Lütfen sunucunuzu şifreleyin

Fidyeden pay alma karşılığında kendi sunucunuzu şifreler misiniz?

Fidye yazılımının bir şirket ağına girmesi, genellikle e-posta, yazılımlar açıkları veya korumasız uzak bağlantılar aracılığıyla gerçekleşir. Kötü amaçlı yazılımı, içeriden birinin kasıtlı olarak dağıtması kulağa mantıksız gelir. Ancak, gerçek hayatta karşılaşılan kanıtlar şunu gösteriyor ki; bazı saldırganlar bu dağıtım yönteminin etkili olduğunu düşünüyor ve bazıları ise fidyeden belirli bir yüzde karşılığında şirket çalışanlarını işe alıyor.

Yaratıcı bir dağıtım yöntemi

Kulağa ne kadar saçma gelse de, bazıları spam mesajlar yoluyla suç ortakları arıyor. Örneğin mesajların birinde, DemonWare fidye yazılımını şirketlerin ana Windows sunucusuna kurmak ve dağıtmak isteyen herkese doğrudan “%40, 1 milyon dolarlık bitcoin” teklif ediliyor.

Teklifle ilgilenen suç ortağı gibi görünen araştırmacılar, kötü amaçlı yazılımı başlatma talimatlarıyla birlikte dosyaya ait bir bağlantıya ulaştı. Ancak, e-postanın arkasındaki kişi görünüşe göre deneyimsiz bir siber suçluydu; araştırmacılar onu konuşturmakta hiç zorlanmadılar. Söz konusu tehditin aktörü, LinkedIn’de iletişim kuracak üst düzey yöneticiler arayan Nijeryalı genç bir adamdı. Kurumsal siber güvenlik sistemlerinin ne kadar güçlü olduğunu anlayınca orijinal planı olan e-posta ile kötü amaçlı yazılımları göndermekten vazgeçti.

Peki plandaki hata neydi?

Tehdit aktörü, hedefindeki kişileri saldırıya katılmanın güvenli olduğu konusunda ikna etmek amacıyla fidye yazılımının, olası güvenlik kamerası görüntüleri de dahil olmak üzere suçla ilgili tüm kanıtları sileceğini iddiasında bulundu ve herhangi bir ipucu bırakmamak adına yürütülebilir dosyanın silinmesini tavsiye etti. Suçlunun, suç ortaklarını kandırmayı planladığı beklense de — muhtemelen, sunucu şifrelendikten sonra, bunu yapan kişiye ne olduğu umurunda olmayacaktı — dijital adli bilişim soruşturmalarının nasıl yürütüldüğü konusunu pek fikri olduğu söylenemez.

Ayrıca DemonWare’i kullanma kararı da deneyimsizliğini ele veriyordu. Saldırganlar hala DemonWare kullanıyor olsa da söz konusu yazılım aslında kaynak kodu GitHub’da bulunan çok da karmaşık olmayan bir kötü amaçlı yazılımdır. İddiaya göre yazılımın yaratıcısı kötü amaçlı yazılımı, fidye yazılımı yazmanın ne kadar kolay olduğunu göstermek için geliştirmişti.

Kendinizi korumanın yolları

Bu spesifik bir örnek olsa da, şirket içinden kişilerin bir fidye yazılımı saldırısına katılması tamamen gerçekçi bir ihtimaldir. Bununla birlikte, birinin bir ağ üzerinde kötü amaçlı yazılım başlatmasından çok daha olasıdır. Ancak bu senaryoda, şirketin bilgi sistemine erişimin birisi tarafından satılması söz konusudur.

Kurumsal ağlara erişim uzun süredir dark web’de olan bir pazar ve fidyeciler genellikle — İlk Erişim Aracıları (Initial Access Brokers) diye bilinen — diğer siber suçlulardan erişim satın alıyor. Şirket ağına veya bulut sunucularına uzaktan erişim için veri satın almakla özellikle ilgilenebilecek kişiler onlar. Şirketle sorun yaşayan veya işten atılan çalışanlara yönelik bu tür satın alma reklamları dark web’de dolaşıyor.

Kimsenin, fidyecilerin ağlarınıza girmesine izin vererek şirketinizin güvenliğini tehlikeye atmamasını sağlamak adına şunları yapmanızı öneriyoruz:

  • En az ayrıcalıklı bir strateji benimseyin,
  • Dikkatli bir şekilde şirket ağına ve sunucularına erişim girişimlerinin kayıtlarını tutun ve çalışanlar işten çıkarıldığında sahip oldukları hakları iptal edin ve şifreleri değiştirin,
  • Her sunucuya, günümüz kötü amaçlı yazılımlarına karşı koyabilecek güvenlik çözümleri yükleyin,
  • Altyapınızdaki şüpheli etkinliği, henüz saldırganlar ciddi bir hasar verme şansı yakalamadan tespit etmeye yardımcı olan Yönetilen Tespit ve Yanıt çözümleri kullanın.
İpuçları