesini oluşturun. Bu listenin onların güvenliğinden sorumlu kişinin elinde bulunmasını ve sisteme her yeni cihaz eklendiğinde bu listenin güncellenmesini sağlayın.
2. Kullanılması onaylanmayan veya uygun şekilde yapılandırılmayan hiçbir cihaza uzaktan erişim sağlanamadığından emin olun.  Gerekmediği sürece RDP’yi devreye sokmayın.
3. Eğer RDP’yi mutlaka kullanmak zorundaysanız aşağıdakileri yapmaya çalışın:
a. Varsayılan yönetici şifresini değiştirin.
b. Tahmin edilmesi zor bir parola belirleyin.
c. Uzaktan erişim için başarısız giriş deneme sayısını sınırlandırın.
d. Ağ Düzeyi Kimlik Doğrulama kullanın.
e. RDP’yi dinleyen varsayılan bağlantı noktasını 3389 bağlantı noktasından değiştirin f. Hangi genel IP adreslerinin RDP ile bağlanabileceğini sınırlayın (uzak kullanıcıların seyahat ederken veya evden çalışırken statik IP adresleri yoksa bu zor olabilir).
g. Birden fazla kimlik doğrulama faktörü kullanın.
h. Kullanıcı izinlerini ve haklarını sınırlayın. AppData ve LocalAppData klasörlerinden çalışan dosyaları devre dışı bırakın.
i. Çeşitli sıkıştırma programlarının (örneğin, WinZip veya 7-Zip) çalışma dizinlerinden çalışan yürütülebilir dosyaları engelleyin.

 

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir