Fidye İsteyen Zararlılar (CryptoLockers)
Fidye zararlıları bulaştığı sistemlerde, sistem kullanıcıları için kritik ya da önemli değere sahip verileri erişilmez kılmak suretiyle menfaat elde etmeyi hedeflerler. Bu veriler çoğu zaman telafisi mümkün olmayan mali, muhasebe, lojistik işlemlere ait veriler olabileceği gibi üretim ya da projelere ait veriler ve diğer ticari gizli veriler olmaktadır.
İlk geliştirilen zararlı yazılımlar (özelinde virüsler) sadece sisteme ve verilere zarar verme amacı taşırken, zaman içerisinde amaç farklılaşmış ve verilerin erişilemez kılınacağı tehdidi ile menfaat teminine yönelmiştir.
İlk fidye zararlıları kullanıcının verilerine ulaşmasını basit şekilde zorlaştırırken (örneğin ekranın açılır pencere sayısını sınırlamak, dosya adını değiştirmek veya sistemin çalışmasını engellemek gibi), yazımıza konu olan CryptoLocker zararlıları güçlü şifreleme algoritmaları kullanarak hem dosya içeriğini hem de klasörleri şifreleyerek erişilmez hale getirmekte ve sonrasında ise başta BitCoin olmak üzere kendi hesabına eMoney talep ettiği bir notu bırakarak sistemden çıkmaktadır.
Burada en önemli konu saldırganların kurbanların sistemine nasıl sızdıkları ve sızmak için nasıl çalıştıklarını anlayarak bilişim sistemlerimiz üzerinde gerekli güvenlik tedbirlerini almak ya da mevcut güvenlik tedbirlerini sıkılaştırmaktır.
Peki bu saldırganlar kimler? Bu işleri nasıl ve ne şekilde yapıyorlar? Ne kazanıyorlar?
Öncelikle saldırganların profillerinden bahsetmek istiyorum. Karşılaştığım pek çok CryptoLocker vakasında saldırganlar ile sızdıkları sistemlere bırakmış oldukları notlardaki iletişim bilgileri ile haberleşme olanağı buldum. Saldırganların çoğunluğu Türkiye dışında yaşamakla beraber birkaç grup Türkiye’de yaşamaktadır. Saldırganlar bir günün büyük kısmını -uyku hariç- internette geçiren kişiler. İnternette sistem açığı tarama, sosyal mühendislik ve phishing (oltalama) saldırısı konusunda uzman ve sabırlı kişilerdir. Sistemlere sızarak, sızdıkları sistem içerisindeki değerli verileri şifrelemek suretiyle maddi menfaat elde etmeyi kendine meslek edinmiş kişilerden oluşmaktadır.
Saldırganlar öncelikle hedef alacakları kurum ve kuruluşları araştırıyorlar ve bu araştırma neticesinde sisteme sızma yöntemlerini belirliyorlar. Araştırma ortamı olarak çeşitli arama motorları ve uygulamalarını kullandıkları gibi, şirket ve kurumlara ait bilgilerin yer aldığı çeşitli veri tabanları (TOBB şirket bilgileri, en büyük 500 sanayii şirketi listesi, çeşitli meslek odaları kayıtları) kullanılmaktadırlar.
Hedef olarak belirledikleri bir sistemi haftalarca araştırıp, o kurum ve kuruluşa sızmak için en ideal yöntemi belirledikten sonra çalışmalarını konsantre bir şekilde sürdürmektedirler. Daha sonrasında buldukları bir açıklık ya da kurum içerisindeki bir kurbanın bilgisayarı üzerinden sisteme sızarak amaçlarına ulaşırlar.
Sisteme sızmak amacıyla çeşitli yöntemler kullanırlar. Bu yöntemlerin başında sistemini ele geçirmeyi planladıkları şirket ya da kurumdaki çalışanların e-postalarına phishing (oltalama) saldırısı yapma en başta gelir.
E-posta kullanıcısı çoğu zaman e-posta içerisindeki zararlı linki tıklar ya da ekindeki zararlı dosyayı açar. Saldırgan gönderdiği e-postayı özenle hazırlar (Fatura, kargo gönderimi, sigorta, ödül kazanma, dosya paylaşımı, sosyal medya aktivitesi v.b.) bu nedenle karşı taraftaki kurban bazen meraktan, bazen bir iş gereği açmak durumunda hisseder. İşte bundan sonra saldırgan önce kurbanın bilgisayarını ele geçirir, daha sonra ise kurbanın bilgisayarı üzerinde şirket ya da kurumdaki kritik ve önemli olan sunucu ve diğer bilgisayarları sıra ile ele geçirmeye başlar.
Saldırganların kullandığı bir diğer yöntem ise kurbanın bilgisayarını phishing (oltalama) saldırısı ile ele geçirdikten sonra, kurbanın şirket ya da kurum bilgisayarına erişmek amacıyla kullandığı uzak masaüstü (RDP, Teamviewer, AnyDesk v.b.) ve VPN uygulamalarını kullanarak şirket ya da kurumun önemli verilerinin bulunduğu diğer sunucu ve bilgisayarlara sızmaktır.
Üçüncü örnek ise Türkiye’de son zamanlarda sık sık karşımıza çıkmaya başlayan önemli bir örnektir. Bu örnekte ise; saldırgan ele geçireceği hedefe yasal olarak bağlanmaya yetkili bir başka şirket üzerinden gelerek sistemi ele geçirmektedir.
Bu noktada özellikle ERP yazılımı kullanan kurum ve kuruluşları buradan uyarmak istiyorum. ERP yazılımınızın bakım ve güncellemesini yapan şirketlerin siber güvenlik yetkinlik ve etkinliklerinden muhakkak emin olunuz. Onlara verdiğiniz sisteme giriş yetkisini muhakkak iki faktöriyel doğrulama ile yaptırınız, unutmayınız ki ERP hizmeti sunan şirketler saldırganlar tarafından birinci hedeftir ve ERP hizmeti veren şirketler üzerinden çok kolay bir şekilde hacklenebilirsiniz.
Bir dahaki yazımda, sisteme sızan bir saldırganın adım adım sızdıktan sonra içeride neler yaptığını anlatacağım. Gelecek hafta görüşmek dileğiyle esen kalınız.