Fidye yazılımı saldırısı (ransomware) kötü niyetli kişilerin, belirli bir sistemin, dosyalarını ele geçirip, bozarak, şifrelediği ve belirli bir bedel karşısında şifre çözme anahtarı paylaştığı, kötü amaçlı yazılım türlerine denir. Saldırganlar, mağdur kişi veya kurumun, dosyalarını şifreleyip, fidye karşılığı da şifreyi paylaşma vaadinde bulunmaktadır. Ödeme için genellikle, Bitcoin, Tether, Etherium gibi kripto para yöntemlerini kullanmaktadırlar.
Fidye yazılım türleri üç başlıkta incelenebilir.
Crypto-Ransomware, Locker-Ransomware, Doxware / Leakware
Crypto-Ransomware: Saldırganlar dosyaları şifreler, ancak sistemin genel kullanımına zarar vermez.
Locker-Ransomware: Saldırganların hedef aldığı cihaz/sistem tamamen kilitlenir ve kullanıcıkar sisteme giriş yapamaz.
Doxware / Leakware: Saldırganlar, sistemi kilitleyip aynı zamanda verilerini çalmakla veya sızdırmakla tehdit ederler.
Fidye yazılımları, siber güvenliğin en ciddi tehditlerinden bir tanesidir ve önlemler de ciddiyet ile yürütülmelidir. Fidye yazılımlarına karşı koruma, tek bir önlem değil bir çok güvenlik stratejisi ile mümkün ve tam koruma sağlanması da zor bir ihtimaldir. Bu sebeple aşağıdaki önlemler, fidye yazılımlarından korunmak için yapılması gerekenlerden önem derecesi yüksek olanlardandır.
Bu yazımızda, ransomware saldırılarından, Windows işletim sistemlerimizi korumak için gerekli yapılacak adımları paylaşayacağız.
Windows işletim sistemlerini kesinlikle güncel tutmaya özen gösterin ve otomatik güncelleme seçeneklerini aktif edin.
Hem Windows Administrator kullanıcısı için hem de diğer kullanıcılarınız için güçlü şifre kullanın ve güçlü şifreler kullanmayı zorunlu hale getirin. Şifreleriniz komplike olsun. Şifreleriniz en az 12 karakter olmalı ve içerisinde, sayı ve sembol karakter kullanmalısınız.
Güçlü şifre politikasını kaldırmayın. Windows üzerinde varsayılan olarak gelen, “şifre karmaşıklık gereksinimi” (Password Must Meet Complexity Requirements) aktif halde bırakın.
Tüm kullanıcılar için, zorunlu parola kullanım süresi politikası güdün. Kullanıcılarınıza, sizin belirlediğiniz bir sürede şifrelerini yenilemeyi zorunlu hale getirin. Windows sunucu işletim sistemlerinde varsayılan olarak bu süre 60 gün şeklindedir. Siz oluşturacağınız politikaya göre bu süreyi değiştirebilirsiniz. Bu ayarı Group politikaları üzerinden >Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy kısmından, Maximum password age değerinden değiştirebilirsiniz.
Windows işletim sistemlerinde, uzak masaüstü portu varsayılan olarak 3389 numaralı porttur. Bu portu varsayılandan farklı şekilde ( 1 – 65535 arasında) değiştirin.
Windows işletim sistemlerinde gömülü gelen güvenlik duvarını kullanın. Mümkünse işletim sisteminin önüne bir güvenlik duvarı koyun.
Dışarıya açık olan ve kullanmadığınız port varsa kesinlikle kapatın. Eğer dışarıdan erişilmesi gereken bir port/servis varsa, sadece erişecek kullanıcıların ip adreslerine izin verin
RDS-Knight gibi uygulamalar kullanın. Eğer uzak masaüstü servisinizi belirli iplere izin verilebilecek şekilde kullanamıyorsanız, RDS-Knight üzerinde Brute-Force attak defender’i aktif edin. Brute-Force attak defender üzerinde, bir ip adresinden kaç kez deneme yapılacağı ve ne kadar süre sistemden banlanacağının ayarını yapabilirsiniz.
Yine aynı program üzerinde, kullanıcıların hangi saatlerde bağlanabileceğini belirleyebilir ve aynı zamanda, hangi kullanıcının, hangi bilgisayar isminden bağlanabileceğini belirtebilirsiniz.
RDS-Knight yazılımında ayrıca Ransomware Protection menüsü ile fidye yazılımı koruması da bulunmaktadır. Kısmi olarak olsa da fidye yazılımların önüne geçmektedir.
Not: RDS-Knight (yeni ismiyle TSplus Advanced Security) ücretli ve farklı lisanslama modelleri olan bir yazılımdır.
Fidye yazılımları için maalesef standart anti virüs programları güvenli olmamaktadır. Bunun için davranış temelli analiz yapan anti virüs programları kullanmanız gerekmektedir. Aşağıda belirtilen anti virüs yazılımlarını inceleyebilir ve kullanabilirsiniz.
Anti virüs haricinde, ayrıca fidye yazılımını engelleyecek yazılımlar da kullanabilirsiniz.
| Acronis Cyber Protect | Yedekleme + Antivirüs + Fidye yazılımı koruması bir arada |
| RansomFree (Cybereason) | Şifreleme davranışı gördüğünde alarm verme özelliğine sahiptir. |
| Malwarebytes Anti-Ransomware | Hafif yapılı, sadece ransomware odaklı modül |
Sunucu işletim sisteminizde, anti virüs yazılımı kullanmanız maalesef yeterli olmayacaktır. Özellikle uzak masaüstü servisini aktif olarak kullanıyorsanız, bağlanan ve bağlanacak her kullanıcının bilgisayarında/cihazında da anti virüs yazılımı kullanmanız gerekecektir. Uzak masaüstü servisine bağlanan kullanıcıda virüs olduğu takdirde, şifresi ele geçirilip, sunucu işletimde de fidye yazılımı aktif edilecektir.
Kullanıcılarınız Administrator yetkisi ile tüm sisteme erişmesine izin vermeyin. Sadece belirli işlemleri yapacaksa, o kısımlarda yetki verin ve bunu takip edin.
Sadece bir şifre ile sistemi güvende tutmak yeterli değildir. Bu nedenle, çok faktörlü kimlik doğrulama (MFA) kullanarak ek güvenlik katmanları ekleyin. MFA, kullanıcıların sisteme erişim sağlamak için yalnızca şifre değil, aynı zamanda SMS, e-posta doğrulaması veya biyometrik doğrulama gibi ek doğrulama yöntemlerini de kullanmalarını gerektirir. Bu ek güvenlik önlemleri, saldırganların sisteme erişmesini zorlaştırarak, fidye yazılımlarının yayılma riskini en aza indirir. MFA, yalnızca şifre güvenliğini artırmakla kalmaz, tüm sisteminizi güçlü bir koruma ile donatır.
Fidye yazılımı saldırılarının erken tespitinde önemli bir rol oynayan SIEM çözümleri, sistemdeki güvenlik olaylarını gerçek zamanlı olarak izleyerek olası tehditleri önceden fark etmenize olanak tanır. Bu sayede potansiyel tehditlere hızlıca müdahale edebilir ve saldırıların etkisini en aza indirebilirsiniz. Önerebileceğimiz bazı programlar;
| Splunk | Veri toplama ve analiz için güçlü platform. | Büyük şirketlerde yaygın. |
| IBM QRadar | Güvenlik verilerini analiz eder ve tehditleri tespit eder. | Büyük işletmelerde tercih edilir. |
| LogRhythm | Hızlı tehdit tespiti sağlar ve kullanıcı dostudur. | Orta büyüklükteki işletmelerde popüler. |
| Zabbix | Küçük ve büyük işletmelerde kullanılır. |
Fidye yazılımlarının büyük kısmı, pishing adı verilen, sahte email, sahte web sitesi gibi yerlerden yayılmaktadır. Bu sebeple, gelen epostalarda, bulunan linklere hemen tıklamayın. Bilmediğiniz web sitelerine giriş yapmayın, yapıyorsanız da temkinli yaklaşın.
Yukarıda belirtildiği üzere, fidye yazılımlarının tek bir çözüm önlemi bulunmuyor. Bu sebeple atladığımız bir konu olduğunda, aynı şekilde fidye yazılımına maruz kalabiliriz. O yüzden, fidye yazılımlarıyla yaşamayı öğrenmemiz gerekiyor.
( Veeam EMEA Bölge CTO’su ve Siber Güvenlik Teknolojist Lideri Edwin Weijdema : Fidye yazılımlarıyla yaşamayı öğrenmenin zamanı geldi )
Bu bağlamda, her güvenlik önlemi ciddi derecede önem taşıdığı gibi, yedekleme politikamız, bu konuda en önemli kriter olmalı. Kesinlikle ve kesinlikle yedeklerinizi her daim alın. Mümkünse, yedeklerinizi tek bir lokasyona değil, birden fazla lokasyona (coğrafi yedekleme) almanızda fayda olacaktır.
Ayrıca sadece imaj yedeği değil, özellikle veritabanlarınız varsa bunları FTP ile veya RSYNC gibi yazılımlar ile farklı bir sunucuya almanız daha tedbirli bir bakış olacaktır.
Plesk, dünya genelinde en yaygın kullanılan web hosting kontrol panellerinden biridir. Gerek Linux gerekse Windows…
Bilgi teknolojilerinde, sunucular ve network cihazları her zaman en önemli araçlar arasındadır. Özellikle veri merkezleri…
SSL NEDİR? SSL sertifikasının ne olduğu hakkında fikriniz olmayabilir ya da birileri web sayfanızın SSL sertifikasına…
Dünya genelinde en çok kullanılan hosting kontrol paneli Plesk Panel’de e-posta oluşturmak için gerekli adımları…
Outlook iş dünyası ve bireysel hayatımız dahil olmak üzere çok yaygın bir kullanıma sahip olan,…
Apple cihazlar günümüzde kullanımı kolay bir işletim sistemine sahiptirler, e-mail kurulumları da oldukça kolaydır. Aşağıda…