Wannacry Siber Saldırısı ve Çözüm Önerileri

Wannacry Siber Saldırısı ve Çözüm Önerileri

WannaCry (WCRY) Nedir?

TheShadowBrokers* geçtiğimiz nisan ayında NSA tarafından geliştirilen FUZZBUNCH isimli exploiti sızdırdı. Sızdırılan kit içerisinde pek çok zararlı exploit bulunmakta, bunlardan ikisi olan EternalBlue exploiti ve DOUBLEPULSAR payloadı birlikte kullanıldığında Windows sistemlerdeki SMB servisinin açığını kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamakta.

MS17-010 (CVE-‎2017-0144) kodu ile isimlendirilen bu zafiyet WannaCry adı verilen bir fidye yazılımı tarafından kullanılmaya başlandı, yazılım bir sisteme bulaştığında ağda MS17-010 zafiyetinin olduğu sistemleri tarayarak zafiyet barındıran sistemleri de etkilemektedir.

Fidye yazılımı nasıl yayılmaktadır?

Windows sistemlerdeki SMB protokolünü kullanarak yayılmaktadır. NSA tarafından geliştirilen bir exploit kiti NSA’den sızdırıldıktan sonra fidye yazılımı geliştirilmesinde kullanıldı ve internet üzerinde yayılmaya başladı.

Hangi işletim sistemleri etkilenmektedir?

Aktif kullanılan tüm Windows sistemler Wannacry zararlı fidye yazılımından etkilenmektedir.

  • Windows XP
  • Microsoft Windows Vista SP2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2012 and R2
  • Windows Server 2016

Windows XP için de güncelleme var!

Microsoft, destek vermeyi kestiği Windows XP için oldukça sıra dışı bir karar aldı ve hali hazırda WannaCry saldırısı için yayınladığı güvenlik güncellemesini Windows XP için de hazırlayarak, güncelleme paketi yayınlandı.

WannaCry e-posta üzerinden yayılabilir mi?

E-posta ile yayılma yöntemi, gönderilen bir bağlantı ve bu bağlantı tıklandığında indirilen zararlı yazılım aracılığıyla gerçekleşmektedir. Yayınlanan raporlarda kurumsal ağlara yapılan oltalama saldırıları ile de WannaCry’in yayıldığı belirtilmektedir.

Bu konuda e-posta servislerinin bağlantıları ve dosyaları tarayacak şekilde ayarlanması ve güncellenmesi önerilmektedir.

E-posta üzerinden gelebilecek tehditlere karşı kullandığım sistemleri nasıl test edebilirim?

Sinara Labs tarafından sunulan ETS hizmetini kullanabilirsiniz. ETS, e-posta servisinizin siber saldırılar karşısındaki durumunu ve iyileştirmelerini rapor olarak sunan ücretsiz bir hizmettir. Sisteme buradan kayıt olabilirsiniz.

Sistemlerime bulaştı mı? Nasıl tespit edebiliriz?

Siber Tehdit İstihbaratı destekli bir çözüm kullanıyorsanız IoC sisteminize ekleyerek geriye doğru ilgili ip adreslerine veya domainlere erişim denemelerinin olup olmadığının kontrol edebilirsiniz.

Henüz fidye yazılımı bulaşmadıysa ip adreslerinizi taratarak açıklığın sistemlerinizde olup olmadığını tespit edebilirsiniz.

Bazı sistemlerimize bulaştığını tespit ettik ne yapmalıyız?

Fidye yazılımının bulaştığı tespit edilen sistemin ilk olarak ağ bağlantısı devre dışı bırakılmalı, bu şeklide diğer sistemlere yayılması önlenebilir. Nasıl bulaştığı konusunda tersine mühendislik incelemeleri yaparak diğer sistemlerinize bulaşmasını önleyici aksiyonlar alabilirsiniz.

Kurumsal bir şirket çalışanı ne yapmalıdır?

Kullanılan Windows işletim sistemlerinin güncellemelerini yaparak MS17-010 kodlu yamanın yüklendiğinden emin olmalısınız.

  • İnternet hizmeti veren sistemlerden 445/TCP portu açık olanlar kapatılmalı.,
  • SPF, DMARC, DKIM kontrolleri mutlaka gerçekleştirin.
  • Kullanıcı yetkilerini kontrol edip, gerekli en düşük yetki ile çalışmalarını sağlayın.
  • Ortak hesap kullanılmamalı, her sisteme özgü hesap oluşturulmalı.
  • Kullanıcıların okuma yetkisine ihtiyacı varsa yazma yetkisi vermeyin.
  • Çalışanları siber saldırılara karşı bilinçlendirecek bir eğitim programı uygulanmalı.
  • Ağınızdaki zafiyetleri keşfedip önlem almak için sızma testi yaptırılmalı.
  • Düzenli olarak yedek alınmalı

Benzer zararlı yazılımlardan erkenden haberdar olmak için neler yapmalıyım?

Çalışanlara sosyal mühendislik denemeleri yaparak zararlı yazılımlar konusunda farkındalıkları arttırılabilir ve NormShield Threat Intel ücretsiz hizmetini kullanarak Wannacry veya benzeri siber tehditlerde önceden haberdar olup bulaşmasını engelleyebilirsiniz.

Her zaman olduğu gibi yedekli çalışmanız ve özellikle Windows sunucularınızda gerekli güvenlik önlemlerini ve güncelleştirmeleri sağlamanız önermekteyiz.

TheShadowBrokers: Hacker Grubu.
Ransomware: Bulaştığı sistemdeki verileri şifreleyip, çözmek için para talep eden worm türevi yazılımlara verilen genel isim.
Exploit: Bir bilgisayar programı veya işletim sistemindeki hataları kötüye kullanmak için hazırlanmış küçük yazılımlar.

Ransomware Etkisi Tüm Dünyaya Yayılıyor

Ransomware Etkisi Tüm Dünyaya Yayılıyor

Dünya çapında etkiye sahip olan ve 100’den fazla ülkeye yayıldığı bilinen Ransomware zararlı yazılım saldırısının, Türkiye’yi de etkisi altına aldığı BTK tarafından doğrulandı, Avast’tan verilen bilgilere göre 12.05.2017 tarihinde Türkiye saatiyle 9’da başlayan saldırı ile saatler içerisinde 200 bin’e bilgisayar etkilendi.

Aralarında Türkiye’nin de bulunduğu 100’den fazla ülkeye yayıldığı bilinen zararlı yazılım, WanaCrypt0r 2.0 adını taşıyor.

Ağırlıklı olarak kurumların hedef alındığı siber saldırıda en ağır hasarı, İçişleri Bakanlığı‘ndaki bine yakın bilgisayarı etkilenen Rusya almış görünüyor. Saldırı sayısı açısından Rusya’yı, Tayvan ve Ukrayna izledi. Sayısal olarak daha az saldırıya maruz kalmasına karşın İngiltere, saldırılardan daha ağır etkilendi ve sağlık sistemi çöktü. Türkiye ise 150 ülke arasında en yoğun saldırıya maruz kalan 14’üncü ülke oldu.

BTK Başkanı Ömer Fatih Sayan kişisel twitter hesabından Türkiye dahil 74 ülkeye siber saldırısı yapıldığını ve Wcry zararlısından korunmak için Windows sistemleri ve antivirüsleri güncelleyin! Sisteminizi taratmayı ihmal etmeyin” paylaşımını yaptı.

New York Times’ta konu hakkındaki bir yazıda, zararlı yazılımın ABD Ulusal Güvenlik Ajansı (NSA) tarafından bulunan ve geliştirilen bir sistem açığını kullandığını iddia ediliyor.

Bu yazılımlar, sisteme sessizce sızdıktan sonra tüm verileri şifreliyor ve şifre anahtarını başka bir sunucuya kayıt ettikten sonra uyarı veriyor. Belirli bir miktar Bitcoin, istenen hesaba gönderilmezse, şifreli verilerin anahtarının sunucudan da silineceği söylenerek, kullanıcıya süre veriliyor.

Sunucunuzu ve Bilgisayarlarınızı Güncelleyin ve Koruyun

Güvenlik uzmanı Ryan Naraine’in bir tweet’i saldırının güncel olmayan sistemlerde etkili olduğunu ortaya çıkardı. Microsoft’un 14 Mart’ta yayımladığı MS17-010 yaması, saldırının olmasını önlerken, Kaspersky’nin SystemWatcher bileşeninin de saldırıları gerçek zamanlı olarak önlediğini ortaya çıkardı.

İngiltere’de bir bölgede sağlık IT sisteminin siber saldırı sonucu çökmesinin ardından tüm ülkede olası bir saldırıya karşı alarm durumuna geçildi. NHS’in bilgi işlem uzmanlarının sorunun çözülmesi için hali hazırda çalışmalarını yoğun bir şekilde sürdürüldüğü bildirildi.

İspanya’da hükumet yetkililerinin ve Ulusal İstihbarat Merkezinin doğruladığı siber saldırılarda, başta Telefonica olmak üzere elektrik şirketi Ibedrola, enerji şirketi Gas Natural, bankacılık grubu BBVA’nın da aralarında bulunduğu ülkenin en önemli şirketlerinden bazılarının hedef alındığı bildirildi.

Siber saldırının Çin merkezli olduğu ve WannaCry adlı kötü amaçlı yazılım aracılığıyla yapılan saldırının 74 ülkede daha görüldüğü kaydedildi.

Bu nedenle her zaman olduğu gibi yedekli çalışmanız ve özellikle Windows sunucularınızda gerekli güvenlik önlemlerini ve güncelleştirmeleri sağlamanız önerilmektedir.

CEO’ların Siber Saldırılardan Haberi Yok

CEO’ların Siber Saldırılardan Haberi Yok

VMware’in yeni araştırmasına göre, şirketlerde CEO’lar siber saldırılardan haberdar edilmiyor.

Avrupa ve Ortadoğu’daki 12 ülkede, 1.700 bilişim teknolojisi yöneticisi ve 3.500 ofis çalışanının görüşlerini toplayan VMware araştırmasından elde edilen verilere göre Avrupa, Ortadoğu ve Afrika bölgesindeki bilişim teknolojisi liderleri siber saldırıları kıdemli liderlere bildirmiyor. Avrupa, Ortadoğu ve Afrika’daki kurumsal liderlerin sadece %8’i siber güvenliği, BT inisiyatiflerini yeniden değerlendirmek için bir öncelik olarak görüyor.

Şirketlerin üçte birinden fazlası ise önlerindeki 90 gün içinde ciddi bir siber saldırıyla karşılaşmayı bekliyor. Bulut altyapısı ve Kurumsal mobilitede lider VMware tarafından pazar araştırmalarında uzman ajans Vanson Bourne’a yaptırılan araştırmada bilişim teknolojisi karar vericilerinin neredeyse üçte birinin (%30), Avrupa, Ortadoğu ve Afrika’daki ofis çalışanlarının ise neredeyse dörtte birinin (%23) ciddi veri ihlallerinde CEO’nun sorumlu tutulması gerektiğine inandığını ortaya koyuyor. Buna karşın, bilişim teknolojisi karar vericilerinin dörtte biri (%25), ciddi veri ihlallerini kıdemli yönetim sorumlularına iletmediklerini kabul ediyor.

Bilgilerin açıkça iletilmesinde yaşanan bu eksiklik, şirketin sorumluluğunu üstlenenlerin, ihlallerin yol açtığı riskler söz konusu olduğunda, tablonun tamamından haberdar olmadıklarına işaret ediyor. Bu durum ayrıca, bu yılın başlarında VMware’in sponsor olduğu ve Economist Intelligence’ın yürüttüğü diğer bir araştırmada da gözlemlenmiş, Avrupa, Ortadoğu ve Afrika’daki kurumsal liderlerin sadece yüzde sekizinin siber saldırıları şirketleri için bir öncelik olarak değerlendirdiği bulgusu ortaya çıkmıştı.

Siber saldırılar arttıkça ve kurumlar için daha büyük zararlara yol açtıkça (fikri mülkiyet hakları, rekabetçi konumlanma ve müşteri verileri) performans ve markaya dair bu kopukluğun potansiyel etkisi de büyük önem kazanıyor.

Zayıf noktalar, güvenlik konusunda yeni bir yaklaşım gerektiriyor

Şirketler ciddi siber saldırılardan kaynaklanan tehlikelerle gitgide daha sık yüz yüze geliyor; öyle ki üçte birinden fazlası (%37) 90 gün içinde bir siber saldırıya maruz kalabileceğini düşünüyor. Giderek daha da dijitalleşen iş dünyasının karmaşıklıkları arttıkça, mevcut güvenlik yöntemlerinin yetersiz kalabileceği düşünülüyor. Hatta Avrupa, Ortadoğu ve Afrika bölgesinde her üç bilişim teknolojisi karar vericisinin 1’den fazlası, kurumlarının bir siber saldırı karşısındaki en önemli zayıflığının, tehditlerin savunmalarından daha hızlı olmasından kaynaklandığına inanıyor.

VMware Avrupa, Ortadoğu ve Afrika Baş Teknoloji Yöneticisi Joe Baguley konu hakkında şöyle görüş bildiriyor:

Kurum liderleri ile BT karar vericileri arasındaki kopukluk, kurumlar sınırları zorladıkça, dönüştükçe ve farklılaştıkça ve bunların yanı sıra sürekli evrilen tehditlere karşı şirketlerini korumaya çalıştıkça karşılaştıkları güçlüklerin bir semptomu olarak ortaya çıkıyor.

Bugünün en başarılı kurumları son derece hızlı hareket edip karşılık verebilir ve markalarını ve müşterilerinin kendilerine duyduğu güveni koruyabilirler. Uygulamaların ve kullanıcı verilerinin şimdiye kadar hiç görülmemiş bir oranda her noktada ve çok sayıda cihazda yer aldığı bir ortamda bu şirketler, günümüzün dijital şirketlerini koruyamayacak geleneksel BT güvenliği yaklaşımlarının ötesine geçmeyi başarıyor.

İnsanlar ve süreçler de en az teknolojinin kendisi kadar soruna yol açabiliyor kurumların güvenliğindeki en büyük zaaflardan bir kısmı kurumun içinden kaynaklanıyor: Özensiz veya siber güvenlik konusunda eğitimsiz çalışanlar kurumlarını en büyük güçlüklerle yüz yüze bırakabiliyorlar (Avrupa, Ortadoğu ve Afrika’daki bilişim teknolojisi karar vericilerinin %45’inin değerlendirmesi). Bugünkü araştırmada ayrıca üretkenliği artırmak için çalışanların atmak istediği adımlar da ortaya çıkıyor. Bunların neredeyse dörtte biri (%21) Kurumsal verilere girmek için kişisel cihazlarını kullanıyor ve yaklaşık beşte biri (%17), işlerini etkin bir şekilde yürütmek adına kurumun güvenliğini ihlal edebiliyor.

“Güvenlik sadece teknolojiyi ilgilendiren bir şey değildir. Araştırmadan elde edilen bulgulara göre, insanların kararları ve davranışları kurumun bütünlüğünde önemli bir etkendir” diyen Baguley şöyle devam ediyor: “Ne var ki, bu, kilit altında tutmak veya korku kültürü yaymak anlamına da gelmez. Akıllı kurumlar kısıtlayıcı değil işleri kolaylaştırıcı olanlardır; gelişmeyi teşvik eder, başarılı olmak adına süreçlere uyum sağlar ve operasyonlarını dönüştürür.” “İleriyi gören kurumlar, bugünün reaktif güvenliğinin, uygulamaları ve verileri koruma işini başaramadığını görüyorlar. bilişim teknolojileri konusunda yazılım tanımlı bir yaklaşım benimseyerek güvenliği garanti altına almak, tüm mimariyi değiştirebilir; bunu yapan kurumlar hem güvenlik hem de dijital alanda başarı için gereken esnekliği kazanmaktadırlar.”

Türkiye’de En Çok Karşılaşılan Beş Siber Saldırı Türü

Türkiye’de En Çok Karşılaşılan Beş Siber Saldırı Türü

Siber saldırganların durmaksızın sürdürdüğü saldırılar, kimi zaman kullanıcıları kimi zaman da şirketler ve devlet kurumlarını hedef alıyor. Türkiye ise her zaman en çok saldırı alan ülkelerin arasında yer alıyor. Trend Micro’nun yayınladığı güvenlik raporlarına göre ise Türkiye en çok siber saldırıya uğrayan ülkeler arasında son yıllarda hep ilk beş arasında yer alıyor. Peki, Türkiye en çok hangi siber saldırı çeşitlerine maruz kalıyor?

Trend Micro, Türkiye’nin en fazla maruz kaldığı siber saldırı çeşitlerini açıklıyor.

Fidye yazılımları

Fidye yazılımlarını; kullanıcıların dosyalarını ve cihazlarını şifreleyip, bu tekrar ulaşabilmek için kişileri ücret ödemeye zorlayan bir zararlı yazılım şeklinde tanımlayabiliriz. Cryptolocker ise Türkiye’de en çok görülen fidye yazılımı çeşitlerinden birisi olarak karşımıza çıkıyor. Genellikle sahte e-postalarla kullanıcılara yollanan sahte faturalara saklanıyorlar. Cryptolocker kişilerin ya da kurumların verilerini ve cihazlarını şifreleyerek erişilemez hale getiriyor. Kullanıcılar ise karşılaştıkları kilit ekranında yönlendirildikleri noktalara ödeme yapmak zorunda bırakılıyor. Trend Micro’nun araştırma birimi TrendLabs’ın verilerine göre 2015 yılının ikinci yarısında 4 milyondan fazla fidye yazılımı çeşidi gözlemlendi. 2016’da ise fidye yazılımlarının artarak devam edeceği öngörülüyor.

Olta saldırıları

Phishing, yani olta saldırısı olarak da adlandıran bu siber saldırılar tamamen karşıdaki kişiyi aldatma esasına dayanan bir yöntem. Bu saldırının amacı ise hedefteki kişinin şifrelerini ve kullanıcı hesaplarını ele geçirmek. Siber saldırganlar bir kurumdan yollanmış gibi hazırladıkları e-postalarla, kullanıcıları bu kurumların adını kullanarak hazırladıkları sahte sitelere yönlendiriyorlar. Bu siteler genellikle orijinal site ile çok benzer bir kullanıcı ara yüzü kullanıyorlar.

Bundan dolayı kullanıcılar aradaki farkı anlayamıyorlar ve kendi hesaplarına eriştiklerini zannediyorlar. Kullanıcı adı ve şifresi kısmına bilgilerini girdiklerinde ise bu bilgiler bilgisayar korsanları tarafından çalınıyor. Bu yöntem Türkiye’de özellikle kullanıcıların banka hesapları ya da sosyal medya profillerini ele geçirmek için kullanılıyor.

Kredi kartı dolandırıcılıkları

Siber suçlular kullanıcılara özellikle herkesin ilgi gösterdiği ürünler için çeşitli kampanya, fırsat ve indirimler içeren sahte sipariş sayfalarını içeren e-postalar yolluyorlar. Bu e-postalar özellikle Sevgililer Günü, Anneler Günü, Babalar Günü ve Yıl Başı gibi birçok kişinin birbirine özellikle online alışveriş yaparak hediye aldığı dönemlerde oldukça yoğunlaşıyor. Bu e-postalardaki bağlantılara tıklayıp sahte sipariş sayfalarından alışverişini yapan kişilerin kredi kartı bilgileri bilgisayar korsanları tarafından çalınıyor.

DDoS saldırıları

Özellikle son dönemde Türkiye’nin gündemini meşgul eden yoğun bir saldırı dalgasında kullanılan DDoS yöntemi aslında basit bir siber saldırı biçimi. DDoS (Distributed Denial of Service Attack) saldırıları genellikle bant genişliğini istilaya uğratarak sistemleri ve sunucuları hizmet veremez hale getiren bir saldırı çeşididir. Yani ağ üzerinde çok yoğun bir trafik yaratarak sistemleri kilitler.

Mobil tehditler

Mobil cihazların artışıyla iletişim, dolayısıyla veri miktarı sürekli artıyor. Bundan dolayı mobil tehditler giderek daha tehlikeli hale geliyor. Özellikle Android platformundaki güvenlik problemlerinden dolayı birçok zararlı yazılım mobil cihazlara indiriliyor. Akıllı telefon kullanımının oldukça yaygın olduğu ülkemizde 2015’in üçüncü çeyreğinde kullanıcılar zararlı ve yüksek tehlike içeren mobil uygulamaları tam 160 bin 717 kez telefonlarına indirdi. TrendLabs tarafından kullanıcıların indirdikleri bu uygulamaların içinde 2 bin 681 adet virüs keşfedildi. Trend Micro’nun verilerine göre 2016 yılında mobil zararlı yazılımların sayısının 20 milyona çıkacağı öngörülüyor.

Avrupa Birliği Veri Koruma Tüzüğünü Onayladı

Avrupa Birliği Veri Koruma Tüzüğünü Onayladı

Avrupa Parlamentosu üyeleri yasama sürecindeki son onayı da vererek genel veri koruma tüzüğünü onayladı. 1995 yılında ilk yayınlanan direktif verilerin korunması ile ilgili iç hukuklara da doğrudan etkili olamadığı için ve düzenlemeler yapılması gerekliliğinden çıkış tarihinde internet’in ve kişisel verilerin kullanım düzeyini de düşünürsek bir düzenleme gerektiriyordu.

95/46 sayılı Direktif’ten farklı olarak Tüzük (GDPR), tüm Birlik üyelerinde aynı anda yürürlüğe girecek ve Mayıs 2018 tarihi itibarı ile Tüzüğe uyumlu hale gelinmek zorunda kalınacak.

Unutulma hakkı, veri ihlali bildirimi yükümlülüğü, veri koruma görevlisi istihdam etme yükümlülüğü ve yasa ihlali halinde uluslararası cironun %4’üne varan para cezaları söz konusu.

Tüzük hakkında detaylı bilgi almak için bu sayfayı ziyaret edebilirsiniz.