Fidye Yazılımı Saldırısı Nedir?
Fidye yazılımı saldırısı (ransomware) kötü niyetli kişilerin, belirli bir sistemin, dosyalarını ele geçirip, bozarak, şifrelediği ve belirli bir bedel karşısında şifre çözme anahtarı paylaştığı, kötü amaçlı yazılım türlerine denir. Saldırganlar, mağdur kişi veya kurumun, dosyalarını şifreleyip, fidye karşılığı da şifreyi paylaşma vaadinde bulunmaktadır. Ödeme için genellikle, Bitcoin, Tether, Etherium gibi kripto para yöntemlerini kullanmaktadırlar.
Fidye Yazılım Türleri Nelerdir?
Fidye yazılım türleri üç başlıkta incelenebilir.
Crypto-Ransomware, Locker-Ransomware, Doxware / Leakware
Crypto-Ransomware: Saldırganlar dosyaları şifreler, ancak sistemin genel kullanımına zarar vermez.
Locker-Ransomware: Saldırganların hedef aldığı cihaz/sistem tamamen kilitlenir ve kullanıcıkar sisteme giriş yapamaz.
Doxware / Leakware: Saldırganlar, sistemi kilitleyip aynı zamanda verilerini çalmakla veya sızdırmakla tehdit ederler.
Fidye Yazılımlarından Korunma ve Önlemler
Fidye yazılımları, siber güvenliğin en ciddi tehditlerinden bir tanesidir ve önlemler de ciddiyet ile yürütülmelidir. Fidye yazılımlarına karşı koruma, tek bir önlem değil bir çok güvenlik stratejisi ile mümkün ve tam koruma sağlanması da zor bir ihtimaldir. Bu sebeple aşağıdaki önlemler, fidye yazılımlarından korunmak için yapılması gerekenlerden önem derecesi yüksek olanlardandır.
Bu yazımızda, ransomware saldırılarından, Windows işletim sistemlerimizi korumak için gerekli yapılacak adımları paylaşayacağız.
İşletim Sistemi Güncelleme
Windows işletim sistemlerini kesinlikle güncel tutmaya özen gösterin ve otomatik güncelleme seçeneklerini aktif edin.
Güçlü ve karmaşık şifreler kullanın
Hem Windows Administrator kullanıcısı için hem de diğer kullanıcılarınız için güçlü şifre kullanın ve güçlü şifreler kullanmayı zorunlu hale getirin. Şifreleriniz komplike olsun. Şifreleriniz en az 12 karakter olmalı ve içerisinde, sayı ve sembol karakter kullanmalısınız.
Güçlü şifre politikasını kaldırmayın. Windows üzerinde varsayılan olarak gelen, “şifre karmaşıklık gereksinimi” (Password Must Meet Complexity Requirements) aktif halde bırakın.
Şifre değiştirme politikası
Tüm kullanıcılar için, zorunlu parola kullanım süresi politikası güdün. Kullanıcılarınıza, sizin belirlediğiniz bir sürede şifrelerini yenilemeyi zorunlu hale getirin. Windows sunucu işletim sistemlerinde varsayılan olarak bu süre 60 gün şeklindedir. Siz oluşturacağınız politikaya göre bu süreyi değiştirebilirsiniz. Bu ayarı Group politikaları üzerinden >Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy kısmından, Maximum password age değerinden değiştirebilirsiniz.
Uzak masaüstünü portunu değiştirin
Windows işletim sistemlerinde, uzak masaüstü portu varsayılan olarak 3389 numaralı porttur. Bu portu varsayılandan farklı şekilde ( 1 – 65535 arasında) değiştirin.
Güvenlik duvarı kullanın
Windows işletim sistemlerinde gömülü gelen güvenlik duvarını kullanın. Mümkünse işletim sisteminin önüne bir güvenlik duvarı koyun.
Güvenlik duvarını yapılandırın
Dışarıya açık olan ve kullanmadığınız port varsa kesinlikle kapatın. Eğer dışarıdan erişilmesi gereken bir port/servis varsa, sadece erişecek kullanıcıların ip adreslerine izin verin
Daha fazla güvenlik
RDS-Knight gibi uygulamalar kullanın. Eğer uzak masaüstü servisinizi belirli iplere izin verilebilecek şekilde kullanamıyorsanız, RDS-Knight üzerinde Brute-Force attak defender’i aktif edin. Brute-Force attak defender üzerinde, bir ip adresinden kaç kez deneme yapılacağı ve ne kadar süre sistemden banlanacağının ayarını yapabilirsiniz.
Yine aynı program üzerinde, kullanıcıların hangi saatlerde bağlanabileceğini belirleyebilir ve aynı zamanda, hangi kullanıcının, hangi bilgisayar isminden bağlanabileceğini belirtebilirsiniz.
RDS-Knight Ransomware
RDS-Knight yazılımında ayrıca Ransomware Protection menüsü ile fidye yazılımı koruması da bulunmaktadır. Kısmi olarak olsa da fidye yazılımların önüne geçmektedir.
Not: RDS-Knight (yeni ismiyle TSplus Advanced Security) ücretli ve farklı lisanslama modelleri olan bir yazılımdır.
Antivirüs Yazılımı Kullanın
Fidye yazılımları için maalesef standart anti virüs programları güvenli olmamaktadır. Bunun için davranış temelli analiz yapan anti virüs programları kullanmanız gerekmektedir. Aşağıda belirtilen anti virüs yazılımlarını inceleyebilir ve kullanabilirsiniz.
- Bitdefender Antivirus Plus / Total Security
- Kaspersky Standard / Plus / Premium
- Norton 360
- ESET Internet Security / Smart Security Premium
Ransomware Engelleyici Yazılımlar Kullanın
Anti virüs haricinde, ayrıca fidye yazılımını engelleyecek yazılımlar da kullanabilirsiniz.
| Acronis Cyber Protect | Yedekleme + Antivirüs + Fidye yazılımı koruması bir arada |
| RansomFree (Cybereason) | Şifreleme davranışı gördüğünde alarm verme özelliğine sahiptir. |
| Malwarebytes Anti-Ransomware | Hafif yapılı, sadece ransomware odaklı modül |
Anti virüs yazılımını her kullanıcıda kullanın
Sunucu işletim sisteminizde, anti virüs yazılımı kullanmanız maalesef yeterli olmayacaktır. Özellikle uzak masaüstü servisini aktif olarak kullanıyorsanız, bağlanan ve bağlanacak her kullanıcının bilgisayarında/cihazında da anti virüs yazılımı kullanmanız gerekecektir. Uzak masaüstü servisine bağlanan kullanıcıda virüs olduğu takdirde, şifresi ele geçirilip, sunucu işletimde de fidye yazılımı aktif edilecektir.
Yama Yönetimi ile Güvenliği Destekleyin
Antivirüs yazılımlarının önemli konumunun yanında yama yönetimi bu savunmayı destekleyen kritik bir adımdır. Yazılımlarınızda tespit edilen güvenlik açıklarını yamalar (patch) ile kapatarak, saldırganların bu açıkları kullanmasının önüne geçebilirsiniz.
Windows, her ay Patch Tuesday olarak bilinen düzenli güvenlik güncellemeleri yayımlar. Bu güncellemeler, sisteminizdeki güvenlik açıklarını kapatarak fidye yazılımlarının sisteme sızmasını engeller. Ayrıca, web sunucusu yazılımları (Apache, Nginx) ve veritabanı yazılımları (MySQL, PostgreSQL) gibi uygulamalarda da düzenli yama uygulamak, genel güvenlik düzeyinizi artırır ve olası tehditlere karşı savunmanızı güçlendirir.
Kullanıcıları yetkilendirin
Kullanıcılarınız Administrator yetkisi ile tüm sisteme erişmesine izin vermeyin. Sadece belirli işlemleri yapacaksa, o kısımlarda yetki verin ve bunu takip edin.
Çok Faktörlü Kimlik Uygulaması Kullanın (MFA)
Sadece bir şifre ile sistemi güvende tutmak yeterli değildir. Bu nedenle, çok faktörlü kimlik doğrulama (MFA) kullanarak ek güvenlik katmanları ekleyin. MFA, kullanıcıların sisteme erişim sağlamak için yalnızca şifre değil, aynı zamanda SMS, e-posta doğrulaması veya biyometrik doğrulama gibi ek doğrulama yöntemlerini de kullanmalarını gerektirir. Bu ek güvenlik önlemleri, saldırganların sisteme erişmesini zorlaştırarak, fidye yazılımlarının yayılma riskini en aza indirir. MFA, yalnızca şifre güvenliğini artırmakla kalmaz, tüm sisteminizi güçlü bir koruma ile donatır.
- Google Authenticator
- Microsoft Authenticator
- Duo Security
- Authy
Güvenlik bilgi ve olay yönetimi (SIEM)
Fidye yazılımı saldırılarının erken tespitinde önemli bir rol oynayan SIEM çözümleri, sistemdeki güvenlik olaylarını gerçek zamanlı olarak izleyerek olası tehditleri önceden fark etmenize olanak tanır. Bu sayede potansiyel tehditlere hızlıca müdahale edebilir ve saldırıların etkisini en aza indirebilirsiniz. Önerebileceğimiz bazı programlar;
| Splunk | Veri toplama ve analiz için güçlü platform. | Büyük şirketlerde yaygın. |
| IBM QRadar | Güvenlik verilerini analiz eder ve tehditleri tespit eder. | Büyük işletmelerde tercih edilir. |
| LogRhythm | Hızlı tehdit tespiti sağlar ve kullanıcı dostudur. | Orta büyüklükteki işletmelerde popüler. |
| AlienVault | Ağ aktivitelerini izler ve tehditlere karşı uyarı verir. | Küçük ve büyük işletmelerde kullanılır. |
Kimlik avı (pishing) ve sosyal mühendislik önlemleri
Fidye yazılımlarının büyük kısmı, pishing adı verilen, sahte email, sahte web sitesi gibi yerlerden yayılmaktadır. Bu sebeple, gelen epostalarda, bulunan linklere hemen tıklamayın. Bilmediğiniz web sitelerine giriş yapmayın, yapıyorsanız da temkinli yaklaşın.
Yedekleme
Yukarıda belirtildiği üzere, fidye yazılımlarının tek bir çözüm önlemi bulunmuyor. Bu sebeple atladığımız bir konu olduğunda, aynı şekilde fidye yazılımına maruz kalabiliriz. O yüzden, fidye yazılımlarıyla yaşamayı öğrenmemiz gerekiyor.
( Veeam EMEA Bölge CTO’su ve Siber Güvenlik Teknolojist Lideri Edwin Weijdema : Fidye yazılımlarıyla yaşamayı öğrenmenin zamanı geldi )
Bu bağlamda, her güvenlik önlemi ciddi derecede önem taşıdığı gibi, yedekleme politikamız bu konuda en önemli kriter olmalı. Kesinlikle ve kesinlikle yedeklerinizi her daim alın. Mümkünse, yedeklerinizi tek bir lokasyona değil, birden fazla lokasyona (coğrafi yedekleme) almanızda fayda olacaktır.
