VNDirect saldırıya uğradı: Fidye yazılımı ne kadar tehlikeli?

VNDirect Davası ve Fidye Yazılımını Tehlikeli Yapan Nedir?

24 Mart 2024'te, Vietnam'daki VNDirect Menkul Kıymetler Şirketi, uluslararası fidye yazılımı saldırılarının en yoğun yaşandığı merkez haline geldi. Bu saldırı münferit bir vaka değil.

Mağdurun sistemindeki verileri şifreleyip şifresini çözmek için fidye talep etmeyi amaçlayan bir kötü amaçlı yazılım türü olan fidye yazılımı, günümüz dünyasında en yaygın ve tehlikeli siber güvenlik tehditlerinden biri haline gelmiştir. Dijital verilere ve bilgi teknolojilerine toplumsal yaşamın her alanında artan bağımlılık, kurumları ve bireyleri bu saldırılara karşı savunmasız hale getirmektedir.

Fidye yazılımlarının tehlikesi yalnızca verileri şifreleme yeteneğinde değil, aynı zamanda yayılma ve fidye talep etme biçiminde de yatmaktadır. Bu da bilgisayar korsanlarının yasadışı kazanç elde edebileceği bir finansal işlem kanalı oluşturmaktadır. Fidye yazılımı saldırılarının karmaşıklığı ve öngörülemezliği, onları günümüzde siber güvenliğin karşı karşıya olduğu en büyük zorluklardan biri haline getirmektedir.

VNDirect saldırısı, fidye yazılımlarını anlamanın ve önlemenin önemini çarpıcı bir şekilde hatırlatıyor. Fidye yazılımlarının nasıl çalıştığını ve oluşturduğu tehdidi anlayarak, kullanıcıları eğitmekten teknik çözümler uygulamaya ve kritik veri ve bilgi sistemlerini korumak için kapsamlı bir önleme stratejisi oluşturmaya kadar etkili koruma önlemleri alabiliriz.

Fidye Yazılımı Nasıl Çalışır?

Siber güvenlik dünyasında korkutucu bir tehdit olan fidye yazılımları, karmaşık ve çok yönlü bir şekilde işleyerek kurbanları için ciddi sonuçlara yol açar. Fidye yazılımlarının nasıl çalıştığını daha iyi anlamak için saldırı sürecinin her adımını derinlemesine incelememiz gerekir.

Enfeksiyon

Saldırı, fidye yazılımının bir sisteme bulaşmasıyla başlar. Fidye yazılımının kurbanın sistemine girmesinin birkaç yaygın yolu vardır, bunlar arasında şunlar bulunur:

Oltalama e-postaları: Kötü amaçlı ekler veya kötü amaçlı kod içeren web sitelerine bağlantılar içeren sahte e-postalar; Güvenlik açıklarından yararlanma: Kullanıcı etkileşimi olmadan otomatik olarak fidye yazılımı yüklemek için yama uygulanmamış yazılımlardaki güvenlik açıklarından yararlanma; Kötü amaçlı reklamcılık: Kötü amaçlı yazılımları dağıtmak için internet reklamlarını kullanma; Kötü amaçlı web sitelerinden indirmeler: Kullanıcılar, güvenilmeyen web sitelerinden yazılım veya içerik indirir.

Şifreleme

Fidye yazılımı, bulaştıktan sonra kurbanın sistemindeki verileri şifreleme sürecini başlatır. Şifreleme, verileri şifre çözme anahtarı olmadan okunamayacak bir biçime dönüştürme işlemidir. Fidye yazılımları genellikle güçlü şifreleme algoritmaları kullanır ve şifrelenmiş verilerin belirli bir anahtar olmadan kurtarılamamasını sağlar.

Fidye talebi

Fidye yazılımı, verileri şifreledikten sonra kurbanın ekranında, verilerin şifresini çözmek için fidye talep eden bir mesaj görüntüler. Bu mesaj genellikle ödeme talimatlarını (suçlunun kimliğini gizlemek için genellikle Bitcoin veya diğer kripto para birimleriyle) ve ödeme için son tarihi içerir. Bazı fidye yazılımı sürümleri ayrıca, fidye ödenmezse verileri silmekle veya yayınlamakla tehdit eder.

İşlemler ve şifre çözme (veya çözmeme)

Mağdur daha sonra zor bir kararla karşı karşıya kalır: Fidyeyi ödeyip verilerini geri almayı ummak ya da reddedip sonsuza dek kaybetmek. Ancak, ödeme yapmak verilerin şifresinin çözüleceğini garanti etmez. Aksine, suçluları eylemlerine devam etmeye teşvik edebilir.

Fidye yazılımlarının çalışma şekli yalnızca teknik gelişmişliği değil, aynı zamanda üzücü bir gerçeği de ortaya koyuyor: Kullanıcıların saflığını ve bilgisizliğini istismar etme isteği. Bu durum, kimlik avı e-postalarını tanımaktan güncel güvenlik yazılımlarına kadar siber güvenlik farkındalığını ve bilgisini artırmanın önemini vurguluyor. Fidye yazılımı gibi sürekli gelişen bir tehdit söz konusu olduğunda, eğitim ve önleme her zamankinden daha önemli.

Fidye Yazılımının Yaygın Çeşitleri

Sürekli gelişen fidye yazılımı tehditleri dünyasında, bazı varyantlar karmaşıklıkları, yayılma kabiliyetleri ve dünya genelindeki kuruluşlar üzerindeki ciddi etkileriyle öne çıkıyor. İşte yedi popüler varyantın açıklamaları ve çalışma şekilleri.

REvil (Sodinokibi olarak da bilinir)

Özellikler: REvil, siber suçluların kendi saldırılarını gerçekleştirmek için "kiralamalarına" olanak tanıyan bir Fidye Yazılımı Hizmeti (RaaS) türüdür. Bu, fidye yazılımının yayılma kapasitesini ve kurban sayısını önemli ölçüde artırır.

Yayılma Yöntemleri: Güvenlik açıkları, kimlik avı e-postaları ve uzaktan saldırı araçları aracılığıyla dağıtım. REvil ayrıca verileri otomatik olarak şifrelemek veya çalmak için saldırı yöntemleri kullanır.

Ryuk

Özellikler: Ryuk, fidye ödemelerini en üst düzeye çıkarmak için öncelikle büyük kuruluşları hedef alır. Her saldırı için kendini özelleştirebilme özelliğine sahip olduğundan, tespit edilip kaldırılması zordur.

Yayılma yöntemi: Ryuk, Trickbot ve Emotet gibi diğer kötü amaçlı yazılımlarla enfekte olmuş ağlar ve kimlik avı e-postaları aracılığıyla ağ verilerini yayıyor ve şifreliyor.

Robinhood

Özellikler: Robinhood, hükümet sistemlerine ve büyük kuruluşlara saldırma yeteneğiyle biliniyor; dosyaları kilitlemek ve büyük fidyeler talep etmek için gelişmiş bir şifreleme taktiği kullanıyor.

Yayılma yöntemi: Kimlik avı kampanyaları yoluyla ve yazılımlardaki güvenlik açıklarından yararlanılarak yayılma.

DoppelPaymer

Özellikler: DoppelPaymer, verileri şifreleyerek ve fidye ödenmediği takdirde bilgileri ifşa etmekle tehdit ederek ciddi hasara yol açma yeteneğine sahip bağımsız bir fidye yazılımı türüdür.

Yayılma yöntemi: Uzaktan saldırı araçları ve kimlik avı e-postaları aracılığıyla yayılır, özellikle yama uygulanmamış yazılımlardaki güvenlik açıklarını hedef alır.

YILAN (EKANS olarak da bilinir)

Özellikler: SNAKE, endüstriyel kontrol sistemlerine (ICS) saldırmak için tasarlanmıştır. Verileri şifrelemekle kalmaz, aynı zamanda endüstriyel süreçleri de bozabilir.

Yayılma yöntemi: Belirli endüstriyel sistemleri hedef almaya odaklanarak, kimlik avı ve istismar kampanyaları yoluyla.

Phobos

Özellikleri: Phobos, bir başka fidye yazılımı türü olan Dharma ile birçok benzerliğe sahiptir ve genellikle RDP (Uzak Masaüstü Protokolü) aracılığıyla küçük işletmelere saldırmak için kullanılır.

Yayılma yöntemi: Öncelikle saldırganların uzaktan fidye yazılımına erişip dağıtmasına olanak tanıyan, açık veya savunmasız RDP yoluyla.

LockBit

LockBit, Fidye Yazılımı Hizmeti (RaaS) modeli altında çalışan ve işletmelere ve devlet kurumlarına yönelik saldırılarıyla bilinen popüler bir fidye yazılımı türüdür. LockBit, saldırılarını üç ana aşamada gerçekleştirir: güvenlik açıklarından yararlanma, sisteme derinlemesine nüfuz etme ve şifreleme yükünü dağıtma.

Aşama 1 - İstismar: LockBit, kimlik avı e-postaları veya intranet sunucularına ve ağ sistemlerine yönelik kaba kuvvet saldırıları gibi sosyal mühendislik tekniklerini kullanarak ağdaki güvenlik açıklarından yararlanır.

Aşama 2 - Sızma: Sızma sonrasında LockBit, erişim seviyesini artırmak ve sistemi şifreleme saldırısına hazırlamak için bir "sömürü sonrası" araç kullanır.

Aşama 3 - Dağıtım: LockBit, şifrelenmiş yükü ağdaki erişilebilir her cihaza dağıtır, tüm sistem dosyalarını şifreler ve bir fidye notu bırakır.

LockBit ayrıca, ağ tarayıcılarından uzaktan yönetim yazılımlarına kadar, ağ keşfi, uzaktan erişim, kimlik bilgisi hırsızlığı ve veri sızdırma gibi saldırı süreçlerinde bir dizi ücretsiz ve açık kaynaklı araç kullanır. LockBit, bazı durumlarda fidye talepleri karşılanmadığı takdirde kurbanın kişisel verilerini ifşa etmekle bile tehdit eder.

Karmaşıklığı ve yaygın yayılma yeteneğiyle LockBit, modern fidye yazılımı dünyasının en büyük tehditlerinden birini temsil etmektedir. Kuruluşların, kendilerini bu fidye yazılımından ve türevlerinden korumak için kapsamlı bir güvenlik önlemi seti benimsemeleri gerekmektedir.

Dao Trung Thanh

Ders 2: VNDirect saldırısından fidye yazılımı önleme stratejisine