TR-19-088 (Artan Ransomware Saldırıları Hakkında USOM Bildirimi)

Genel Bilgi

Ransomware; bilgisayar, mobil telefon, tablet gibi dijital veriyi işleyebilen cihazlara bulaşıp, kullanıcılara ait verileri çözülmesi zor olan şifreleme algoritmaları ile şifreleyen ve bilgisayardaki farklı formatlarda bulunan (.doc, .pdf, .xls, .jpeg, .avi) verilere erişimi engelleyerek, yeniden erişim karşılığında fidye ödemesi talebinde bulunan zararlı yazılım sistemleridir. Genellikle website pop-up pencereler, güvenilir görünümlü oltalama (phishing) e-postalar ya da belirlenen bir IP aralığındaki üzerinde zafiyet bulunan uzak masaüstü paylaşımlara bruteforce saldırılar tertipleyerek sisteme girerler. Bir noktaya kadar otomatize ilerleyen zararlı, mağdur bilgisayara bulaştıktan sonra arkadaki saldırganın direktiflerini iletir. Siber saldırganlar ele geçirdikleri sistemlerin gerçek yönetici ve kullanıcılarının kendi sistemlerine erişimini engellemek için asal sayı tabanlı bir algoritma olan RSA şifreleme metodunu kullanırlar.  Benzer bir algoritma ile veri güvenliğini sağlayan koruma mekanizmalarını da saf dışı bırakarak dışarıdan gelen zararlı yazılımın sistem içerisinde güvenli olarak algılanmasını sağlarlar.

Türleri

Dünyada olduğu gibi, ülkemizde de son günlerde artış gösteren ransomware (veri fidyeciliği) saldırıları hızla artmaya başlamıştır. Ransomware-as-a-service (RaaS) konseptinin yaygınlaştığı son yıllardaki ransomware türleri client-side, server-side, hibrit ve solucan olarak kategorize edilebilir. İlk örneği 1989 yılında ortaya çıkan (PC Cyborg) ransomware zararlıları 2005 yılından sonra çeşitlilik göstermeye başlamıştır. Yıllara göre tespit edilen yaygın ransomware türleri aşağıdaki gibidir:

YIL

Ransomware Adı

1989

Aids Trojan, aka PC Cyborg

2005

gasp

2006

Gpcode, troj.ransom.a, Archiveus, Krotten, Cryzip ve MayArchive

2008

Gpcode.AK

2010

WinLock

2011

Windows sistemleri hedef alan isimsiz bir fidye yazılımı, sistemi kilitleyip Windows ürününü aktifleştirmek için sahte telefon sayfasına yönlendirerek ödeme talebinde bulundu.

2012

W32/Reveton

2013

CryptoLocker, Stamp, Cryptorbit, CryptoLocker 2.0

2014

CTB-Locker, CryptoWall, Cryptoblocker, SynoLocker

2015

TeslaCrypt, VaultCrypt, CryptoWall 2.0-3.0-4.0, SamSam

2016

Locky

2017

BadRabbit, WannaCry, NotPetya, Hidden Cobra

2018

PUBG, Dcrtr, New Matrix, Ryuk

2019

GrandCrab, Philadephia, Cerber, Dharma, Jigsaw, LockerGoga, SamSam

Etki

Ransomware saldırısı sonucu etkilenen sistemlerin siber saldırganlar tarafından kontrol altına alınması muhtemeldir.

Çözüm & Öneriler

Ulusal Siber Olaylara Müdahale Merkezi (USOM), ransomware saldırıları risk seviyelerini en aza indirebilmek için virüs koruma programları, tarayıcılar başta olmak üzere, gerekli yazılımların ve işletim sistemi güncellemelerinin yapılmasını önemle tavsiye etmektedir. Ayrıca aşağıdaki öneriler çerçevesinde kişiye özgü olarak geliştirilebilecek kullanıcı odaklı öz-denetim korunma sistemine uyumlu kalmak tavsiye edilmektedir;

  • Kullanılan işletim sistemi ve programların yama güncellemelerini ve güvenlik bildirimlerini takip ederek gerekli güncellemeleri zamanında yapmak,
  • Kolay tahmin edilebilecek şifre kullanımından kaçınarak, belirli zaman aralıklarında şifre güncellemeleri yapmak,
  • İki taraflı doğrulama mekanizmaları (2AF) kullanmak,
  • Düzenli yedeklemeler yapmak,
  • Açılmak istenen linklerin farkında olmak,
  • E-posta eklenti dosyalarını ortama indirirken uzantı ve içeriğine karşıt temkinli olmak,
  • Ekran görüntüleri ve diğer ek kanıtlarla 72 saat içerisinde USOM iletişim hatlarına olay bildirimi yapmak,

Ayrıca USOM Güvenlik Bildirimleri Sayfasını takip ederek güncel saldırılar hakkında bilgi sahibi olabilirsiniz.

2019-07-30