Ransomware Saldırıları ve Güvenlik Önlemleri
Son yıllarda, siber güvenlik tehditleri giderek artmakta ve özellikle ransomware (fidye yazılımı) saldırıları, birçok kuruluş için ciddi bir risk oluşturmakta. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın tarihli bir açıklamada, SimpleHelp Remote Monitoring and Management (RMM) uygulamalarının güncellenmemiş sürümlerine yönelik artan fidye yazılımı saldırılarına dikkat çekti. Bu tür yazılımlar, siber suçlular tarafından hedef alınmakta ve kullanıcı verileri tehlikeye atılmaktadır.
Ransomware Saldırılarındaki Genel Güdüler
CISA’nın açıkladığı üzere, fidye yazılımı aktörleri, January 2025’ten bu yana güncellenmemiş SimpleHelp RMM sürümlerini hedef alıyor. Açıklamada, CVE-2024-57727, CVE-2024-57728 ve CVE-2024-57726 gibi güvenlik açıklarının, veri ifşası, ayrıcalık yükselmesi ve uzaktan kod yürütme gibi sonuçlara yol açabileceği belirtildi. DragonForce gibi fidye yazılımı grupları bu açıkları kullanarak hedeflerine saldırmıştır.
Bunun yanı sıra, Sophos, bir Yönetilen Hizmet Sağlayıcısı’nın SimpleHelp uygulaması üzerinden gerçekleştirilen bir saldırıyı rapor etti ve bu saldırıda kullanılan açıklar üzerinden başka müşterilere geçiş yapıldığını ortaya koydu. CISA, SimpleHelp 5.5.7 ve daha eski sürümlerin, fidye yazılımı grupları tarafından kullanıldığını ve saldırıların çift fidye talebi olarak gerçekleştirildiğini vurguladı.
Önleyici Tedbirler
CISA, bu tür saldırılarla başa çıkmak için aşağıdaki önlemleri önermektedir:
Güncelleme ve İzolasyon: SimpleHelp sunucularını internetten izole edin ve en son sürümlere güncelleyin.
Müşteri Bilgilendirmesi: Aşağı müşteri gruplarına durumu bildirin ve cihazlarını güvence altına almak için gerekli adımları atmalarını önerin.
Tehdit Avı: Bilgi ifşasına dair göstergeleri izleme ve anormal trafik için analiz yapma.
Bağlantıları Kesme: Ransomware tarafından şifrelenen sistemleri internetten ayırın, işletim sistemini yeniden kurun ve verileri temiz bir yedekten geri yükleyin.
Düzenli Yedekleme: Temiz, çevrimdışı yedeklerinizi periyodik olarak saklayın.
- Uzak Hizmetleri Kapatma: Remote Desktop Protocol (RDP) gibi uzak hizmetlerin internet üzerinden paylaşıma açılmasını engelleyin.
CISA, fidye ödemelerini teşvik etmemekte, çünkü tarafların sağladığı kırıcıların dosyaların kurtarılmasını garanti etmediğini belirtmektedir. Ödeme yapmanın, suçluları diğer organizasyonları hedef almaya yönlendirebileceğini vurgulamaktadır.
Fog Fidye Yazılımı Saldırısı
Son dönemde dikkat çeken bir diğer olay ise Fog fidye yazılımı saldırısıdır. Symantec, Asya’daki tanınmayan bir finans kurumunu hedef alan bu saldırıda, hem geleneksel hem de açık kaynaklı pentesting araçlarının kombinasyonunun kullanıldığını bildirmiştir. Fog, Mayıs 2024’te tespit edilen bir fidye yazılımı çeşididir.
Saldırganlar, uzaktan erişim sağlamak için Virtual Private Network (VPN) kimlik bilgilerini kullanarak organizasyonların ağlarına sızmaktadır. Saldırılar, Windows kısayol (LNK) dosyalarının e-posta veya phishing saldırıları yoluyla dağıtılmasıyla bulaşmaktadır. Bunun sonucunda, bir PowerShell betiği çalıştırılır ve fidye yazılımı yüklenir.
Fog, hem Windows hem de Linux sistemlerini hedef alabilmekte ve güvenlik araçlarını devre dışı bırakma yeteneğine sahiptir. Trend Micro‘ya göre, dünya genelinde çok sayıda kurban edinerek verilerini sızdırmışlardır.
LockBit ve Çin’in Hedeflenmesi
LockBit fidye yazılımının, son altı ayda yaklaşık 2.3 milyon dolar kazanç elde ettiği bilinmektedir. Trellix‘in analizine göre, LockBit’in coğrafi hedeflemesi, Çin‘i en çok hedef alınan ülkelerden biri olarak öne çıkarmaktadır.
Siber güvenlik araştırmacıları, LockBit’in Çin pazarına olan odaklanmasının, ülkenin geniş sanayi tabanıyla ilgili olabileceğini belirtmektedir. LockBit, Çin hedeflerine ulaşma konusunda başka grupların aksine herhangi bir siyasi sonuçtan çekinmeden operasyonlarını sürdürebilmektedir.
LockBit’in ortak panellerinin sızdırılması, grubun hain bir yöntemle operasyonlarını sürdürdüğünü ve fidye yazılımlarının gerçekteki karmaşıklığını gözler önüne sermektedir.
Bu tür fidye yazılımı saldırıları ve benzeri olaylar, tüm kuruluşları siber güvenlik alanında daha dikkatli olmaya zorlamakta. Jeopolitik durumlar, pazar dinamikleri ve organizasyonların güvenlik altyapılarındaki eksiklikler, bu tarz tehditlerin artmasında etkili olmaktadır.
