“Wannacry” fidye yazılımı nedir?
Fidye yazılımları, genellikle oltalama (phishing) e-postaları kullanarak dosyaları şifreleyen ve bilgisayarları kilitleyen kötü amaçlı yazılımlardır. Saldırganlar bu şifrelemenin belirli bir zaman dilimi içinde çözülmesi için elektronik para birimi olan “Bitcoin” vasıtasıyla ödenecek bir fidye isterler. $300 ila $600 USD arasında değişen miktarlardaki fidyeler üç Bitcoin hesabından birine 3 gün içinde ödenmek zorundadır.
Bu tipteki fidye yazılımları, Windows işletim sistemlerinin SMB adı verilen, Server Message Block isimli ve 445 ve 139 portlarını kullanan, genelde Windows makinelerin ağ üzerindeki dosya sistemlerinin haberleşmesinde kullanılan protokol üzerinden yayılır. Başarılı bir kurulumdan sonra bu yazılım risk altındaki başka makineleri tarar ve yayılmaya çalışır. Bu fidye yazılımı eski sürümlerdeki ya da güncellenmemiş Microsoft işletim sistemlerindeki bir açıklıktan yararlanıyor. Microsoft bu açıklığı kapatmak için MS 17-010 isimli güvenlik yamasını yayınladı ve anti-virüs firmaları da gerekli güncellemeleri yaptı.
WannaCry fidye yazılımı e-postalarda gönderilen zip dosyalarını kullanarak daha önceden etkilenen makinelerde arka kapı (DoublePulsar gibi) olup olmadığını kontrol eder. SMB açıklığını hedef alan Double Pulsar ve ExternalBlue istismar yöntemleri “Shadow Brokers” grubu tarafından Nisan ayında duyurulmuştu.
Ne yapılması gerekiyor?
Saldırıdan etkilenenler için yapılması gerekenler aşağıdaki gibi özetlenebilir:
- Etkilenen cihazların kurum ağından ayırılması gerekiyor. Daha sonra çevrim dışı olarak yedekleri alınmalı. Zira bu yedekler çevrim içiyken alınırsa, tekrar saldırıya maruz kalarak şifrelenme riski bulunuyor.
- Kanıtlar hukuki kurallara uygun bir şekilde toplanmalı ve muhafaza edilmeli. Böylece soruşturmalarda ya da diğer düzenlemelere göre uygun şekilde kullanılabileceklerdir.
- Olay müdahale planları etkinleştirilmeli ve soruşturma sadece bilgi teknolojileri özelinde düşünülmemeli. Söz konusu inceleme ve soruşturmaları yürütecek tüm birimler ortak çalışmalı.
- Sistemlerdeki zafiyetler tespit edilmeli, saldırganların tekrar girişlerini zorlaştırmak için ilgili teknoloji bileşenleri üzerindeki güvenlik seviyeleri sıkılaştırılmalı ve gelecekte olabilecek saldırıları tespit etme ve cevap vermeye hazır olunmalı.
- İş sürekliliği planı etkinleştirilmeli. Muhtemel sigorta taleplerine, davalara, tehdit istihbaratına, kanun koyucu ve otoritereler için yapılacak raporlamalar ve/veya kamuya yapılması gereken duyurular uyarınca hazırlanmalı.
