Fidye yazılım saldırısı 70 Alman belediyesinin hizmetlerin aksamına neden oldu.
Geçtiğimiz hafta gerçekleşen bir fidye yazılım saldırısı, Almanya’nın batısındaki birçok şehir ve ilçede yerel yönetim hizmetlerini felç etti.
Almanya’da henüz kimin gerçekleştirdiği bilinmeyen bir fidye yazılımı çetesi tarafından yerel belediye hizmet sağlayıcısı Südwestfalen IT’nin sunucularına siber saldırı düzenlendi.
70’TEN FAZLA BELEDİYENİN ALTYAPISINA ERİŞİM KISITLANDI
Almanya’da büyük bir hizmet sağlayıcısı olan Südwestfalen IT’ye bir fidye yazılım çetesi tarafından düzenlenen fidye yazılımı saldırısı, Almanya’daki yerel yönetim hizmetlerini kısıtladı.
Saldırı sonucu Südwestfalen IT’nin sunucuları şifrelenirken, kötü amaçlı yazılımın yayılmasını önlemek için şirket, başta Almanya’nın Kuzey Ren-Vestfalya eyaletinde olmak üzere 70’ten fazla belediyenin altyapısına erişimi kısıtladı.
Şirket, olayın ardından ana sitesine erişilemediği için geçici bir web sitesinde yayınladığı açıklamada, saldırının yerel yönetim hizmetlerini “ciddi şekilde sınırlandırdığını” söyledi.
Bölgedeki neredeyse tüm belediye binaları saldırıdan etkilendi.
Saldırının gerçekleştiği gün, Almanya’nın Siegen kentinin yönetimi, bilişim sistemlerinin çoğunun kapatılması nedeniyle vatandaşlarla olan randevularını iptal etti. Saldırıyla birlikte, idarenin çevrim içi hizmetlerinin çoğu kullanılamaz durumda kaldı.
Wermelskirchen ve Burscheid şehir yönetimlerinin web siteleri de saldırının ertesi günü hizmet veremedi.
Wermelskirchen belediyesi sözcüsü Alman medyasına yaptığı açıklamada, “Kesinti nedeniyle Südwestfalen IT üzerinden çalışan uygulamalara erişimimiz yok.” ifadelerini kullandı.
YÜZ YÜZE HİZMETE DÖNÜLDÜ
Saldırıdan etkilenen belediyeler, çevrim içi sistemleri çökmüş olsa da vatandaşlara yüz yüze hizmet sunmaya devam edeceklerini açıkladı.
Alman polisi ve siber güvenlik kurumları ise saldırıyı hakkında soruşturma yürütüldüğünü ve şehir yönetimlerinin hizmetlerini eski hâline getirmek için çalıştıklarını ifade etti.
Burscheid sözcüsü, “Ancak müşterilerimize spesifik bir şey söyleyemeyiz, bu insanlar üzerinde çok fazla stres yaratıyor.” dedi.
Alman siber güvenlik uzmanlarına göre, yerel yönetimler genellikle ay sonunda mali işlemler gerçekleştirdiğinden, saldırının zamanlaması özellikle hassas. Uzmanlar, maaşlar, sosyal yardım ve bakım fonundan yapılan transferler gibi ödemelerin saldırı nedeniyle engellenebileceğini söyledi.
Hollanda, büyük çaptaki fidye yazılım saldırılarına karşı istihbaratı hatta gerektiğinde kolluk kuvvetlerini devreye sokarak karşı atağa geçeceğini açıkladı.
Dışişleri Bakanı Ben Knapen, mecliste verilen bir soru önergesine cevaben yazdığı mektupta, başka bir ülkeden gelecek fidye yazılım saldırılarına karşı öncelikle diplomatik yolların deneneceğini ancak ulusal güvenliği tehdit eden büyük olaylarda daha sert tedbirler alınacağını belirtti
Knapen şu ifadeleri kullandı: “Finansal bir motivasyonla olsun ya da olmasın herhangi bir fidye yazılım saldırısı, kritik sektörleri tehdit edecek derecede etkili olursa, hükümet de elindeki kaynakları kullanacaktır.”
Bakan ayrıca ek bir önlem olarak kritik alt yapıların offline bir konuma alınacağını duyurdu.
Knapen, fidye yazılım saldırılarına karşı taarruza geçileceğini belirterek, “İstihbarat servislerinin müdahalelerine ek olarak, silahlı kuvvetler ile de yanıt verilebilir. Örneğin Siber Savunma Komutanlığı, bir düşman hareketini önlemek ya da devletin temel bir çıkarlarını korumak için bir karşı saldırı gerçekleştirebilir.” ifadelerine yer verdi.
HOLLANDA DAHA ÖNCE 2014’TE APT29’A SALDIRMIŞTI
Hollanda daha önce APT29 olarak bilinen devlet destekli hacker grubu tarafından gerçekleştirilen bir dizi saldırının ardından, Hollanda istihbarat servisi AIVD, 2014 yılında çeteyi hacklemişti.
Bakan Knapen, meclise ülkenin istihbarat veya askeri güçlerin müdahalesini gerektirecek kadar şiddetli bir fidye yazılımı saldırısıyla henüz karşılaşmadığını söyledi. Fidye yazılım grupları geçmişte Hollandalı birçok şirketi hedef almıştı.
Kamu ve özel sektörde kritik altyapıları hedef alan fidye yazılımı saldırıları son dönemde 10 kat arttı.
Fortinet siber güvenlik firmasının yılda iki kere paylaştığı FortiGuard Labs Küresel Tehdit Zemini Raporunun yeni bulgularını paylaştı.
2021’in ilk yarısında elde edilen tehdit istihbaratı, bireyleri, kuruluşları ve giderek daha kritik hale gelen altyapıyı hedef alan saldırıların hacminde ve gelişiminde önemli bir artış olduğunu gösteriyor.
Geleneksel ağın içinde ve dışında hibrit çalışanların ve öğrencilerin genişleyen saldırı yüzeyi hedef olmaya devam ediyor.
Kolluk kuvvetlerinin yanı sıra kamu ve özel sektör arasında zamanında gerçekleştirilen iş birliği ve ortaklıklar, 2021’in ikinci yarısına girerken siber suç ekosistemini bozmak için önemli bir fırsat sunuyor.
Raporun ayrıntılı bir görünümü ve bazı önemli bulgular blogda yer alırken 2021’in birinci yarısındaki verilerden oluşturulan raporunun öne çıkan başlıkları da aşağıda bulunuyor:
1)Fidye Yazılımı Paradan Daha Fazlasını Kaybettiriyor: FortiGuard Labs verileri, fidye yazılımlarının Haziran 2021’deki haftalık ortalama etkinliğinin önceki yıla kıyasla on kattan fazla olduğunu gösteriyor. Bu veri aynı zamanda bir yıl boyunca tutarlı ve genel olarak istikrarlı bir artış olduğunu da gözler önüne seriyor.
Saldırılar, özellikle kritik öneme sahip sektörler olmak üzere birçok kuruluşun tedarik zincirlerini işlemeyecek hale getirdi ve günlük yaşamı, verimliliği ve ticareti her zamankinden daha fazla etkiledi. En çok hedef alınan şirketler telekomünikasyon sektöründe yer alırken, telekomünikasyon sektörünü de kamu, yönetilen güvenlik hizmeti sağlayıcıları, otomotiv ve imalat sektörleri takip ediyor.
Buna ek olarak, bazı fidye yazılımı operatörleri, stratejilerini e-postadan bulaşan dosyalar yerine kurumsal ağlara ilk erişimi elde etme ve satma üzerine oluşturmaya başladı. Bu değişim, siber suçları güçlendiren Hizmet olarak Fidye Yazılımı (RaaS) ürünlerinin gelişmeye devam ettiğini gösteriyor.
Fidye yazılımları bulunduğu sektörden veya büyüklüğünden bağımsız olarak tüm şirketler için gerçek bir tehlike olmaya devam ediyor. Şirketlerin sıfır güven erişim yaklaşımının, ağ segmentasyonunun ve şifrelemenin yanı sıra güvenli ortamlara yönelik gerçek zamanlı uç nokta koruması, tespit etme ve otomatik yanıt çözümleriyle proaktif bir yaklaşım benimsemesi gerekiyor.
2) Dört Şirketten Birisi Kötü Amaçlı Reklam Tespit Etti: En çok görülen fidye yazılımlarına bakıldığında aldatıcı sosyal mühendislik ile geliştirilen kötü amaçlı reklamcılık ve kullanıcıyı korkutan yazılımlarda bir artış olduğu görülüyor.
Şirketlerin yüzde 25’inden fazlası, kötü amaçlı reklam veya korkutma denemeleri tespit etti. Bu da Cryxos’u dikkat edilmesi gereken bir kötü amaçlı yazılım ailesi yapıyor. Bununla birlikte verilerin büyük bir kısmı, büyük olasılıkla kötü amaçlı reklamcılık olarak değerlendirilebilecek diğer benzer JavaScript çalışmalarıyla destekleniyor.
Korkutmaya ek olarak gasp etmeyi de hedefleyen siber suçlular, hibrit çalışma yöntemlerinden yararlanabileceği yollar aradığı için şirketlerin bu yöndeki tercihi, siber saldırganların taktiklerdeki bu trende net bir şekilde güç veriyor.
Siber güvenlik bilincinin artması, korkutma ve kötü amaçlı reklam taktiklerinin başarılı olmasını engellediği için zamanında eğitim imkanı sağlamak, her zaman olduğu gibi çok önemli.
3) Botnet Trendleri Saldırganların Sınıra Yöneldiğini Gösteriyor: Tespit edilen botnetlerin yaygınlığına bakıldığında bu cihazların aktivitelerinde artış yaşandığı görülüyor. Yılın başında botnet etkinliği tespit eden şirketlerin oranı yüzde 35 olurken, altı ay sonra bu oran yüzde 51’e yükseldi.
Haziran ayında botnet etkinliğindeki genel artışın arkasında TrickBot’un etkinliğindeki büyük artış yer alıyor. TrickBot başlangıçta siber suç sahnesinde bir bankacılık truva atı olarak ortaya çıktı ancak o zamandan beri birçok yasa dışı faaliyeti destekleyen karmaşık ve çok aşamalı bir araç setine dönüştürüldü.
Genel olarak en yaygını olan Mirai ise 2020’nin başlarında Gh0st’ı geride bıraktı ve 2021’e kadar hüküm sürdü. Zaman içinde Mirai’ye siber saldırganlara güç verecek yeni özellikler eklenmeye devam etti. Mirai’nin hakimiyetinin bir kısmında evden çalışan veya eğitimine evden devam eden kişiler tarafından kullanılan Nesnelerin İnterneti (IoT) cihazlarından yararlanmaya çalışan siber suçlular büyük rol oynamış olabilir.
Saldırganların virüslü sistemin kontrolünü tam olarak ele geçirmesine, canlı web kamerası görüntülerini ve mikrofondan çıkan sesleri kaydetmesine veya dosya indirmesine izin veren bir uzaktan erişim botneti olan Gh0st da gözle görülür derecede aktif.
Uzaktan çalışma ve öğrenme alanlarındaki değişimlerinin üzerinden geçen bir yıldan uzun süre boyunca siber saldırganlar, fırsatlardan yararlanmak için kullanıcıların günlük alışkanlıkları hedeflemeye devam ediyor. Ağları ve uygulamaları korumak için şirketler, IoT uç noktasına ve ağa giren cihazlara karşı en düşük erişim imkanını sağlamak için sıfır güven erişim yaklaşımlarına ihtiyaç duyuyor.
4) Siber Suçların Engellenmesi, Tehdit Hacimlerinin Düşmesini Sağlıyor: Siber güvenlikte her eylem anında veya kalıcı bir etkisi sunmuyor ancak 2021’deki bazı olaylar özellikle sistemi savunanlar için olumlu gelişmeler sağlıyor.
TrickBot’un orijinal geliştiricisi, haziran ayında birden fazla suçlamayla yargılandı. Ayrıca yakın tarihin en verimli kötü amaçlı yazılım operasyonlarından biri olan Emotet’in koordineli olarak kaldırılması ve Egregor, NetWalker ve Cl0p fidye yazılımı operasyonlarını bozmaya yönelik atılan adımlar, siber suçları engellemek için devletlerin küresel çalışmalarını ve kolluk kuvvetleri de dahil olmak üzere siber saldırganlara karşı mücadele veren ekiplerin başarısını gösteriyor.
Ek olarak bazı operasyonların yarattığı etki, birçok fidye yazılımı operatörünün operasyonlarını durdurmasını sağladı.
FortiGuard Labs’ın verileri, Emotet’in kaldırılmasının ardından tehdit etkinliğinin azaldığını gösterdi. Emotet botnet, çevrimdışı olduktan sonra TrickBot ve Ryuk varyantlarının etkinliği devam etti ancak hacmi azaldı. Siber tehditleri veya siber saldırganların tedarik zincirlerini hemen ortadan kaldırmak zor olsa da bu operasyonlar son derece büyük başarılarla sonuçlandı.
5) Sistem Yöneticilerinden Savunma Amaçlı Kaçınma ve Sistem İçinde Sahip Olunan Ayrıcalıkları Artırma Teknikleri Siber Suçlular Tarafından Tercih Ediliyor: Daha kapsamlı tehdit istihbaratı incelendiğinde saldırı tekniklerinin şu anda nasıl geliştiğine dair değerli bulgular ortaya çıkıyor.
Siber saldırganların neyi amaçladığını gözlemlemek için örnekleri inceleyerek tespit edilen kötü amaçlı yazılıma özgü belirli özellikleri analiz edildi. Ortaya da saldırıda kullanılan dosyalar hedef ortamlarda çalıştırılsaydı kötü amaçlı yazılımın başarabileceği olumsuz sonuçların listesi çıktı. Bu liste, siber saldırganların diğer tekniklerin yanı sıra sahip olduğu ayrıcalıkları artırmaya, savunmalardan kaçınmaya, dahili sistemler arasında hareket etmeye ve güvenliği ihlal edilmiş verileri sızdırmaya çalıştığını gösteriyor.
ABD’nin en büyük boru hattı olan Colonial Pipeline, geçtiğimiz mayıs ayında uğradığı siber saldırı nedeniyle bir süre işlevsiz kaldı.
7 Mayıs sabahı 5.30 civarında gerçekleştiği belirtilen saldırı sonrası, ülkede 13 eyalette ve Washington DC’de 260 teslimat noktasıyla hizmet veren şirketin boru hattı devre dışı bırakıldı.
Tekrar faaliyete geçen Colonial Pipeline yönelik fidye yazılımı saldırısı ve sonrasında yaşanan gelişmelere gelin yakından bakalım.
NELER OLMUŞTU?
Günde 2,5 milyona yakın akaryakıt taşıyan Colonial Pipeline isimli boru hattı şirketi ABD’nin doğu yakasının dizel, benzin ve jet yakıtı ihtiyacının %45’ini karşılıyor. Georgia merkezli şirket, 5,500 millik güzergahı dahilinde günlük 2,5 milyon varil benzin, dizel, ısıtma yağı ve jet yakıtı taşıyarak ABD’deki en büyük petrol boru hattı olma özelliğini koruyor.
Geçtiğimiz mayıs ayında fidye yazılım saldırılarına maruz kalan Colonial Pipeline, saldırılar nedeniyle geçici süreyle hizmet veremedi. Fidye yazılımı olarak belirtilen siber saldırıların, Amerikan enerji sistemine yapılan şimdiye kadar en büyük siber saldırı olması nedeniyle oldukça önemli.
Şirketin saldırılar karşısında ilk tepkisi sistemleri durdurma olurken, gelişmeler sonrası Colonial Pipeline tarafından yapılan açıklamada, siber saldırıların şirketi bazı sistemleri çevrimdışına almaya ve boru hattını devre dışı bırakmaya zorladığını bildirildi. Saldırı sonrası şirket yetkilileri, tehdidi kontrol altına almak için IT sistemlerini ve tüm boru hattı işleyişi geçici olarak durduğunu açıkladı.
Şirketin boru hattını kapatma kararı ülkede domino etkisiyle bir dizi soruna yol açtı.
Colonial Pipeline CEO’su Joseph Blount, NPR’a verdiği röportajda, altyapılara yönelik saldırılar sonrasında başlangıçta odak noktalarının “..boru hattını mümkün olan en kısa sürede güvenli bir şekilde tekrar çalışır hale getirmek..” olduğunu dile getirdi. Fakat sistemin tamamen onarılması aylarca sürebilir.
Boru hattı bir hafta içinde yeniden başlatılırken, tam faaliyete geçerek teslimat programını tekrar sürdürmesi zaman aldı. Bu süreçte ülkenin doğu ve güneydoğusunda pek çok eyalette akaryakıt sıkıntısı oluşurken, Virginia ile Florida’da acil durum ilan edildi. Washington DC’deki benzin istasyonlarının yarısı ve Kuzey Carolina’daki istasyonların %40’ı dahil olmak üzere 9.500’den fazla benzin istasyonunun yakıtı tükendi.
BENZİN PANİĞİ YAŞANDI
ABD Ulaştırma Bakanlığı geçici bir kararname yayınlayarak devre dışı kalan akaryakıtın karayoluyla transferinin önünü açarken, yetkililerin tüm uyarılarına karşın kullanıcıların panik halinde benzin stoklaması sonucunda binlerce benzin istasyonunda yakıt sıkıntısı yaşandı. Öyle ki bazı benzin istasyonlarında benzin alımlarına 20 dolar sınır getirildi. Ülke genelinde benzinin fiyatı 2014’den bu yana kaydedilen en yüksek seviyeye (galon başına 3 doların üzerine çıktı) ulaştı.
The New York Times’ın haberine göre, Enerji ve Ulusal Güvenlik Bakanlıkları tarafından hazırlanan gizli bir değerlendirmenin sonucunda Colonial Pipeline kapatılmasıyla oluşan yakıt eksikliği durumunda, mevcut yakıtların otobüsler ve diğer toplu taşıma araçlarının yakıt harcamalarını yalnızca üç ila beş gün karşılayabileceği ortaya çıktı. Bu durum kritik altyapılara yönelik olası siber saldırıların ciddi sonuçlarının olacağının önemli bir göstergesi.
SALDIRILARIN SORUMLUSU: DARKSIDE
Fidye yazılım yoluyla gerçekleştirilen siber saldırının DarkSide adlı bir siber suç grubu tarafından düzenlendiği kaynaklarca doğrulandı. DarkSide adlı korsan grubunun daha önce de siber suç kapsamında çeşitli şirketlerden milyonlarca dolar çaldığı ve çaldıkları paraların bir kısmının hayır kurumlarına bağışladıkları iddialar arasında.
Bilinirliği açısından yeni bir siber suç grubu olmasına rağmen DarkSide, sanayi ve kritik altyapılara yönelik saldırılarla milyonlarca dolarlık zararlarla neden oluyor.
Saldırılara ilişkin açıklamaya göre, fidye pazarlığı süreci bilgisayar ekranına düşen uyarıyla başlıyor. Çalınan bilgiler suç grubunun sunucularına taşınırken, fidye ödemeleri şartıyla verilere yeniden erişim sağlanabileceği söyleniyor. Belirlenen süre içerisinde istenen fidyenin ödenmemesi durumunda hedeflenen kurum, şirket ya da bireylere ait bilgiler otomatik olarak dışarıyla paylaşılabiliyor.
Fidye yazılım saldırıları oldukça yaygın.
Kısaca bilgilendirecek olursak fidye yazılım saldırısı, suç grupları tarafından bulaştırılan virüs sayesinde kullanıcıların dosyalara erişimini engelleyerek fidye ödenene kadar sistemin tamamen kilitlenmesine neden olan kötü amaçlı yazılımdır. Bazen kullanıcıları verileri çalmakla ve yayınlamakla tehdit ederek çifte gasp yöntemi şeklinde gerçekleşebilir.
Fidye yazılım saldırıları, özel sektörden devlete, bireylerden hastanelere ve sağlık sistemlerine kadar birçok şeyi hedef alabilir. Dahası saldırıya uğrayan kurum ve kişilerin, bilgileri mümkün olan en kısa sürede geri alma ihtiyacının ne kadar acil olduğu göz önüne alındığında, bu tür saldırıların suç grupları için özellikle çekici hedef haline geldiği açık. Son birkaç yılda fidye yazılım saldırılarının sayısı hızla artarken ödenen fidyelerİN TOPLAMI milyarlarca doları buluyor.
Saldırıların arkasında yatan güvenlik açıklığının, sızdırılan tek bir PAROLA olduğu açıklandı.
Bloomberg’in haberine göre, ABD’deki en büyük boru hattını çökerten ve Doğu Kıyısında kıtlığa yol açan saldırı, güvenliği ihlal edilmiş tek bir parolanın sonucuydu. Saldırıdan yaklaşık bir ay sonra yapılan açıklamada, bilgilerin büyük olasılıkla şirketin sunucularına uzaktan erişmek için kullanılan ve sanal özel ağ (VPN) erişimi olan eski bir hesaba sızdırılmış bir parola yoluyla ihlal edildiği belirtildi.
FireEye Inc. bünyesindeki siber güvenlik firması Mandiant’ın başkan yardımcısı Charles Carmakal, bilgisayar korsanlarının 29 Nisan’da çalışanların, şirketin bilgisayar ağına uzaktan erişmesine izin veren VPN aracılığıyla Colonial Pipeline ağlarına giriş yaptığını doğruladı.
Hesabın parolası o zamandan beri dark web üzerinde sızdırılmış bir grup şifrenin içinde olduğu keşfedildi. Dahası hesabın temel bir siber güvenlik aracı olan çok faktörlü kimlik doğrulamasına sahip olmadığı bildirildi. Görünen o ki, bilgisayar korsanlarının ülkedeki en büyük boru hattını kilitlemek için yalnızca kullanıcı adını ve parolayı bilmeleri yeterliydi. Bilgisayar korsanlarının doğru kullanıcı adını nasıl elde ettikleri ise bilinmiyor.
Saldırılar sonrasında ülkenin en büyük yakıt boru hattı olan Colonial Pipeline, hacker grubuna 4,4 milyon dolar fidye ödediğini doğruladı.
Colonial Pipeline saldırı sonucunda ağlarından 100 GB büyüklüğünde verinin çalındığı bildirildi. Verileri çeşitli bilgisayarlarda tutan DarkSide, bunları geri vermek için fidye istedi ve fidyenin ödenmemesi durumunda bu bilgileri internete verme tehdidinde bulundu.
Colonial Pipeline, fidye yazılım saldırısı sonrasında yetkililerin sistemleri hızlı ve güvenli bir şekilde yeniden başlatmak için elinden gelen her şeyi yaptığını ve şirketin fidyeyi ödemeye karar verdiğini söyledi.
CEO Joseph Blount, Wall Street Journal’a verdiği söyleşide ödemeye izin verdiğini, çünkü şirketin oluşan hasarın boyutunu ve boru hattının sistemlerini geri getirmenin ne kadar süreceğini bilmediğini söyledi. Blount, bu kararı alırken hızla hareket etmediklerini, ayrıca ülkesi için yapılması gerekenin bu olduğuna inandığını sözlerine ekledi.
Fidye yazılım saldırılarının birçoğunda mağdurların, çalınan verilerin parolasını çözmek veya çevrimiçi sızdırılmasını önlemek için talep edilen büyük miktarda fidyeyi ödemeyi tercih ettiği biliniyor.
Blount, bu kritik kararın muhtemelen kariyerinde verdiği en zor karar olduğunu belirtirken, Amerikan halkına karşı duyduğu sorumluluk nedeniyle ülke için doğru bir karar olduğunu dile getirdi. Blount, önümüzdeki birkaç ay içinde sistemlerini tamamen geri yüklemenin Colonial için çok daha fazla maddi kayba yol açacağını da sözlerine ekledi.
ÖDENEN FİDYENİN BİR KISMI KURTARILDI
Geçtiğimiz günlerde Adalet Bakanlığı, DarkSide siber suç grubuna ödenen fidyenin bir kısmını geri almayı başardığını açıkladı.
Başsavcı Yardımcısı Lisa O. Monaco, 7 Haziran’da Adalet Bakanlığı’nın yeni Fidye Yazılımı ve Dijital Gasp Görev Gücü (Ransomware and Digital Extortion Task Force) aracılığıyla saldırganlara ödenen 75 bitcoin’in yaklaşık 64’ünü, izlenmesi zor bir para birimi olan kripto olmasına rağmen, “parayı takip ederek” geri kazandığını duyurdu. Bu erişimin nasıl olduğu kamuoyuna açıklanmadı.
Uzman isimler, dünyanın dört bir yanındaki birçok kuruluşa yönelik gerçekleşen fidye yazılım saldırılarının basit bir veri hırsızlığının ötesinde temel işlevleri etkileyen önemli siber saldırılar olduğunu belirtti.
Gelişmeler sonrasında, CISA endüstriyel kontrol sistemleri eski direktörü ve operasyonel teknoloji başkan yardımcısı Marty Edwards, Recode’a konuştu. Edwards, saldırıların siber güvenliğin günlük yaşamlarımız üzerindeki etkisini gösterdiğini belirterek, “Günlük yaşamınızı doğrudan etkiliyorsa sibersaldırının etkisini anlamak çok daha kolaydır.” dedi.
Recode aynı yazısında geçen bir diğer uzman olan Check Point yetkilisi Lotem Finkelstein, Colonial Pipeline’a yönelik gerçekleşen bu denli büyük saldırıların sofistike ve iyi tasarlanmış siber saldırıların varlığını açıkça ortaya koyduğunu belirtti.
Saldırı sonrası açıklamalarda tartışılan konular ve öne çıkan kaygılar bununla sınırlı kalmadı. Amerika’nın enerji altyapısının siber güvenliği, son yıllarda özel bir endişe kaynağı haline geldiği biliniyor. Colonial Pipeline saldırısı bu endişeleri artıran bir gelişme olarak görüldü.
KAMU-ÖZEL İŞ BİRLİĞİ TEKRAR GÜNDEME GELDİ
Enerji altyapılara yönelik saldırılarda yaşanan artış, kritik altyapıların siber güvenliği konusunda kamu-özel sektör işbirlikleri gerekliliğini tekrar gündeme getirdi.
Boru hatları, ham petrol ve diğer yakıt ürünlerinin rafinerilere ve tesislere getirilmesinden, kullanıcılara ve müşterilere ürün teslimatı sağlamaya kadar tüm enerji tedarik zinciri için kritik bir öneme sahiptir. Bu nedenle uzun süreli boru hattı kesintilerinin ciddi etkileri olabilir. En nihayetinde kesintiler neticesinde talepler karşılanmadığında kıtlık yaşanabilir, yakıt fiyatları artabilir, ulaşım ve toplumsal normlarda aksamalar meydana gelebilir.
Colonial Pipeline saldırısı bunun güzel bir örneği.
Colonial Boru hattı, Doğu Kıyısının yakıt ihtiyacının neredeyse yarısını sağlıyor ve uzun süreli bir kapatma, fiyat artışlarına ve kıtlıkların neden olarak sektörde dalgalanmalara yol açabilirdi. Boru hattının bir hafta içinde tekrar devreye girmesiyle bu durum büyük ölçüde önlendi, ancak çoğunlukla panik nedeniyle kıtlık ve fiyat artışları yaşandı.
Her ne kadar büyük veya uzun süreli bir kesinti yaşanmadan tekrar faaliyete başladığı için toplumsal ve maddi açıdan kullanıcıları çok fazla etkilememiş olsa da durum daha farklı sonuçlanabilirdi. Ya da gelecek için aynı şey olmayabilir, bir dahakine ciddi sonuçları olabilir.
Birçok siber güvenlik uzmanı, üst düzeyde önlemler alınmazsa kritik altyapılara yönelik olası siber saldırıların çok daha kötü sonuçlarının olacağını belirtiyor. Kritik altyapıların siber güvenliği konusunda işletmelerin gerekli ve yeterli önlemleri alıyor mu konusu tartışılan bir diğer başlık.
Bu noktada alınacak önlemler konusunda gözler kamu özel sektör işbirliğinde.
Siber güvenlik şirketi Team Cymru yetkilisi James Shank Recode verdiği röportajda, yaşanan gelişmelerin ulusal çıkarların korunması için kamu ve özel sektör arasında işbirliklerine duyulan ihtiyacı vurguladığını dile getirdi. Şirketlere yönelik siber saldırılar ve fidye ile karşı karşıya kalındığında sorumluluğun özel sektöre yüklendiğini belirten Blount, yaptığı açıklamada devletlerin kritik rolüne işaret ederek “kamu-özel işbirliklerininin” gerekliliğinin altını çizdi.
Colonial Pipeline saldırısı, kritik altyapılara yönelik siber saldırılarla ilgili bilgi aktarımının devlet ve diğer sektör bileşenleriyle paylaşması adına ders alınması gereken bir gelişme olduğu açık. Kritik altyapılara yönelik siber saldırıların çeşitli işbirliklerinin gerekli kıldığı gerçeğinin yanı sıra fidye yazılım saldırılarının sanılanın aksine ciddi sonuçlar doğurduğu yaşanan gelişmelerden belki de çıkarılan en önemli sonuçlardan biri olmalıdır.
ABD’deki Colonial Pipeline ve REvil grubunun Kaseya saldırısı sonrası her geçen gün daha çok konuşulan fidye yazılım saldırılarınıtakip etmek için “ransomwhe.re” adlı bir internet sitesi kuruldu.
Adını fidye yazılım kelimesinin okunuşundan alan site, şu ana kadar dünya çapında ödenmiş fidye miktarını ve hangi fidye yazılım gruplarına ödeme yapıldığını sık sık güncelleyerek duyuruyor.
Site istatistiklerine göre şu ana kadar en çok ödeme sırasıyla Netwalker, REvil,Ryuk, RagnarLocker, DarkSide, Egregor gruplarına yapıldı. Netwalker’a yaklaşık 28 milyon dolar ödenirken, REvil grubuna ise fidye bedeli olarak 11 milyon dolar verildi.
Herhangi bir fidye yazılım saldırısına uğramış kişi veya kurumlar sitede üzerinden hangi grubun saldırdığını ve talep ettiği miktarı bildirebiliyor.
Ransomwhere’de ayrıca son fidye yazılımlar saldırılarının ayrıntılarıyla ilgili çeşitli yerlerde yayımlanan yazıların linkleri yer alıyor.
