Colorado’da bulunan veri depolama şirketi Spectra Logic’te üst düzey IT yöneticisi olan Tony Mendoza için her zamanki bir Salı günüydü. Ta ki fidye yazılımı saldırısı başlayana kadar…
“Ciddi anlamda anormal olan sistem hataları bildirimleri almaya başladık. Sonradan birçoğu birbiriyle alakasız sistem hatalarına dönüştü.” derken şirketin saldırıya maruz kaldığını, dosyaların şifrelenmeye başladığını fark ettiğini söylüyor Mendoza.
Saldırı başladıktan kısa süre sonra sunucu odasına ve veri merkezine koşup fidye yazılımının yayılmaması için tüm fişleri çekmişler. Bu da alt yapılarının çökmesine neden olmuş. Tüm çabalara rağmen totalde ürünlerinin dörtte üçü şifrelenmiş. Siber saldırganlar da şifre çözme programı karşılığında 3.6 milyon dolarlık ‘bitcoin’ ödenmesini talep eden bir fidye notu bırakmış.
Bırakılan fidye notunda kendilerini NetWalker olarak tanıtan grup için, “Ne olduğunu çözmek basit işti. Kendilerinin kim olduğunu ve parayı nereye göndereceğinizi söylüyorlar.” diyor Mendoza.
Tüm bu yaşananların yanı sıra diğer bir sorun da saldırının 2020’nin mayıs ayında, yani çoğu çalışanın koronavirüs önlemleri nedeniyle uzaktan çalışmaya geçmesi esnasında yaşanmış olması. Evlerinde çalışanlarla iletişim kurmakta ayrıca zorlanmışlar.
Sorunların hepsine karşın bir toplantı alan IT ekibi, oluşan hasarı ve verileri geri almak için seçeneklerinin neler olduğunu değerlendirdi. Saldırının haricinde bir de şirketin ağdan ayrılmış yedeklemeleri vardı.
Mendoza, “Saldırı hala sürüyordu, kanamayı durdurmamız gerekiyordu ve hasarın ne düzeyde olduğunu ölçemiyorduk. Bildiğimiz tek şey kurtarmamız gereken veriler olduğuydu.” diyor.
Fidye yazılımı saldırısına uğrayan her kuruluş hayati bir soruyla baş başa kalıyor: “İstenilen fidyeyi verecek miyiz?”
Her kuruluşun cevap bulmak zorunda kaldığı bu soru çeşitli sonuçlar doğuruyor. Siber güvenlik şirketleri ve kolluk kuvvetleri fidye ödenmesine kesin suretle karşı çıkarken istenilen fidyenin verilmesi hem siber saldırganların yaptıklarının işe yaradığını hem de yaptıklarının mükafatını vermek anlamına geliyor.
Üstelik fidyeyi ödemekle de iş bitmiyor. Çaresiz bir şekilde kalan kuruluşlar fidyeyi ödemeyi kabul edip istenilen miktarı yatırdıklarında siber saldırganlar parayı alıp gidebiliyor. Hatta fidyeyi alıp ikinci bir saldırı bile düzenleyebiliyorlar.
Kolay Erişim
AĞ DIŞI YEDEKLEMELER KRİTİK ROL OYNADI
Spectra Logic şirketinin kendisinden istenen fidye miktarını karşılayabilecek siber sigortası mevcuttu. En kolay çözüm yolu olarak görünen fidyeyi ödeyip verileri geri alma fikri her ne kadar cazip görünse de ağ dışı yedeklemelerin mevcut olması Spectra Logic’i fidye ödemekten vazgeçirdi. Böylelikle siber suçlularla iletişim kurmak yerine Mendoza, FBI ile temasa geçti. FBI da işe koyulup saldırının takip eden günlerinde Spectra Logic’i koruması için uzman bir ekip görevlendirdi.
“Panik halinde olmayı bırakıp böyle saldırılarla daha önce başa çıkmış insanlarla iletişime geçince yalnız olmadığımızı hissettik ve kendimize geldik. Bizi koruyacak araçları kurmaya başladılar. Bugüne kadar hissettiğim en büyük şey bu korunma hissiydi.” diye anlatıyor Mendoza.
Spectra Logic çalışanları, ağı geri yükleyebilmek için bir hafta boyunca 7/24 çalıştıklarını, hatta ofiste uyuduklarını söylüyor. “Salı sabahından itibaren beş gün boyunca 24 saat çalıştık. Nöbetleşe uyuduk. 2 kişi birkaç saat uyurken 3 kişi çalışmaya devam etti.” diyor Mendoza.
Ağır koşullar altında ağlarını geri yüklemeye çalışmalarının yanında bir de şirket yöneticilerine süreci anlatmak ve güncellemeleri paylaşma kısmı vardı. Yöneticiler bu konuda sürekli baskı uyguluyordu diye aktaran Mendoza “Onlara yalan söylemek istemedim ve sistemlerin ne zaman eski hale döneceğini bilmediğimi söyledim.” ifadelerini kullanıyor.
Bir fidye yazılımcının itirafları: Küçükken çöp karıştırırdım, şimdi milyonerim
Günler süren çalışmalarının meyvelerini ise yavaş yavaş almaya başlıyor Spectra Logic firması çalışanları. FBI’ın kendilerine zor yoldan gittiklerini ancak doğru yoldan gittiklerini söylediğini anlatıyorlar. BT departmanı, siber güvenlik uzmanları derken fidye yazılımı saldırısından bir hafta sonra hiçbir fidye ödemeden ağlarına bazı işlevleri geri yüklemeyi başarıyorlar.
Yaşanan bu önemli anı, “Ekipler fidye yazılımını sistemden çıkarabilmek için çeşitli araçlar sağladı. Yaklaşık bir hafta sonra ise ‘yeşil ışık’ yandı. Saldırıyı durdurduk ve fidye yazılımını kaldırdık.” diye anlatıyor Mendoza.
Tabii sonuçlar tatmin edici olsa da her şeyin normale döndüğü anlamına gelmiyordu. Örneğin şirket için hayati olmayan sistemleri yeniden yüklemek haftalar sürmüş. Bu süre boyunca da saldırganlar tarafından yeniden fidye yazılımı saldırısına uğramadıklarından veya yazılımın ağlarına tekrar yayılmadığından emin olmak için bir ay boyunca tüm etkinlikleri izlemişler.
TÜM ŞEFFAFLIĞIYLA SALDIRIYI ANLATTILAR
Çoğu fidye yazılımı saldırısı kamuya aktarılmaz veya ayrıntılara pek girilmez. Ancak Mendoza için bunu anlatmakta sakınca yok. Çünkü bu tarz saldırılara karşı koyma fikri, gerekli şeffaflığı sağlamak adına yeterli motivasyonu sağlıyor. Siber suçluların ceplerini doldurmadan bir saldırıdan kurtulmanın mümkün olduğunu göstermenin yaygın hale gelmesini savunan Mendoza, “Fark ettik ki fidye yazılımlarından kurtulmanın bir yolu varsa bunu anlatmanın nasıl bir sakıncası olabilir?” diyerek kuruluşlardan daha şeffaf olmalarını dile getiriyor.
Peki bu hikayeyi anlattıktan sonra çıkarılabilecek dersler nedir?
Mendoza’nın cevabı aydınlatıcı: “Öncelikle yapılan saldırı, kimlik avı saldırısıyla bir çalışanın ağına sızarak başladı. Geçmişte bu konular üstünde pek durmazdık ancak şimdi şirkette siber güvenlik eğitimleri veriyoruz. Bu konuyu bir kenara koyduktan sonra aldığımız ikinci ders kesinlikle verileri farklı ortamlara yedeklemenin yaşanılacak zararlardan kurtulmanın en önemli yolu olduğu. Hepsinden önemlisi ise bu olay başımıza geldikten sonra hepimizde bir ‘farkındalığın’ oluşması oldu diyebilirim.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz