Siber saldırılarının arka planında neler oluyor?

Bu yeni saldırının arka planı nedir? Biraz anlatır mısınız? 

Bugün gördüğümüz, daha önceden de karşılaştığımız Petya isimli kötü amaçlı yazılımın yeni bir versiyonu. Nyetya. Cisco güvenlik istihbarat organizasyonu Talos bu kötü amaçlı yazılımı Nyetya olarak tanımlıyor. Talos’un ilk bulgularına göre saldırı Ukrayna’da; MeDoc isimli Ukraynalı bir muhasebe programının muhtemelen yazılım güncelleme sistemlerinde başladı ve bu durum MeDoc tarafından doğrulandı. MeDoc; Ukrayna’da faaliyet gösteren bir çok kuruluş tarafından yaygın olarak kullanılıyor. Aynı zamanda saldırının Fransa, Danimarka, İspanya, İngiltere, Rusya ve Amerika Birleşik Devletlerinde de görüldüğüne dair raporlar var.

Nyetya, sistemin “ana ön yükleme kaydı” ( master boot record) şifreliyor. Ana ön yükleme kaydını sabit diskinizin dizini gibi düşünebilirsiniz. Yani çok önemli… Bu fidye amaçlı yazılım sisteminize girdiğinde ağ üzerinde yayılmak için 3 farklı yol kullanıyor. Bunlardan birisi de geçen ay yaşanan WannaCry saldırısında görülene benzer  “Eternal Blue” açığı.  

Bu noktada açık olarak bu saldırı ve son zamanlardaki diğer saldırılara baktığımızda kuruluşların risk profillerini düşürmek için sistem yamalarına öncelik vermeleri gerektiği. Bu işlem olabildiğince hızlı yapılmalı. Ayrıca önemli verilerin yedeklenmesi her siber güvenlik programının temeli olmalı. 

Fidye amaçlı yazılım nedir? 

Fidye yazılımları sisteminize girerek bilgisayarınızı ya da sisteminizi kilitleyen, kontrol altına alarak verilerinizi şifreleyip karşılığında fidye isteyen kötü amaçlı bir yazılımdır. 

Saldırganlar bu durumlarda ne tip bir fidye talep ediyorlar?

Çoğunlukla bitcoin ile ödenebilen ücretler talep ediliyor. 

Bitcoin nedir? 

Bitcoin, online olarak kullanılan kripto bir para birimi. Bu para birimi devletler ve hükümetler tarafından kontrol edilmiyor. Anonim olduğu ve takip edilemediği için siber suçlular bu para birimini tercih ediyor. 

Saldırı ne zaman gerçekleşti? 

Ukrayna hükümetinin verdiği bilgiye göre dün ( 27 Haziran) yerel saat ile öğleden sonra 2’de gerçekleşti.   

Kimler bu saldırıdan etkilendi? 

Şu ana kadar bildirilen kurbanlar Ukraynalı enerji şirketleri, havalimanları, toplu taşıma ve merkez bankası. Ayrıca Danimarkalı lojistik şirketi Maersk, ilaç şirketi Merck, Rus petrol şirketi Rosnoft ve Hindistan, Fransa, İspanya, İngiltere’deki bazı kuruluşlar. 

Bu saldırı WannaCry’dan ne şekilde farklılık gösteriyor? Durdurulabilir mi?

Bu fidye amaçlı yazılım WannaCry’ın yayılmasını engelleyen hatalara sahip değil gibi görünüyor. Özellikle bu atak WannaCry’da olduğu gibi “kill switch” dediğimiz bir kontak kapama anahtarına sahip değil. Ayrıca ağın içinde hareket ettiği için tespit etmek de daha zor.  Nyetya, WannaCry gibi internet taramıyor.

Türkiye’de etkilenen herhangi bir şirket var mı? Risk altında mıyız? 

Şu ana kadar Türkiye’den raporlanan herhangi bir etki yok. Ancak müşterilerimizle ve paydaşlarımızla sürekli olarak bağlantı kurarak süreci takip ediyoruz. 

Şirketler bu yazılımdan korunmak için ne yapmalı? Cisco’nun önerileri neler? 

Bizim “hiper bağlı” dediğimiz bu yeni internet dünyasında siber saldırılar artık hayatın bir gerçeği. Artık “eğer saldırı olursa” bir tartışma konusu değil, “ne zaman” olacağını konuşmalıyız. Doğru bir siber güvenlik stratejisi de riski yönetmekten ibaret. Riski anlayabilmek için güvenlik duruşuna hem teknoloji hem de operasyonel perspektiften bakılmalı. Yani siber güvenlik için doğru teknoloji ve süreçleri kurgularken personelin ve kullanıcıların da güvenlik konusunda eğitmek gerekiyor. 

Biz Cisco olarak müşterilerimizin güvenliğe bütüncül bir bakış açısı ile yaklaşmalarını öneriyoruz. Öncelikle şirketlerin aktif olarak desteklenen ve güvenlik güncellemelerini alan bir işletim sistemi kullanmalarını öneriyoruz.  Yani network, veri merkezleri, sanal ortamlar, bulut, mobil cihazlar ve tüm uç nokta cihazlarını da kapsayan ve saldırı öncesinde, saldırı sırasında ve sonrasında alınması gereken aksiyonları içeren bir teknolojik alt yapı ve süreçler bütünü diyebiliriz. 

Bugün için şirketlere önerilerimizi şu şekilde sıralayabiliriz:

Öncelikle şirketler aktif olarak desteklenen ve güvenlik güncellemelerini düzenli olarak alan bir işletim sistemi kullanmalılar.

İkinci olarak güvenlik güncellemelerini vaktinde tüm uç noktalara ve diğer kritik unsurlara ulaştıracak bir “yama yönetimi ”ne sahip olmalılar. 

Sistem üzerinde kötü amaçlı unsurları tespit edecek koruma yazılımlarını çalıştırmalı ve kötü amaçlı yazılım işaret ( malware signature ) güncellemelerini düzenli olarak aldıklarından emin olmalılar. 

Yedekleme ve geri yüklemeyi de içeren bir felaket kurtarma planı uygulamalılar. Siber saldırganlar; kullanıcılar fidyeyi ödemeden verilerini yeniden yükleyemesinler diye çoğunlukla yedekleme mekanizmalarını hedeflerler. 

Eğer açıklar yamanmazsa şirketler bu fidye amaçlı yazılım karşısında risk altında olmaya devam edecekler.