Merhabalar,

Önceki iki yazımda son dönemde ülkemizde de artış gösteren fidye zararlı yazılım saldırılarından bahsetmiştim. Birimci bölümde saldırıya yol açan etkenleri incelemiş ve ikinci yazımda da aşağıda devamını okuyacağınız saldırı ile ilgili detay bilgi vererek korunma yöntemleri ve olası bir saldırıdan en az hasar ile nasıl çıkacağınızı anlatmaya çalıştım. Okuyacağınız bu üç kısa makale sayesinde şirketinizi koruyabilir ve saldırıya maruz kaldığınız günlerde şirket sahibine veya müşterilerinize karşı kötü duruma düşmek istemezsiniz. Saldırıya maruz kalsanız dahi önceden aldığınız önlemler sayesinde içinizde büyük bir güven duygusu hissedecek ve paniğe kapılmayacaksınız.

Aşağıdaki yazının önceki bölümlerine aşağıdaki linkler aracılığı ile ulaşabilirsiniz.

Virüs 2.0 – Fidye Yazılım (Ransomware)

http://bilisim.io/2020/05/13/virus-2-0-fidye-yazilim-ransomware/

 

Fidye Yazılım (Ransomware) Saldırı ve Savunma Evreleri

http://bilisim.io/2020/05/14/fidye-yazilim-ransomware-saldiri-ve-savunma-evreleri/

 

Bu bölümde kuruluştaki bilgisayar ve sunucuların çalışmadığı, herkesin birbirine ve özellikle bilgi işlem bölümündekilere neler olduğunu ve nasıl olacağını, bütün bilgilerinin gittiğini, onlara mutlaka ihtiyacı olduklarını ve şirket sahibinin veya yöneticisinin ensenizde nefesinizi hissettiğiniz bir durum ile karşı karşıya olduğumuz durumlarda neler yapılması gerektiği ile ilgili genel çerçeveyi çizeceğiz.

Eğer bu yazının ilk bölümlerini okuyarak uyguladıysanız rahat olabilirsiniz, mutlaka bir B planınız var demektir. Saldırıdan en az hasar ile çıkabilmek için (sadece bilgi kaybı değil, müşteri kaydı, itibar kaybı ve cezai durumlar söz konusu olabilecektir) saldırı anında soğuk kanlılığınızı koruyarak aşağıdaki maddeleri aklınıza getirin.

 

Fidye Yazılım (Ransomware) Saldırısı Sırasında

Büyük kuruluşlar siber güvenlik konusunda kadro barındırdıkları için bu konuda diğer firmalara göre daha iyi bir koruma seviyesine ve siber olaylara karşı daha hızlı müdahale edebilmek olanaklarına sahiptirler fakat ülkemizdeki istatistiklere baktığımızda mevcuttaki ticari kuruluş adedinin %98’ini Küçük ve Orta Boy İşletmeler’in (KOBİ) oluşturduğu görülmektedir. KOBİ’lerin çok az bir kısmının siber güvenlik konularında yatırım yapacak kaynağı vardır ve bu durum da sektörde en çok bu gurubun etkilenmesine neden olmaktadır. Bu sebeple iş kesintisi oluşmakta, sınırlı olan kaynak ve zamanları da bilgisayar korsanlarının ağlarına düşmelerine davetiye çıkarmakta, iş kesintilerine sebep olmaktadır. KOBİ’lere önerim fidye zararlı yazılım saldırısına uğramadan önce en azından bilgisayarlarındaki verilerin yedeklerini düzenli olarak farklı bir ortama almaları olacaktır. Bu yedekleme en kötü senaryonun gerçekleşmesi durumunda işlerinize geri dönüş için bir can simidi olacaktır ve kötü olayı en az hasar ile atlatmanıza yardımcı olacaktır.

Fidye yazılım saldırısına karşı koymak için çalışmalar yapılsa dahi kötü niyetli bir kişi sizin koyduğunuz engelleri aşmayı başarabilir. Bunun sebebi “Fidye Yazılım Saldırısı Öncesi” aşamasında ele aldığımız adımlardaki bir anlık zafiyet veya hiç bilinmeyen, henüz yaması yayınlanmamış bir güvenlik açığının varlığı da olabilir.

Kaynağı ne olursa olsun artık sebep arama zamanı değil, mevuttaki yangını söndürme zamanıdır. Mevuttaki kötü durumu olabildiğince az hasar ile atlatmak için acil olarak işe koyulmak gerekecektir. Bunun sebebi yeni nesil fidye yazılımlarının sadece bulaştıkları bilgisayarı değil, mevcut bilgisayar ağında gezerek kendilerini diğer bilgisayarlara ve merkezi sunuculara da bulaştırmasıdır.

Fidye zararlı yazılımını tespit eden kişiye göre değişiklik gösterse de ilk yapılacak adımlar herkesin yapabileceği basit adımlardır ve çok hızlı bir şekilde tamamlanmalıdır.

• Bilgisayarın derhal düğmesinden veya kablosundan elektriğinin kapatılması. Dosyalarım açıktı, acaba şuradaki dosyalarıma da bir şey olmuş mu diye bakmanın zamanı değildir.
• Bilgisayar ağ kablosunun çıkartılması veya kablosuz ağ aracılığı ile bağlanıyor ise ağ bağlantısının kesilmesi.
• Kurumdaki switch veya modem’in elektriğinin kapatılması da zararlı yazılımın ağ kaynaklarına erişimini engellemek için yapılabilecek önemli bir işlemdir.
• Acil olarak yetkili kişilere haber verilmesi. Bu kişi bir yardım masası çalışanı, yöneticiniz veya size destek veren bilgisayar firmasındaki temsilciniz olabilir. Bu adımı kesinlikle atlamayın veya olayı gizlemeye çalışmayın, bu olayın büyümesine ve etkisinin artmasına, geri dönüş senaryolarının karmaşıklaşmasına ve iş kesintisinin uzamasına sebep olacaktır.
• Bilgisayarın mevcut ortamdan alınarak incelenmek üzere güvenli bir ortama alınması.
• Diğer bilgisayar ve ağ kaynaklarına bir bulaşma olup olmadığının kontrol edilmesi.
• Olayın nasıl olduğuna dair yetkililere bilgi verilmesi ve ilk bulaşmanın ne şekilde olduğuna dair ipuçlarının ortaya çıkartılması. Bu sayede diğer kişilerin bilgilendirilmesi sağlanarak zararlı yazılımın kaynağına erişmemeleri ve bilgisayarlarına bulaştırmamaları sağlanabilir.
• Hasar tespit çalışması yapılması ve raporlanması.
• Olay sonunda etkilenen iş birimleri ve paydaşlar var ise bunlara bilgi verilmesi ve etkilenecek işlerin yeniden planlanması ile iş kesintisini en az düzeye indirilmeye çalışılması.
• Müşterilerin de etkilendiği kadar büyük bir olay olması durumda kuruluştaki iletişim veya hukuk birimleri aracılığı ile Fidye Yazılım Saldırısı Öncesinde hazırlanmış olan duyur, basın açıklaması ile durum hakkında düzenli ve kısa / özet bilgilendirmeler yapılmalıdır.
• İlk şok atlatıldıktan sonra derinlemesine inceleme ihtiyacı olup olmadığı, bir iş kesintisi var ise ne kadar sürede eski yapıya ya da en azından ihtiyacı karşılayacak kadar bir seviyede hizmet verileceği tespit edilmelidir.
• Gerekiyor ise, eğer önceden hazırlanmış ise iş sürekliliği planı devreye alınmalıdır.
• Paralel olarak fidye zararlı yazılımının kuruma nasıl bulaştığı tespit edilmeli ve bu açıklık ivedi bir şekilde kapatılmalıdır. Aksi takdirde aynı saldırıya tekrar maruz kalınabilir.

Buraya kadar olan bölümde saldırı öncesinde gerekli hazırlıkları yapmış kurumlar için yapılacak genel adımları açıklamaktadır. Eğer bilgi sistemlerine yeterince önem verilmediyse verilerin kurtarılması çok zor olacaktır. Buradaki en kötü senaryo fidye parasının ödenmesi yoluyla şifrelenmiş dosyaların eski hallerine getirilmeleridir. Bu yazının amacı size bunu tavsiye etmek değil, sizi bu riski karşı korumak için alacağınız tedbirlerin neler olduğu hakkında bilgi edinmenizi sağlamaktır.

Unutmayın; Risk’e karşı alacağınız 1 birimlik tedbir maliyeti, risk gerçekleşirse ortaya çıkacak olan 10 birimlik zarar maliyetine karşı sizi koruyacaktır.

 

Fidye Yazılım Saldırısı Sonrasında

Bu aşamada saldırının atlatıldığı, kuruluşun normal iş akışı seviyesine, günlük rutinine dönmüş olduğu zaman dilimini kapsamaktadır. Bu aşamada yapılacak en önemli çalışma, öğrenilmiş derslerin (Lessons Learned) çıkartılması olacaktır. Aşağıdaki temel sorular ile olayı sorulamaya ve not almaya başlayabilirsiniz, olayların sıralı olarak incelenmesi için bir zaman cetveli çıkarmanızı öneririm.

• Bu saldırıya neden maruz kaldık
• Olay nasıl gerçekleşti
• Niçin x,y veya z sistemi etkilendi
• Olay ne zaman oldu
• Olaydan kimler etkilendi

Bu temel soruların amacı, olayın kök nedenini bularak bir daha başınıza gelmemesi için yapılacak çalışmaları planlamaktır. Kök neden analizinin en kolay yöntemi de temel sorular ile başlayarak 5 kere ardarda Neden? Sorusunu sormaktır.

Olayın kendisini, olay öncesinde, olay sırasında ve olay sonrasında yapılmış olan tüm aktiviteleri zaman sıraslı olarak bir rapor haline getirmeli ve mutlaka kayıt altına almalısınız. Raporunuzda ayrıca ortaya çıkacak düzeltici işlemlerin neler olduğunu ve nasıl takip edileceğini ve ne zaman riskin azalacağını da belirtmelisiniz. Raporunuzu kendi içinizde ilgili taraflar ile paylaşmalı ve olayın tekrar etmemesi için desteklerini istemelisiniz.

 

Hepinize sağlıklı günler dilerim.

Saygılarımla,

Mustafa TURAN