Önemli verileriniz tümüyle silindi mi? Birçok şirket için bu kabus anlamına gelir. ESET Research ekibinin ortaya çıkardığı, Ukrayna’da bu ilkbaharda yaşanan veri silme saldırıları, söz konusu kötü amaçlı yazılımın ağlar arasında ne kadar hızlı yayıldığını ve ne kadar büyük zararlar verebileceğini göstermektedir. Bu saldırıların altında yatan sebep nedir, KOBİ’lere yönelik riskler ne kadar ciddi ve veri silme saldırıları nasıl tespit edilebilir? ESET Güvenlik Farkındalık Uzmanı Ondrej Kubovic ile birlikte hazırlanan bilmeniz gereken her şeyin temel bir özetini burada bulabilirsiniz.
KOBİ’ler olağan hedefler değildir, ancak bu onların umursamaması gerektiği anlamına gelmez.
Wiper saldırıları hedeflenir, iyi düşünülür ve genellikle aylar öncesinden hazırlanır. Ancak fidye yazılımı ile karşılaştırıldığında, saldırganlar için doğrudan bir maddi kazanç getirmediği için nadiren gerçekleştirilir. Siber suçlular genellikle önemli veri ve sistemleri yok etmeyi amaçlar ve devletler arasındaki veya gelişmiş bilgisayar korsan grupları arasındaki mücadelede veri temizleyicileri çoğunlukla bir silah olarak kullanılır. KOBİ’ler için şifre ihlalleri ve fidye yazılımı saldırıları en büyük tehditler olmaya devam etse de KOBİ’lerin dikkatli olmasında fayda var. Ya ikincil zarar olarak ya da karışık tedarik zincirlerinin bir parçası olarak bazı KOBİ’ler veri silme saldırılarının kurbanı olmuştur.
Bir saldırı diğerine yol açtığında
2017’de siber suçlular, Ukrayna’da birçok şirket tarafından kullanılan M.E.Doc isimli muhasebe yazılımına virüs bulaştırdı. Saldırganlar, yazılımın güncelleme sunucusunu ihlal ederek kötü amaçlı yazılımı ortak şirketlere ve ardından tüm dünya geneline yaymayı başardı. (Not)Petya olarak adlandırılan bu siber saldırı ile özellikle diğer şirketlere ürün ve hizmet tedarikinde bulunduklarında KOBİ’ler istemeden komplike saldırılara açık hale gelebilir. Aynı durum MSP’ler için de geçerlidir.
Wiper (veri silme) saldırıların altında yatan sebep nedir? Kanıtları yok etmek ve güç gösterisinde bulunmak
Bazı durumlarda veri silme saldırıları, veri hırsızlıkları veya veri şifrelemeleri içeren daha karışık siber saldırılarının son adımlarıdır. Saldırganlar genellikle sadece verileri yok etmek için değil aynı zamanda kanıtlardan kurtulmak için de veri silme saldırılarını kullanır. Aynı durum 2016’daki Industroyer saldırısında da yaşanmıştır. Saldırganlar, Ukrayna’nın Kiev şehrindeki bir elektrik dağıtım şirketinin sistemlerini ihlal etmiş ve ardından izlerini silmek için bir veri temizleyicisi kullanmıştır. Veri temizleyicileri ile kanıtlar silinerek kurbanların, kötü amaçlı yazılımın cihazlarına nasıl bulaştığını veya bu yazımlar yüklendiğinde yazılımların nasıl çalıştıklarını tespit etmeleri engellenmeye çalışılır.
Ukrayna’da yaşanan son siber saldırılarda HermeticWiper olarak bilinen bir kötü amaçlı yazılım, HermeticWizard ve HermeticRansom yazılımları ile birlikte kullanılmış ve yukarıda bahsi geçen Industroyer isimli kötü amaçlı yazılımın yeni bir türü ortaya çıkmıştır. Industroyer2 bu sefer CaddyWiper ve başka veri temizleyicilerle birlikte kullanılmış ve özellikle Linux ile Solaris ağlarını hedef almıştır.
Jeopolitik çatışmalar sırasında veri temizleyiciler, güç gösterisi yapmak ve psikolojik savaşın bir parçası olarak kullanılabilir. Saldırganlar, “rakibin” sisteminin bazı kısım veya kısımlarını yok edebileceklerini göstermek ister ve saldırının rakibin moralini bozmasını ve tehdit aktörünün yıkıcı özelliklerini yansıtmasını ümit eder. Bu tür durumlarda veri temizleyiciler, sadece tek bir cihazdaki önemli verileri silmek için değil aynı zamanda tüm bir ağ sistemini sabote etmek için kullanılır. Sırf bunu yapabildikleri için bu saldırıyı gerçekleştirirler.
Wiper (veri silme) saldırıların türleri nelerdir?
Veri silme saldırıları çeşitli türlerde ve çeşitli amaçlar için ortaya çıkar. Bunların bazıları sürücülerdeki tüm verileri sıfırlarla veya rastgele oluşturulan içeriklerle tekrar yazarken bazıları ise aynı sonuca yol açıp etkilenen sistemleri çalışamaz hale getirerek belgelerin belirli kısımlarını yok eder. Bazı veri temizleyiciler ise çok daha “zeki” olup önce azami erişim ve ayrıcalık kazanıp sonra veri silmeye başlar. Diğer veri temizleyici türleri ise aynı şekilde ağ sistemlerini yok etmeye odaklanabilir.
Bazı saldırıların amacı cihazların dakikalar içerisinde çalışamaz hale getirilmesi olmayıp bunun yerine Stuxnet saldırısında da olduğu gibi bu cihazları zamanla yok etmektir. İddiaya göre söz konusu kötü amaçlı bilgisayar solucanı, İran’ın Natanz uranyum zenginleştirme tesisindeki çok sayıda santrifüje zarar vermiştir. Bu kötü amaçlı yazılım sistem içerisine çok iyi saklanarak sadece aşamalı olarak zarar vermiş ve sorunun kaynağının tespit edilmesini oldukça zorlaştırmıştır.
Peki en iyi önlem yöntemleri nedir? Yüksek kaliteye sahip siber güvenlik yazılımları, sürekli ağ izlemesi ve yetkisiz ağ erişimlerinin engellenmesidir.
Diğer saldırılar da veri temizleyiciler gibi aynı sonuçlara yol açabilir.
Bazı fidye yazılımı saldırıları da, veri silme saldırıları gibi aynı etkilere neden olup mağdur olanların önemli verilerini geri döndürülemez bir şekilde kaybetmesine sebep olabilir. Bu, saldırganlar bir fidye yazılımı saldırısı gerçekleştirmeyi hedeflediklerinde, ancak şifreleme işleminin bir bölümünü yanlış uygulayarak etkilenen verilerin şifresini çözemediklerinde gerçekleşir. Siber suçlu verileri yok etmeyi amaçlamamış olsa da bu tür durumlarda bir veri silme saldırısında olduğu gibi veriler kaybolur. Diğer durumlarda ise veri temizleyiciler, (Not)Petya örneğinde olduğu gibi fidye yazılım saldırıları olarak görünebilir.
Saldırganlar arkalarında sahte deliller bırakıyor
Genellikle veri temizleyicinin sisteme nasıl girdiğini göstermek için kayıtları bulmak sorun olur. Çoğu zaman, birden çok sisteme aynı anda virüs bulaşır. Saldırganlar sıklıkla rakip bir bilgisayar korsanı grubuna özgü kod kısımları veya uygulama yöntemleri gibi sözde sahte bayraklar yerleştirir. Böylece asıl saldırganların yerine farklı bir aktör suçlanabilir. Emniyet güçleri ve güvenlik hizmetleri devreye girip kendi istihbaratlarını kullanana kadar büyük veri silme saldırılarının arkasında kimin olduğunu kesin bir şekilde öğrenmek neredeyse imkansızdır. Emniyet güçlerinin dahil olmasının ardından ise saldırganlara karşı kişisel yaptırımlar uygulanır.
Sahte delil olimpiyatları
2018’de Olympic Destroyer isimli kötü amaçlı yazılım, Güney Kore’nin Pyeongchang şehrinde düzenlenen Kış Olimpiyat Oyunları sırasında açılış törenini çalıştıran sistemlere virüs bulaştırdı. Bu kötü amaçlı yazılım, saldırının arkasında Kuzey Kore varmış gibi gösteren birçok sahte delil bıraksa da sonrasında saldırının arkasında Çin ve Rusya’nın izleri tespit edildi. Sonuç olarak, töreni suistimal edenin Sandworm Team olduğunu onaylamak haftalar sürmüştür.
İşlemciyi durdurursanız veri temizleyicisini de durdurursunuz
Sisteminizde bir veri temizleyici algılanırsa mümkün olduğunca çalışan tüm işlemleri kapatın ve cihazın ağ bağlantısını kesin. Şunu unutmayın: Bu yaklaşım, yalnızca belirli işlemlerin kapatılmasının daha fazla hasara neden olmayacağı veya çalışanların güvenliğini tehlikeye atmayacağı durumlarda uygulanabilir. Verilerin silinme hızı, saldırının boyutuna bağlıdır. Bazı saldırıların kesin olarak önceden tanımlanmış öncelikleri vardır ve tüm şirketi dakikalar içinde devre dışı bırakabilirken diğerleri saatlerce sürer ve en azından kısmen kesintiye uğrayabilir.
Etkili bir yedekleme ve kurtarma stratejisi bulundurmayı hiçbir zaman unutmayın. Bir veri silme saldırısının hedefi olursanız sadece birkaç dakika veya gün içerisinde verilerinizi geri almanızı sağlayan kurum dışı ya da bulut yedekleme saklama alanınız olabilir.
Şirketiniz için oldukça önemli verileri belirlemek de işinize yarar. Bazı şirketler için maddi zararlar karşılanabilir olsa da bazıları için ise veri kaybı felaket anlamına gelebilir. Bir oyun şirketinin bu tür bir saldırıya maruz kaldığını düşünün. Çok oyunculu çevrim içi oyunlardaki toplaması aylar süren oyuncu verilerinin kaybolması, inanılmaz derecede itibar kaybına yol açabilir ve oyuncuların oyunu tekrar oynama motivasyonunu bozabilir. Bu “sadece bir oyun” olsa da söz konusu olay nihayetinde şirketin gelir akışını bozup şirketi iflas etmeye zorlayabilir.
Çevrim dışı ve güvenilir veri yedeklemeleri ile gelişmiş siber güvenlik stratejileri; riskleri önleyebilir, şirket sistemlerini daha dayanıklı hale getirebilir ve siber suçluları para kazanmak için farklı yöntemler aramaya zorlayabilir.
Web sitenizi nasıl güncel tutabilirsiniz?
