fbpx
Back to Blog
Fidye-Yazılımlarının-Bulaşırken-Kullandığı-Servisler-Keepnet-Labs-Sedat-Özdemir
Category: Fidye Saldırısı, Genel Tags: , , , , , , , , Post Date: 3 September 2020

Fidye Yazılımlarının Bulaşırken Kullandığı Servisler

Fidye zararlısı üreten hacker grupları, 2020 yılının ilk yarısında kurumsal ağlara sızmak için Citrix ve Pulse Secure VPN yazılımlarında ortaya çıkan zafiyetleri yoğun bir şekilde hedeflerken, bazı fidye zararlıları ise güvenlik zafiyeti barındıran veya risk taşıyan Windows Uzak Masaüstü Protokolü (RDP) hedef almaktadır.

İşletme sektörünü hedef alan fidye zararlı yazılımı saldırıları, 2020’nin ilk yarısında tüm zamanların en yüksek seviyesine ulaştı.

Fidye zararlısı yazılımı üreten hacker grupları, her biri kendi uzmanlık alanlarına uygun şekilde zararlı yazılım üretsede, 2020’nin ilk yarısında kullandıkları en popüler saldırı yöntemleri; güvenli olmayan RDP servislerini sömürmek, e-posta kimlik avı saldırıları düzenlemek ve kurumsal VPN araçlarının sömürmek oldu.

RDP – listede bir numara

Bu listenin başında Uzak Masaüstü Protokolü (RDP) var. Coveware ,  Emsisoft ve  Recorded Future’dan gelen raporlara göre RDP servisi 2020’deki  en popüler saldırı hedefi olmaya hak kazanıyor ve çoğu fidye yazılımı vakalarının kaynağı RDP çıkıyor.

Siber güvenlik firması Emsisoft, geçen ay fidye yazılımı hacker gruplarına karşı RDP servisinin güvenliğini sağlamaya yönelik bir kılavuzun parçası olarak, “Bugün RDP, fidye yazılımı için en büyük saldırı vektörü olarak görülüyor.” dedi.

Fidye zararlısı olaylarına müdahale ve fidye zararlılarına karşı korunma hizmetleri sağlayan bir şirket olan Coveware’den alınan istatistikler de bu değerlendirmeyi doğruluyor; Covaware bu yılki araştırmaları sonucunda, fidye zararlılarının bir cihaza bulaşırken kullandığı en popüler giriş noktasının RDP servisi olduğunu gözlemliyoruz.

RDP Attacks Keepnet Labs Ransomware

RDP, uzak sunuculara bağlanmak için günümüzün en iyi teknolojisidir ve RDP bağlantı noktalarına sahip milyonlarca bilgisayar vardır, bu da RDP’yi yalnızca zararlı yazılımların bulaşması için değil, her türden siber aktivite için büyük bir saldırı vektörü haline getirir.

Günümüzde saldırganlar, RDP bağlantıları üzerinden sisteme sızmak için internet ağını tarıyor ve tespit ettikleri noktalara kaba kuvvet saldırıları gerçekleştiriyorlar.

Zayıf kullanıcı adı ve şifre kombinasyonları kullanan sistemler kaba kuvvet saldırılarıyla ele geçiriliyor ve dark web dünyasında satışa sunuluyor.

Sosyal Mühendislik – Listede ikinci numara

Saldırganlar zararlı yazılımlarını işletim sistemlerine bulaştırmada RDP ve güvenli olmayan VPN servislerini ne kadar kullansalarda, listemizin ikinci başında insan farkındalığı mevcut. Şirketler günümüzde e-posta güvenliğine çok fazla yatırım yapmakta ve bu yatırımlar bazen milyonları bulmaktadır. Ancak saldırganlar her geçen gün yeni saldırı türü ve yöntemi buluyorlar, geliştiriyorlar.

İnsan Yanıltma Yöntemi

Saldırganlar, tüm güvenlik sistemlerini atlatacak bir zararlı vektör hazırlıyor ve bu vektörleri kullanıcılara e-posta yolu ile gönderiyorlar. Farkındalığı düşük e-posta kullanıcıları, zararlı adrese yönlendirilen linklere tıklayabiliyor veya zararlı ek dosyaları çalıştırabiliyorlar. Saldırganlar kullanıcıları yanıltmak için heyecan barındıran, yazım yanlışı olmayan ve kullanıcıların günlük hayatlarında bekledikleri türden e-postalar gönderiyorlar. Bu yüzden sahte e-postalar içerisindeki ek dosyaları çalıştırabiliyorlar. Bu dosyaları çalıştırdıklarında sisteme vereceği zarar siber korsanların amaçlarına göre değişsede, siber dünyada karşılaşılan vaka genellikle işletim sisteminin şifrelenmesi oluyor. Saldırgan sistem üzerindeki tüm dosyaları geri dönülmeyecek şekilde şifreleyerek karşılığında kullanıcıdan fidye talep ediyor.

Alabileceğimiz Önlemler

RDP ve VPN Servisleri

Şirketimizin iç ağında bulunan sunucu veya kişisel bilgisayarların RDP portları dış ağa gerek duyulmadıkça açılmamalıdır. Eğer dış ağdan bir bağlantı sağlanması gerekiyor ise mutlaka VPN ile iç ağa dahil edilmeli ve bağlantının şifreli bir şekilde sağlanması gereklidir. Kurum yapısı gereği RDP ağlarının dış ağa direkt açılması durumunda, işletim sistemi güncel tutulmalı ve RDP bağlantı bilgileri (kullanıcı adı ve parola) tahmin edilemeyecek kadar zor hale getirilmelidir. Parola uzunluğu en az 10 karakterden oluşmalı, büyük küçük harf, özel karakter ve sayı içermelidir.

Kurum iç ağına yapılan bağlantılarda kullanılan VPN uygulamaları ve servislerinin şifreleme türleri yüksek tutulmalı, farklı konumlardan yapılan VPN bağlantıları takip edilmeli ve alert yapısı kurulmalıdır. Ayrıca VPN servisi güvenlik zafiyetlerine karşı güncel olmasını öneririz.

Kullanıcı Farkındalığı ve E-Posta Tehdit Simülasyonları

E-posta yolu ile kullanıcılara gönderilen zararlı atak vektörleri, kurumunuza gönderildiğinde e-posta servisleriniz ve güvenlik çözümlerinizin nasıl davrandığı, doğru konfigürasyon edilip edilmediğinin belirli aralıklarda e-posta tehdit simülasyonları yaparak tespit edilmesi önem arz etmektedir. E-posta servisleriniz doğru yapılandırılmadığı taktirde, güncel e-posta tehditleri kullanıcılara ulaşabilmekte. Keepnet Labs Email Threat Simulator modülünü kullanarak, içerisinde bulunan 500’den fazla gerçek dünyadan alınan e-posta atak vektörlerini güvenli bir ortam altında kurum test e-posta adresinize göndererek, aradaki güvenlik mekanizmalarınızı test edebilirsiniz. Email Threat Simulator, sandbox, anti-spam ve firewall gibi güvenlik çözümlerinizin tamamını test ederek sizlere bir rapor sunar. Bu raporda hangi atak türlerine karşı zaafınızın olduğunu gözlemleyebilir, çözüm önerileri sayesinde yapınızı güçlendirebilirsiniz.

Keepnet Labs Phishing Simulator ve Awareness Educator modülleri ile kurum çalışanlarınızın farkındalıklarının ne derecede olduğunu ölçümleyebilir, onlara tek tık ile eğitim ataması yaparak farkındalıklarını geliştirebilirsiniz. Güvenlik cihazlarına her ne kadar yatırım yapılsa da, insan farkındalığıda bir o kadar önem teşkil etmektedir.

Sedat Ozdemir Profil

Sedat Ozdemir / Siber Tehdit Avcısı / Keepnet Labs

Sedat Özdemir, Keepnet Labs şirketinde Siber Tehdit Avcısı olarak görev yapmaktadır. Sedat, bilgi teknolojileri, sızma testi, yazılım geliştirme ve ekip liderliği alanlarında 3 yıldan fazla deneyime sahiptir. Sedat’ın birincil odak noktası, ortaya çıkan teknoloji sorunları ve şirketler için gizlilik endişelerini gidermektir. Sedat aktif bir yazar, konuşmacıdır. Zamanını insanları siber dünyadaki güvenlik ve mahremiyet konusunda eğitmekle geçirmekten hoşlanır.

Share this post

Back to Blog