Geçtiğimiz Cuma günü neredeyse her ülkeden kurumların saldırıya uğradığı ve bilgisayar ağlarının çöktüğü haberleri geldi. Buna benzer yaşanan son büyük salgını Conficker solucanı başlatmıştı ve bu yaklaşık on yıl önceydi. Teknik ve uygulama anlamında önemli farklılıklar içeren bu vakayı, küresel siber güvenlik lideri Forcepoint’in kıdemli uzmanları farklı yönleriyle değerlendirdi.
Son zamanlarda karşılaştığımız siber saldırılar daha çok ‘truva’ yöntemini kullanıyordu. Truva yönteminde saldırganlar; bilgi çalmak, dosyaları kilitlemek veya başka bir amaç doğrultusunda avlarını tuzağa düşürmek ve kötü amaçlı yazılımı karşı tarafa kurmak için sosyal yetenek taktiklerinden faydalanırlar. Bu yöntemin temel özelliği, saldırının tek hedef üzerinde gerçekleşmesidir.
Yaşadığımız son salgının arkasındaki WannaCry, WCry veya WannaCrypt0r 2.0 olarak adlandırılan kötü niyetli yazılım esasen farklı bir ‘familyadan’ geliyor; solucan familyasından. Solucan, bir şebekeye girdiği anda kendi kendini çoğaltmaya başlar, genelde Windows işletim sistemindeki yamalanmamış gedikleri kullanarak bir makineden başka bir makineye bulaşır. Yaşadığımız son örnekte solucanın istismar ettiği gediğin ismi ‘EternalBlue’. Microsoft tarafından bu güvenlik açığı için üretilen yama, MS17-010 ismiyle geçtiğimiz Mart ayında dağıtılmaya başlamıştı.
Fidye transferi için Bitcoin kullanıldı
Cuma günkü saldırı, e-posta aracılığıyla gönderilen zararlı bir siteye ait linke tıklanmasıyla başladı. Eğer e-posta bir şekilde kullanıcıya ulaşır ve linke tıklanırsa, WannaCry fidye solucanı otomatik olarak siteden bilgisayara inerek olaylar zincirinin başlamasına neden oluyor. Bu zararlı yazılım daha sonra, eriştiği bilgisayarın bağlı olduğu yerel ağa da sızarak kendini diğer bilgisayara kopyalıyor, dosyalarını şifreliyor ve deşifre karşılığında 300 dolar istiyor.
Saldırıyı gerçekleştirenler görünüşe göre para transferi için pek çok Bitcoin cüzdanı kullanıyorlar. Bu analiz hazırlanırken bile cüzdanlardan birine şimdiden 23 para transferiyle toplam 4.266 Bitcoin (yaklaşık 7.500 USD) gönderilmişti. Muhtemelen bu, soygunda elde edilen paranın küçük bir kısmını teşkil ediyor.
Kurumlar güvenlik yatırımını artırmalı
E-posta, web ve NGFW güvenliği ürünlerimiz sayesinde Forcepoint kullanıcıları bu küresel saldırından korunmuş olsalar da, böyle bir saldırını doğası gereği aradan kaçabilecek veya kaza eseri karantinadan çıkabilecek tek bir e-posta bile kurumların tüm sistemlerini şifrelenme riskiyle baş başa bırakabilir. Güvenlik karşısında alınacak derinlemesine savunma yaklaşımı ile bir saldırı, direnç zincirinin pek çok noktasında potansiyel olarak durdurulabilir.
E-posta üzerine kurulu seçim kampanyalarındaki kullanıcıların aldığı eğitime benzer bir yaklaşım, bu tür saldırıları sınırlamada atılacak çok önemli bir adım olur. Çünkü kendi kendini çoğaltan fidye virüsleri yaygınlaşmaya başlarsa, bir kullanıcının kasten veya kaza eseri zararlı bir linke tıklamasının bir kurumu yüz yüze bırakacağı güvenlik riski kat kat artacaktır. Bu zararlı yazılımın istismar ettiği MS17-010 güvenlik açığının yamalanmasının üzerinden neredeyse iki ay geçti. Bu ve farklı kurumlar arasında yaşanan derin hasar farkları gösteriyor ki, eksiksiz ve periyodik bir yazılım güncelleme pratiğinin benimsenmesi gerekiyor.