Etiket arşivi: WannaCry

Siber Saldırılar

“WannaCry” geliyorum demiş!

Yorum yapın

İnternet ve veri güvenliği şirketlerinden Trend Micro, 12 Mayıs’ta dünyayı kasıp kavuran WannaCry’in ilk örneklerinin Nisan ayında ortaya çıktığını belirterek 2017’nin fidye yazılım yılı olacağını beklentisinin olduğunu hatırlattı.

Eşi görülmemiş büyüklükte bir fidye yazılımı saldırısı olan WannaCry, tüm dünyadaki organizasyonları ve bireysel kullanıcıları etkiledi. Trend Micro’nun araştırma bölümü TrendLabs’in 2017 öngörü raporuna göre 2017 yılının fidye yazılımların yılı olacağı beklenen bir gelişmeydi.

Yine TrendLabs’in sunduğu 2016 değerlendirme raporunda da 2016 yılda fidye yazılım çeşitliğinde yüzde 752 oranında artış olduğu açıklanmıştı. Şirket, fidye yazılımların 2017 yılının Nisan ayında ilk örnekleri görülmeye başlandığını belirtti.

İlgili haber >> 5 soruda Türkiye’yi de etkileyen fidye yazılımı WannaCry

Şirketin yaptığı açıklamaya göre, WannaCry Avrupa’da en fazla İngiltere ve İspanya’yı vururken, Trend Micro, Türkiye’de WannaCry bağlantılı 166 çeşit fidye yazılımı tespit edip engelledi.

Kimler etkilendi?

Trend Micro, WannaCry fidye yazılımı saldırısının en çok sağlık, üretim, enerji(petrol ve gaz), teknoloji, gıda ve içecek, eğitim, kamu, medya ve iletişim sektörlerini vurduğunu belirtti. Saldırının geneli hedef yapısından dolayı belli başlı sektörleri ve şirketleri hedef aldığı ise düşünülmüyor.

2017’de PoS cihazları ve ATM’ler de fidye yazılımların hedefinde olacak

Trend Micro’nun tahminlerine göre 2017 yılında, fidye yazılımlarının özellikle Nesnelerin İnterneti platformlarının yanında, POS cihazları ve ATM’ler başta olmak üzere PC dışındaki platformlara da yayılması tehlikesi mevcut.

Ne yaptı?

WannaCry fidye yazılımının tam 176 farklı dosya türünü kilitlediği belirlendi. Bunlar arasında, veri bankaları, multimedya dosyaları, arşiv dosyaları ve Office dokümanları da yer alıyor. Saldırı gerçekleştikten sonra ise tam 27 farklı dilde hazırlanmış fidye mesajı ekranda beliriyor ve kullanıcılardan 1 Bitcoin yani 300 dolar değerinde fidye isteniyor.

Nasıl engellenebilir?

WannaCry’ın normal fidye yazılımlarından en büyük farkı ise adeta bir solucan yazılımı gibi diğer makinelere de yayılabilmesi. WannaCry TCP 445 portunu kullanarak bulaştığı bilgisayarın bulunduğu ağdaki diğer cihazlara da bulaşabiliyor.

İlgili haber >> “WannaCry”in arkasında Kuzey Kore mi var?

Trend Micro’nun yaptığı araştırmalar sonunca fidye yazılımın TCP 445 portu kapatılmasa dahi uyku modundaki bilgisayarlara bulaşamadığı belirlendi. WannaCry’ı engellemenin en önemli yolu ise güvenlik yazılımlarının güncellemelerini zamanında yaparak. MS–17–010 gibi güvenlik açıklarını hızlıca kapatmak.

Kullanıcıların güvenlik yamalarını zamanında uygulamaları bu gibi saldırıları engellemek için hayati önem taşıyor. Yamaları test etmek ile iş operasyonlarını sürdürmek arasında bir denge bulmak zor olabilir, ancak yazılım yamalarını zamanında uygulamak ve sunucuları güncel tutmak günümüz işletmeleri için büyük bir zorunluluk.

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]

Uluslararası İlişkiler

“WannaCry”in arkasında Kuzey Kore mi var?

Yorum yapın

Bugüne kadar görülen en büyük fidye yazılımı saldırısının arkasında Kuzey Kore hükümet ile bağlantı olduğu düşünülen Lazarus Grubun olabileceği öne sürüldü.

12 Mayıs tarihinde başlayan saldırı, bir anda önce 74 sonra 100, son bilgilere göre de 150’ye yakın ülkede 200 bini aşkın sistemi etkiledi. Söz konusu saldırıda, bilgisayarlardaki verileri şifreleyip, verilerin şifresini çözme karşılığında 300 ila 600 dolar arasında fidye talep eden “WannaCry“ isimli zararlı yazılım kullanıldı.

Kaspersky Lab, WannaCry hikayesinde ilginç bir gelişme olabileceğine ilişkin bazı ipuçlarının izini sürdüğünü açıkladı. Bu ipuçları, kötü bir üne sahip olan Lazarus Group ile WannaCry olayının bağlantılı olabileceğini akıllara getiriyor. Lazarus Group, 2014 yılında Sony Pictures’a saldırmış ve 2016 yılında Bangladeş Merkez Bankası’nı soymuştu.

İlgili haber >> İnternetsiz Kuzey Kore siber saldırılar ile nasıl döviz elde ediyor?

Kaspersky Lab blogunda yayımladığı yazısında, “15 Mayıs Pazartesi günü, Google’dan bir güvenlik araştırmacısı, dünyanın dört bir yanındaki binlerce kuruluşu ve bireysel kullanıcıyı etkileyen WannaCry fidye saldırıları ile hükümet kuruluşlarına, medyaya ve finans kuruluşlarına karşı yürütülen yıkıcı saldırılardan sorumlu Lazarus hacker grubuna atfedilen kötü amaçlı yazılım arasındaki olası bağlantıya işaret eden bir ipucuyla ilgili bir tweet yayınladı” dedi.

Şirket, Google araştırmacısının son saldırı dalgasından iki ay önce, Şubat 2017’de rastlanılan bir WannaCry kötü amaçlı yazılım örneğine dikkat çektiğini belirterek, “Kaspersky Lab’ın GReAT araştırmacıları bu bilgiyi analiz ederek, Google araştırmacısı tarafından öne çıkarılan kötü amaçlı yazılım örneği ve 2015 yılındaki saldırılarda Lazarus adlı grubun kullandığı kötü amaçlı yazılım örnekleri arasında net kod benzerliklerini tespit etti ve doğruladı” dedi.

İlgili haber >> WannaCry, en çok Rusya’yı etkiledi

Kaspersky Lab araştırmacılarına göre, benzerlik sahte bir yanıltma operasyonu da olabilir. Ancak bununla birlikte, Şubat ayında bulunan örneğin analizi ve son saldırılarda kullanılan WannaCry örnekleriyle karşılaştırılması sonucunda, geçtiğimiz cuma başlayan saldırılarda kullanılan WannaCry yazılımı içerisinden Lazarus’u işaret eden noktaların kaldırıldığı görülüyor. Bu, WannaCry sürecini yönetenler tarafından ilgili izleri örtmeye yönelik bir girişim olabilir.

Şirket, bu benzerliğin tek başına WannaCry fidye yazılımı ve Lazarus Grubu arasında güçlü bir bağlantı olduğunun kanıtı olmasa da, potansiyel olarak şu an için gizemini koruyan WannaCry’a ışık tutacak yeni kanıtların ortaya çıkmasına yol açabileceğine dikkat çekti.

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]

Makale & Analiz

Beklentilerin Üstünde Bir Siber Saldırı; “Wannacry”

1 Yorum

12 Mayıs 2017 itibariyle etkinliğini hissettiren “Wannacry” fidye yazılımı (ransomware) ya da kendi içerisinde daha karışık özellikleri barındıran siber saldırı küresel bir sorunun tekrar gündeme taşınmasına sebep olmuştur. Siber saldırıların beklenmedik travması, hissettirmediği boyutlarıyla nasıl küresel bir soruna dönüştüğünü gözler önüne serdi.

Başta Çin, Hindistan ve Rusya olmak üzere; ABD’den İngiltere’ye kritik altyapıları da sarsan geniş etki 104 ülkede etkisini şimdiden göstermeye başladı. 2010 yazında, 500 kilobyte genişliğindeki Stuxnet de hedef aldığı İran’da 15’den fazla büyük merkezi etkisi altına alırken genişlediği alan dünyanın birçok ülkesinde sorunlara neden oldu ve Stuxnet hala aktif. Wannacry gibi geniş etkili saldırıların aktif kalması da uzun bir süre dahilinde mümkün.

Etki alanını beklenmedik şekilde genişletebilen bu türden saldırılar Britanya örneğinde olduğu gibi sağlık ve güvenlik sistemini derinden etkileyebilmekte. Kritik altyapıların bağlı olduğu siber alan her düzeyde ülkeler adına tehlike sinyallerini benzer saldırılarla gözler önüne sermişti. Daha önce değerlendirdiğim devletler adına siber ittifakların yönü tam da burada devreye giriyor. Özellikle konvansiyonel, nükleer silahların ortaya çıkışında harcanan emek ve zaman bu sistemleri yöneten altyapıları daha da önemli hale getiriyor. Devletlerin samimiyetleri “Wannacry” gibi yazılımların azmini ya da ortaya çıkışını engelleyebilir.

Wannacry saldırısının başladığı süre itibariyle devletlerin siber alandaki sorunlara ilişkin şikayetleri kısa sürede bir hayli kabarmış durumda. Dikkat edilesi noktalardan birisi de saldırılar sonrası yaşanan zararlara ilişkin devletlerin yapabildiği tek şeyin uluslararası medyayla paylaşabildikleri ve çaresizlik. Britanya gibi birçok ülkede, başta sağlık sistemleri olmak üzere yazılımın verdiği zarar bu fidye yazılımın talep ettiği maddi büyüklükle de daha karmaşık bir hal alıyor. Farklı fiyat aralıklarıyla talep edilen bilgi iadesi özellikle Avrupa ülkeleri ve Rusya’da başdöndürücü boyutlara iki gün içerisinde ulaşmış durumda.

Europol’ün siber suçlarla mücadele birimi European Cybercrime Centre, özel şirketlerle soruna ilişkin ciddi bir iş birliğine gidildiğini açıklaması ise uluslararası ilişkilerde siber saldırıların devletler arasında hala bir hassasiyet oluşturmadığını ortaya koyuyor. Theresa May’in saldırılar sonrasında kapalı kapılar ardından yürüttüğü düzey yine bu konudaki samimiyetsizliğin bir sonucu. Britanya’da kısa süreli de olsa ciddi bir kaosa dönüşen süreç devletlerin bu konuda zincirleme bir etkide olduğunu ispatlamıştır.

Ekonomi Bakanları ve Merkez Bankaları yöneticilerinin bir araya geldiği İtalya’daki toplantılar farkındalığın saldırı sonrasında aktive edildiğini de açık ve net bir şekilde göstermektedir. Özel güvenlik şirketlerinin siber saldırıları etkisinin çok daha farklı boyutlarıyla Microsoft işletim sistemleri üzerinde etkili olmaya devam edeceği vurgusu önemli bir parantezdir. Bu konuda birçok uzmanın dünyanın gördüğü en etkili fidye yazılımı tespiti bu durumu desteklemektedir.

Saldırıların oluşturulduğu iki gün itibariyle 1.5 milyon bilgisayarın etkilendiği düşünülecek olursa gelecek haftalarda etki alanının genişleyeceği beklenilebilir. Özellikle finansal şirketlerin ciddi bir tehlike altında olduğunun ayrıca altını çizmek gerek. Bu konuda ciddi bir girişimi başlatması gereken ülkelerin başında ise Rusya gelmekte. Rusya İçişleri Bakanlığı’nın da bu saldırılardan önemli bir şekilde etkilendiği göz önüne alınırsa gerek maddi, gerekse siyasal anlamda bir takım sorunlar yaşanabilir. Rusya’nın bu konudaki sessizliğinin de dikkatle izlenmesi gerekiyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Küresel

“WannaCry”in Türkiye’ye etkisi sınırlı kaldı

Yorum yapın

Bugüne kadar görülen en büyük fidye yazılımı saldırısı 12 Mayıs tarihinde başladı ve bir anda önce 74 sonra 100, son bilgilere göre de 150’ye yakın ülkede 200 bini aşkın sistemi etkiledi. Söz konusu saldırıda, bilgisayarlardaki verileri şifreleyip, verilerin şifresini çözme karşılığında 300 ila 600 dolar arasında fidye talep eden “WannaCry“ isimli zararlı yazılım kullanıldı.

Fidye yazılımlarında solucan dönemi

WannaCry, genellikle spam e-postaların ekinde bulunan virüslü dosyalar üzerinden yayılıyor. Ancak onu diğer fidye yazılımlarından farklı yapan şey ise, bir windows güvenlik açığını kullanarak bulunduğu ağdaki tüm makinelere kendini bulaştırabilmesi. Yanı solucan (worm) gibi davranarak, kendini farklı sistemlere taşıyabiliyor.

İlgili haber >> WannaCry, en çok Rusya’yı etkiledi

ESET Türkiye Güvenlik Uzmanı Yemliha İpek’nin verdiği bilgiye göre, zararlı yazılımın bunu yaparken kullandığı güvenlik açığı tüm Windows işletim sistemlerinde mevcuttu. Microsoft, bir güncelleme yayınlayarak söz konusu açığı kapattı. Ancak Yemliha İpek uyarıyor: “Bu güncellemeyi almayan bilgisayarlar hala saldırıya açık.“

Hangi ülkeler en çok etkilendi?

En çok zarar gören ülkelerden biri olarak Rusya öne çıkıyor. Ülkede bankalar, İçişleri ve Sağlık Bakanlığı ile devletin demiryolları gibi kamu kurumlarınınetkilendiği bildiriliyor. Saldırı sayısı açısından Rusya’yı Tayvan ve Ukrayna takip ediyor.

Saldırı sayısı ile saldırıların etkisi aynı oranda değil

Sayısal olarak “WannaCry“ zararlı yazılımına daha az maruz kalmasına karşın saldırıdan en ağır etkilenen ülkelerden biri İngiltere oldu. Burada Ulusal Sağlık Sistemi (NHS) çöktü. Yine İngiltere ve Fransa’da bazı otomotiv işletmeleri üretimlerini durdurdu. Türkiye’de de bazı otomotiv şirketleri üretimlerine geçici olarak ara verdi.

Türkiye şu an 14’üncü sırada

Türkiye, diğer ülkelere göre daha az etkilenmesine karşın, saldırıya maruz kalan ülkeler açısından sayısal olarak şu an 14’üncü sırada yer alıyor görünüyor. Virüsün yayıldığı ilk iki saat içerisinde Türkiye en çok etkilenen 3’üncü ülke konumundaydı. 12 Mayıs akşamı 8’inci sıraya oturan Türkiye, haftabaşı itibarıyla 14’üncü sırada yer alıyor.

ESET Türkiye Genel Müdür Yardımcı Alev Akkoyunlu’ya, Türkiye’nin en çok hedef olan ülkeler arasında yer almasının temel sebebi, güncel olmayan yazılımların yaygınlığı.

İlgili haber >> 5 soruda Türkiye’yi de etkileyen fidye yazılımı WannaCry

Akkoyunlu, şu bilgiyi paylaştı: “Maalesef hem kurumsal hem de bireysel düzeyde, güncel olmayan işletim sistemi ve güvenlik yazılımı kulanımı çok yaygın. Aynı şekilde korsan yazılım kullanımı da çok fazla. Durum böyle olunca, Türkiye her tür global saldırıdan fazla etkileniyor. Bu tarz siber saldırı dalgalarında, korunmasız bilgisayarlar, bir botnetin parçası olarak birer saldırı aracına dönüşüyor. Zaten WannaCry saldırısında da bunu gözlemliyoruz. Korunmasız bireysel bilgisayarlardan botnet oluşturularak, global düzeyde kurumsal sistemler hedef alındı.“

Ne yapmalı?

“En son Windows işletim sistemi güncellemeleri ve yamaları yüklenmiş olmalı“ diyen ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, ayrıca şu uyarılarda bulundu:

  • Mutlaka güncel ve proaktif bir güvenlik yazılımı kullanınız
  • Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayınız. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-mail içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa açmamanızı öneriyoruz.
  • İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarınız – örneğin muhasebe departmanları veya insan kaynakları departmanlarını.
  • Verilerinizi düzenli olarak yedekleyiniz. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır. Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırınız. Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alınız.
  • ESET ürününüzde ESET Live Grid özelliğinin aktif olduğuna emin olunuz.
  • Kullandığınız ESET ürünü ve Virüs İmza Veritabanı Sürümünün en güncel sürümde olduğuna emin olunuz.

Bu saldırının kaynağı neresi veya kim?

Bu maalesef henüz bilinmiyor. Fidye yazılımları, siber hırsızların giderek artan bir sıklıkla kullandığı yöntem olarak öne çıkıyor. İzi sürülmesi zor olan sanal para birimi Bitcoin sayesinde de ödemeleri alabiliyorlar.

Uluslararası İlişkiler

WannaCry, en çok Rusya’yı etkiledi

Yorum yapın

Kaspersky Lab araştırmacıları, analiz ettikleri veriler sonucunda şirketin koruma alt sistemlerinin, en çok Rusya’da olmak üzere 74 ülkede en az 45 bin  fidye yazılımı bulaştırma teşebbüsü saptadığını doğruladı.

12 Mayıs’ta dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı saldırısı gerçekleştirilmiştir. Söz konusu fidye yazılımı, kurbanlarına Microsoft Windows’ta bulunan ve Microsoft Güvenlik Bülteni MS MS17-010 kapsamında tanımlanıp kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan “Eternal Blue” adlı exploit*, 14 Nisan’da Shadowbrokers veri dökümünde ortaya çıkarılmıştır.

Saldırganlar sisteme girdikten sonra bir kök kullanıcı takımı (rootkit) kurarak, verileri şifreleyecek olan yazılımı indirmektedir. Zararlı yazılım dosyaları şifreledikten sonra 600 ABD Doları değerinde Bitcoin ödemesi talebi, miktarın yatırılacağı sanal cüzdan bilgileriyle birlikte ekranda gösterilmektedir. Talep edilen fidye miktarı zaman geçtikçe artacak şekilde ayarlanmıştır.

İlgili haber >> 5 soruda Türkiye’yi de etkileyen fidye yazılımı WannaCry

Kaspersky Lab uzmanları, mümkün olan en kısa sürede bir şifre çözme aracı geliştirmek adına, saldırı esnasında şifrelenerek kilitlenen verileri deşifre etmenin mümkün olup olmadığını tespit etme çalışmalarına devam etmektedir.

Kaspersky Lab güvenlik çözümleri, söz konusu saldırıda kullanılan zararlı yazılımı aşağıdaki isimlerle saptamaktadır:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Win64.EquationDrug.gen
  • Win32.Generic (Sistem İzleyici bileşeni etkin olmalıdır)

Kaspersky Lab, zararlı yazılımın bulaşma riskini azaltmak için aşağıdaki önemlerin alınmasını önermektedir:

  • Saldırıda kullanılan güvenlik açığını kapatmak üzere Microsoft’un sunduğu resmi yamayı yükleyin
  • Tüm ağ düğümlerinde güvenlik çözümlerinin aktif olduğundan emin olun
  • Kaspersky Lab’ın çözümü kullanılıyorsa, davranışsal proaktif bir tespit bileşeni olan Sistem İzleyici modülünü içerdiğinden ve çalışır halde olduğundan emin olun
  • Söz konusu zararlı yazılımı en kısa sürede tespit etmek için Kaspersky Lab çözümünde bulunan Kritik Alan Taraması’nı çalıştırın (aksi halde 24 saat içerisinde otomatik olarak tespit edilecektir)
  • MEM: Trojan.Win64.EquationDrug.gen’i saptadıktan sonra sistemi yeniden başlatın
  • Müşteriye Özel Tehdit İstihbaratı Raporlaması hizmetlerini kullanın

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]