Ransomware ve APT
Last updated
Last updated
Ransomware ve Advanced Persistent Threat (APT), en ciddi tehditler arasında yer almaktadır. APT, genellikle devlet destekli veya organize suç grupları tarafından yürütülen, uzun süreli ve hedefli saldırıları ifade eder. Bu saldırılar, belirli bir hedefe yönelik olarak dikkatlice planlanır ve genellikle bilgi çalma, casusluk veya sabotaj amacı taşır. Öte yandan, ransomware, kullanıcıların verilerini şifreleyerek fidye talep eden zararlı yazılımlardır. Bu tür yazılımlar, kişilerden büyük şirketlere kadar geniş bir yelpazede kurbanları hedef alır ve ciddi mali kayıplara yol açabilir. Bu makalede, APT ve ransomware tehditlerinin nasıl işlediğini, bu tehditlere karşı alınabilecek önlemleri ve daha birçok konuyu ele alacağız.
Kötü niyetli aktörler olarak da bilinir. Sistemler de veya dijital cihazlarda kasıtlı olarak zarar veren kişi veya gruplardır. Çeşitli siber saldırıları sürdürmek için bilgisayar sistemleri, ağlar ve yazılımlardaki güvenlik açıklarından yararlanır.
İlk modern ransomware saldırısı, 2011 yılında başlatılan ve 2023'te FBI tarafından kapatılan " İpek Yolu " adlı karanlık web pazarında gerçekleşti. O zamandan beri birçok ransomware saldırısı meydana geldi ve bu tür saldırılar kolluk kuvvetleri müdahalesi sonucu yasadışı işlemler yaptıkları gerekçesiyle birçok karanlık web pazarı kapatıldı.
Özellikle WannaCry fidye yazılımı saldırısı, Mayıs 2017'de Microsoft Windows işletim sistemli bilgisayarlara yayıldı ve kullanıcıların dosyalarını şifreleyerek onlardan belli bir miktardaki Bitcoin cinsinden fidyeler talep etti.
Ransomware, verilerinize erişmenizi engelleyerek çalışır. Bilgisayarınıza erişim sağladıktan sora dosyalarınızı sessizce şifreler ve ardından şifrelenmiş verilere erişim karşılığında bir fidye ödemesi talep eder. Bu noktada dosyalarınız şifrelenmiş olduğundan dolayı kurtarmanız için çok geçtir.
Ransomware saldırısı genellikle kimlik avı saldırılarıyla başlar. Virüslü e-postalar, mesajlar ve kötü amaçlı siteler aracılığıyla kurbanın cihazına erişim sağlanır ve bu cihazdaki veriler şifrelenir. Fidye yazılımı kişisel bilgileri ve belgeleri şifreledikten sonra bu şifrelerin çözümü için belli miktarda fidye talebinde bulunur.
Para ödendikten sonra bile, bilgisayar korsanlarının şifre çözme anahtarını göndereceğinin veya dosyaların kilidini açacağının garantisi yoktur, ancak bazı hassas durumlarda kurbanlar en iyisini umarak ödemeyi yaparlar.
Ransomware, virüslerden farklıdır. Virüsler verilere bulaşır ve kendilerini çoğaltırken, ransomware dosyaları şifreler.
Eğer bu tür bir saldırıya maruz kalırsanız, güvenlik önlemleri almak ve verilerinizi yedeklemek önemlidir. Böylece fidye yazılımı saldırısının etkilerini en aza indirebilirsiniz.
Yedekleme yapmak: Verilerinizi düzenli olarak yedeklemek şifrelenmiş dosyaları kurtarmak için önemlidir. Güvenli bir yerde bu yedeklerin saklanması önemlidir.
Güncellemeleri ihmal etmemek: İşletim sistemi, tarayıcı ve diğer yazılımları güncel tutun. Güncellemeler bilgisayarınızın güvenliğini artırır ve bilinen güvenlik açıklarını kapatır.
Güçlü parolalar kullanmak: Karmaşık ve benzersiz parolalar oluşturun. Aynı parolayı birden fazla hesapta kullanmaktan kaçının.
Şüpheli e-postalara dikkat etmek: Bilinmeyen veya şüpheli e-postaları açmayın. Eklere veya bağlantılara tıklamadan önce dikkatli olun.
Güvenlik duvarları ve anti virüs yazılımı kullanmak: Güvenlik duvarı ve anti vuruş yazılımı, zararlı yazılımları tespit eder ve engeller.
Dosya paylaşımını sınırlamak: Ağınızdaki dosya paylaşımını sınırlayın ve gereksiz paylaşımları kapatın.
Bilinmeyen kaynaklardan yazılım, uygulama indirmemek: Sadece güvenilir kaynaklardan yazılım indirin ve yükleyin.
Unutmayın ki hiçbir önlem %100 güvenli değildir, ancak bu adımlar riskinizi azaltacaktır. Dikkatli olun ve bilgisayar güvenliğinizi sürekli olarak gözden geçirin.
İnternet bağlantısını kesmek: Bilgisayarı hemen internetten ayırmak bu saldırının yayılmasını önlemeye yardımcı olur.
Anti-Malware yazılımı kullanmak: Zararlı yazılımı tespit etmek ve kaldırmak için anti-malware yazılımı kullanılabilir.
Verileri düzenli olarak yedeklemek: Şifrelenmiş verilerin yedeklenmesinden dolayı veri kaybı en aza indirilir.
Uzman yardımı almak: Ransomware saldırıları karmaşık olabilir. Bir uzmana başvurarak daha fazla yardım ve bilgi alabilirsiniz.
Fidye ödemenin riskleri: Fidye ödemek saldırganların gelecekte daha fazla saldırı yapma olasılığını artırabilir. Ayrıca ödeme sonrasında bile dosyalarınızın geri verilmesi garanti değildir.
Alternatif yöntemler: Fidye ödemeden önce alternatif çözümleri araştırın. Verilerinizi yedeklediyseniz bu yedekleri kullanarak dosyalarınızı geri yüklemeyi deneyebilirsiniz.
Uzman yardımı almak: Bir siber güvenlik uzmanı veya kolluk kuvvetleri ile iletişime geçin. Onlar size en iyi yaklaşımı önereceklerdir.
Sürekli ve gelişmiş korsanlık tekniklerini kullanarak bir sisteme erişim elde eder ve burada zarar vermeye yetecek kadar uzun bir süre boyunca kalır. APT'ler genellikle ulus devletleri ve büyük şirketleri hedef alır ve bilgi çalmak amacıyla tasarlanır. Bu tür saldırılara karşı dikkatli olmak önemlidir, çünkü APT saldırganları tedarik zincirindeki küçük şirketleri de kullanmaya başlamıştır. Küçük ve orta ölçekli işletmelerin de bu tür saldırılara karşı önlem alması gerekmektedir.
İlk ve tarihsel olarak en belirgin APT örneklerinden biri, İran’ın nükleer programını hedef almak için tasarlanmış olan Stuxnet adlı solucandır. Stuxnet, 2010 yılında keşfedilmiş olmasına rağmen 2005 yılından beri geliştirilme aşamasında olduğu düşünülmektedir.
Siber güvenlik şirketleri tarafından tespit edilen çoğu APT grubunun Rusya, Çin, İran ve Kuzey Kore'ye ait olduğu bilinmektedir. Ayrıca ABD'nin de "Tespit edilen" APT grupları bulunmaktadır.
Finanse edilen gruplar: APT grupları genellikle finansal olarak iyi desteklenir. Bu gruplar, tek bir saldırı vektörü yerine birden fazla farklı vektörü birleştirerek yeni saldırı teknikleri geliştirirler. Ayrıca hedef sistemde gizlenerek saldırılarını ilerletirler.
Karmaşık yapı: APT saldırıları diğer siber saldırılardan daha karmaşık bir yapıya sahiptir. Bu saldırılar birçok cihaz yerine tek bir hedefe yönelir ve uzun süre gizlenmeyi amaçlar. APT saldırıları, ünlü şirketler, devletler, elçilikler ve savunma sistemleri gibi önemli hedefleri içerir.
Aşamalı saldırılar: APT saldırıları belirli aşamalar halinde gerçekleştirilir. Bu aşamalar, ağın hacklenmesi, verilere erişim, güvenli bölgeleri ele geçirme ve sistemi uzun süre boyunca etkisiz hale getirme gibi adımları içerir.
APT grupları ve ransomware: APT grupları genellikle devlet destekli siber saldırılarda yer alır ve uzun süre gizlenerek hedef sistemde faaliyet gösterirler. Bu gruplar bazen ransomware kullanarak hedeflerine saldırabilirler.
Ransomware kullanımı: Bazı APT grupları hedef sistemdeki verilere erişim sağladıktan sonra ransomware kullanarak verileri şifreler ve fidye talep eder. Bu hem finansal kazanç hem de hedefin işleyişini bozmak için bir taktiktir.
Stratejik amaçlar: APT grupları devletlerin stratejik ihtiyaçlarına göre yönlendirilir. Ransomware kullanarak hedefleri zayıflatmak veya finansal kaynakları ele geçirmek bu grupların amaçları arasında olabilir.
Benzersiz parolalar kullanmak: Her hesap için farklı ve karmaşık parolalar kullanmak önemlidir. Parola yöneticileri bu zorluğun üstesinden gelmek için yardımcı olabilir.
Kimlik bilgileri ifşa edildiğinde parolaları değiştirmek: E-posta adresinizle ilişkilendirilen kimlik bilgilerinizin sızıntı olup olmadığını takip edin ve gerektiğinde parolaları güncelleyin.
Kullanılmayan hesapları kaldırmak: Eski ve kullanılmayan hesapları silmek saldırganların eski kimlik bilgilerini denemelerini engeller.
Çok faktörlü kimlik doğrulama (MFA) kullanmak: MFA kullanıcı bilgileriniz ele geçse bile ek bir güvenlik katmanı sağlar.
CAPTCHA kullanmak: CAPTCHA botları caydırmak için kullanılabilir.
IP kısıtlaması ve hız sınırlaması uygulamak: IP kısıtlamaları ve hız sınırlamaları otomatik girişimleri engellemeye yardımcı olabilir.
Web sitesi trafiğini günlüğe kaydetmek ve izlemek: Bilinen çalıntı kimlik bilgileri listesiyle oturum açma girişimlerini kontrol edin ve eşleşen istekleri engelleyin.
Hızlı izolasyon: Etkilenen sistemleri hızla izole edin. Ağ bağlantısını kesmek saldırının yayılmasını engellemeye yardımcı olacaktır.
Olayı bildirmek: İlgili güvenlik ekiplerine veya yetkililere saldırıyı bildirin. Bu saldırının etkilerini azaltmak konusunda önemlidir.
Sistemleri taramak: Saldırının nasıl gerçekleştiğini anlamak için sistemleri tarayın. Zafiyetleri tespit edin ve düzeltin.
Veri Kurtarmak: Etkilenen verileri yedeklerden geri yükleyin. Veri kaybını en aza indirmek için düzenli yedeklemeler yapın.
Şifreleri değiştirmek: Saldırı sonrası şifreleri değiştirin. Ayrıca çok faktörlü kimlik doğrulaması kullanmayı önemseyin.
Güvenlik duvarını güncellemek: Güvenlik duvarınızı güncelleyin ve güvenlik yazılımınızı kontrol edin.
Eğitim ve farkındalık: Personelinizi APT saldırılarına karşı bilinçlendirin. E-posta dolandırıcılığına karşı dikkatli olmalarını sağlayın.
APT saldırıları karmaşık ve uzun süreli olabilir. Uzmanlardan yardım almak önemlidir.
Maliyet ve zarar: Fidye ödememenin yol açacağı zararın maliyeti bazen ödemeyi tercih ettirir. Örneğin yeniden altyapı oluşturmanın maliyeti fidye ödemesine göre daha yüksek olabilir.
Etik değerler: Fidye ödemenin etik açıdan doğru olup olmadığına karar vermelisiniz. Bazı kuruluşlar siber suçlulara fon sağlamayı uygun bulmazken bazıları ödemeyi tercih eder.
Veri erişimi garantisi: Fidye ödendiğinde bile deşifre anahtarını almak verilere tam erişim sağlamayabilir. Bu nedenle ödemenin sonuçlarına dikkat etmek önemlidir.
Sonuç olarak, fidye ödeme kararı karmaşık bir denge gerektirir. Her durumu ayrı ayrı değerlendirmeli ve uzman tavsiyesi almalısınız.