SamSam Krizi ABD’yi Kavurdu. Yeni Hedef Orta Doğu!

Bilgi teknolojilerine yönelik kozmik bir tehdide dönüşen fidye yazılımları (ransomware), en korkulan siber hücumlar ortasında birinci sırada yer alıyor. Günümüzün en önemli fidye akınları ortasında yer alan SamSam üzerinde Sophos’un yaptığı ayrıntılı araştırmalar, durumun düşünülenden çok daha önemli olduğunu, SamSam’ın şimdiye dek fidye tehdidiyle topladığı paranın 6 milyon dolara yaklaştığını ortaya koydu.

Bugüne kadar birçok fidye yazılımı üreticisi, tehdidi yaygınlaşmak için özensiz spam kampanyalarıyla yüz binlerce kullanıcıya tıpkı anda ulaşma ve birilerinin tuzağa düşmesini bekleme yolunu tercih ediyordu. Böylelikle tuzağa düşen kullanıcılardan birkaç yüz dolar üzere küçük ödemeler alarak, büyük gelirlere ulaşmayı umuyorlardı.

Kısa müddette günümüzün en korkulan siber tehditleri ortasına giren SamSam ise farklı bir yol izliyor. SamSam’ı başkalarından ayıran, sistemlere sızma konusunda yetenekli bir kişi yahut kümenin hedeflenen kurum yahut şirketin ağına sızarak ağdaki zayıflıkları tespit etmesi ve ziyanlı yazılımı elle çalıştırması. Böylelikle atak, kelam konusu kurumun bilgi sistemleri altyapısına en kısa müddette en fazla ziyanı verecek biçimde kurgulanabiliyor. Bu türlü ince planlanmış bir akın karşılığında istenen fidye on binlerce doları buluyor.

Kolay bir gasp soyguncusu yerine adeta profesyonel elmas hırsızı üzere davranan SamSam, fidye talebi öncesinde ağın kritik noktaları ele geçirildiği için kurumun alabileceği tedbirlere ve güvenlik yazılımlarına karşı gerçek vakitli olarak engelleyici stratejiler geliştirilmesine imkan sağlıyor. Şifreleme süreci bir nedenle kesintiye uğrarsa, bu sefer yazılım kendini büsbütün imha ederek saldırıyı kimin yaptığına dair geride hiçbir iz bırakmıyor.

İtinayla tasarlanmış bir şifreleme aracı olan SamSam bulaştığı sistemlerde yalnızca kullanıcı belgelerini değil, Windows işletim sisteminin ve uygulamaların çalışmak için rutin olarak muhtaçlık duymadığı, birçok vakit yedeği alınmayan evrakları da şifreliyor. Bu nedenle sistemleri düzeltmek yalnızca yedeğin yerine koyulmasını değil, işletim sistemi ve uygulamaların da tekrar kurulmasını gerektiriyor.

Sophos’un SamSam üzerinde yaptığı tahliller, saldırganların artlarında iz bırakmama konusunda son derece paranoyak olduğuna ve bunun için her taarruzda kullandıkları araçlara ve web sitelerine yönelik yeni tedbirler aldıklarına işaret ediyor.

SamSam’a Dair Ayrıntılı Tahlil Sonuçları:

Temel Bulgular:

  • SamSam birinci defa Aralık 2015’te ortaya çıktı. Kurbanlar, yeni bir fidye saldırısının bilhassa hastane, okul ve akıllı kent altyapıları üzere büyük tertipleri gaye aldığını raporladılar.
  • Saldırganların saldırıyı gizleme ve artlarında iz bırakmama konusunda kullandığı formüller nedeniyle hücuma dair ayrıntılara ulaşmak uzun vakit aldı.
  • Birçok kurban, durumu düzeltmek ismine kendi başlarına ortaya koyacakları eforun iş sürekliliğini sağlamak ismine gereğince süratli olmayacağını anlayınca fidye ödeme yoluna gitti.

İstatistikler:

  • Neutrino isimli şirketin yardımıyla fidye notlarında yer alan Bitcoin adreslerine yapılan transferler ve örnek belgeler incelendiğinde, Sophos SamSam’ın yaratıcılarına 2015 yıl sonundan beri 5,9 milyon Amerikan Doları kazandırdığını hesapladı.
  • Bilinen kurbanların yüzde 74’ü Amerika Birleşik Devletleri’nde yer alıyor. Öbür etkilenen bölgeler ortasında Kanada, İngiltere ve Orta Doğu ülkeleri mevcut.
  • Bitcoin cüzdanlarına yapılan transferlere nazaran SamSam kurumlardan tek seferde 64 bin dolara kadar fidye koparmayı başarmış.
  • Öteki birçok fidye yazılımından farklı olarak, SamSam yalnızca doküman, görsel ve başka şahsî belgeleri değil, Microsoft Office üzere uygulamaların çalışması için gereksinim duyulan yapılandırma evraklarını da şifreliyor. Yedekleme stratejisini yalnızca kullanıcı belgelerinin şifrelenmesi üzerine kuran kurbanlar, aygıtın imaj evrakını tekrar yerine koymadan çalışır hale dönemiyor.
  • Her yeni SamSam saldırısı, daha karmaşık taarruz teknikleriyle ve geride iz bırakmamak için operasyonel güvenlik tedbirlerinden korunmak üzere daha maharetli tedbirlerle geliyor.
  • Kurbanlardan talep edilen fidye ölçüsü gitgide artarken, atak yoğunluğunda rastgele bir yavaşlama gözlenmiyor.

Mevcut Durum Değerlendirmesi:

  • Sophos’un varsayımlarına nazaran SamSam saldırganları 2018 yılında her ay 300 bin doların çok az altında bir gelir elde etti.
  • Saldırganların bilinen Bitcoin cüzdanlarına gelen transferler incelendiğinde, Sophos bugüne kadar SamSam’ın gerisindeki isimlerin 5,9 milyon dolar fidye topladığını ettiğini tespit etti (not: Bitcoin’in gönderildiği gün mevcut kurla dolara çevrildiği varsayımıyla bu sayıya ulaşılmıştır.)
  • Bugüne dek SamSam için bir seferde ödenen en yüksek fidye bedeli 64 bin 478 dolar.
  • Ödemeler karanlık web üzerinde her kişi yahut kurum için başka bir adresle açılan özel bir ödeme sitesi üzerinden, Bitcoin ile yapılıyor.
  • Ödeme için açılan site, saldırganların kurbanla bildiri tahtası gibisi bir arayüz üzerinden direkt irtibat kurmasını sağlıyor.
  • Ödenen fidye ölçüsü tertibe nazaran değişiyor ve giderek artma eğiliminde.
  • Ödemenin tamamı alındıktan sonra, SamSam’ın gerisindeki şahıslar parayı çeşitli formüllerle çok sayıda karıştırıcı servisten geçirerek mikro transferlere aktarıyor. Yani bir manada “aklıyor”.

SamSam’dan Korunmak İçin Ne Yapmalı?

  • Tek bir eser yahut yaklaşımla tüm güvenlik gereksinimlerinizi çözemezsiniz. Bu nedenle etkin ve çok katmanlı bir güvenlik modeli oluşturun.
  • Akın metodolojisini dikkatle incelediğinizde birtakım kolay güvenlik tedbirlerinin bile saldırıyı durdurmak için epey tesirli olduğunu görebilirsiniz. Sophos SamSam’dan korunmak için aşağıdaki dört güvenlik teklifini süratle hayata geçirmenizi öneriyor:
  • 3389 (RDP) portunu kapatın ve yalnızca VPN ile bağlanan çalışanın uzak sistemlerine erişimine müsaade verin. VPN erişiminde çoklu kimlik doğrulamayı devreye alın.
  • Ağınız genelinde sistemli olarak penetrasyon testi çalıştırın. Raporların gereğini yapın.
  • Yalnızca LAN ve VPN üzerinden dahili sistemlerinize bağlanan çalışanlarınız için bile çok katmanlı kimlik kontrolünü etkin hale getirin.
  • Site içi ve site dışı yedek alın. Tüm sistemlerinizi etkileyecek durumlarda geri dönüş için bir felaket kurtarma senaryosu hazırlayın.
  • Ayrıyeten aşağıdaki ek güvenlik tedbirleri de inançta kalmanıza yardımcı olacaktır:

    • Tüm ağ ilişki noktalarının yanı sıra içeri giren bir saldırganın rahatça hareket etmesini önleyecek çok katmanlı güvenlik modeli oluşturun.
    • Tüm yamaları takip edin ve süratle uygulayın.
    • Bilhassa yaması yapılmamış sistemler için kilitleme ve hücum tedbire yeteneğine sahip sunucuya has güvenlik sistemleri kurgulayın.
    • Faal tehdit ve engellemeler hakkında bilgi toplayan ve paylaşan senkronize güvenlik tahlillerini tercih edin.
    • Kimlik hırsızlığına karşı tesirli uç nokta ve sunucu güvenlik araçları kullanın.
    • Güç iddia edilen yönetici şifreleri belirleyin ve çok katmanlı kimlik doğrulama kullanın.
    • Kullanıcılarınızı inançlı şifreler belirlemeye ve muteber şifre yöneticileri kullanmaya yönlendirin.
    • Censys yahut Shodan üzere üçüncü parti yazılımlarla dışarıya açık hizmet ve portlarınıza yönelik periyodik değerlendirmeler yapın. Açık bulursanız tedbirini alın.
    • Hesap idaresi denetiminizi geliştirin. Kullanılmayan hesapları kapatın, yanılgılı şifre denemesi olan hesapları kilitleyin ve sistem yöneticisine bildirin.
    • Oltalama (phishing) konusunda çalışanınızı eğitin ve sistemli olarak testler gerçekleştirin.

    SamSam hakkında daha fazla bilgi için https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf adresini ziyaret edebilirsiniz.

    BASIN BÜLTENİNDEN DERLENMİŞTİR

    Yorum bırakın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir