Günümüzdeki en popüler siber saldırıların başında gelen zararlı fidye yazılım saldırıları (Ransomware), tüm kurum ve organizasyonların korkulu rüyası olmaktadır. Tehdit aktörlerinin sızdıkları sistemleri şifreleyerek özellikle kripto para talep etmeleri kurum ve organizasyonları hem maddi hem manevi olarak ciddi zarara uğratmaktadır. Saldırganların ödemenin yapılmamasına karşı veriyi geriye döndürmeme ya da halka açık bir şekilde ifşa etme tehditlerinin yapılması kurum ya da organizasyonu zor durumda bırakmaktadır

Pek çok kurum ve organizasyonun bu süreçte yanlış aksiyon almakta olduğu tespit edilmiştir. Şifrelenen veriyi kurtarmak için denenmekte olan yollar sonucu verinin bozulması ve doğru anahtarla bile geriye döndürülemez olduğu görülmüştür. Fidyeci ile kurulan yanlış iletişim sonucu telafi edilemez çıkmazlara girildiği, kurum ya da organizasyonun itibarını zedeleyecek sonuçlarla karşı karşıya kalındığı görülmüştür.

Bunları Biliyor Muydunuz?
• Ransomware saldırısından etkilenen kurumların “Downtime” sırasında binlerce dolar kaybettiği bilinmektedir. (Gartner)
• Ransomware saldırı trendi her yıl katlanarak artmaktadır.
• Ransomware saldırıları sırasında yanlış yedekleme politikaları nedeni ile yedeklerin de şifrelendiği görülmektedir.

Ransomware Incident Response Yaşam Döngüsü

Ransomware vakalarında uygulanmakta olan yaşam döngüsü şu şekildedir;

 

Hazırlık (Prepare)

Hazırlık aşaması “Ransomware Incident Response” yaşam döngüsü içerisindeki en önemli unsurdur. Rollerin belirlenmesi, rollerin sürece ve teknolojiye sağlayacağı katkıların altının çizilmesi, acil durumlardaki aksiyonların belirlenmesi konusunda hayati önem taşımaktadır.

Tespit (Detect)

Tespit aşamasında ağ içerisinde bulunan her veri incelenmektedir. Tespit edilen zararlı fidye yazılımları gerçekleştirilecek analiz sonrasında bildirilmektedir. Gerçekleştirilecek 7/24 izleme sayesinde zararlı fidye yazılım tespit edildiğinde alarmlar oluşturulmakta ve ilgili birimlere bildirilmektedir.

Oluşturulan ve süreç içerisinde kuruma özgü geliştirilen tespit sistemleri ile tespit işlemleri gerçekleştirilmektedir. Tespitler sırasında kullanılan yaklaşımlar ve bazı örnek çalışmalar aşağıdaki gibidir.
• Hash Based Detection
• File Extention Listing (.crypt, .payme .v.s)
• C&C Comunication Detection
• Process Based Detection
o Master Key Scaning (Public and Private)
o Key production for the victim
o Encrypt the victim's key
• Behavior Based Detection
o SMB Activity Detection
o RDP Avtivity Detection
o VNC Activity Detection

Analiz (Analyze)

Analiz aşamasında tespit edilen zararlı fidye yazılımları ve fidye yönelimli girişimler siber güvenlik uzmanları tarafından incelenmektedir. False-Positive olarak tespit edilen yaklaşımlar bu süreç içerisinde analiz edilerek ayıklanmakta, diğer girişimler için ivedilikle aksiyon alınmaktadır.

Hazırlık sürecinde belirlenen roller ile iletişime geçilerek, planlanan aksiyon çerçevesinde atılan adımlar sonucu girişimlerin durdurulması hedeflenmektedir.

Yanıt (Response)

Yapılan incelemeler sırasında zararlı yazılımlar karantinada çalıştırılarak teknik analizler yapılmakta ve zararlı aktiviteler analiz edilerek raporlanmaktadır. İlgili bildirimler sırasında ransomware enfeksiyon haritası belirlenmektedir. Enfeksiyon haritasının bazı örnek ve yaklaşımları aşağıdaki gibidir.

Enfeksiyon Haritası

• Phising – Çalıştırılabilirler, zararlı iş dokümanları (Word, Excel)
• Exploit Kits – Browser tabanlı zafiyetler
• Hedef Odaklı/Bağımsız Saldırılar – RDP Bruteforce, Bilinen zafiyetleri sömürme

Kurtarma (Recover)

Gerçekleştirilen girişimler sonrasında enfekte olan ya da edilmeye çalışılan sistemlerin doğal yaşam döngüsüne tekrar kazandırılması için alınan aksiyonlar son derece önemlidir. Gerçekleştirilen araştırmalar sonrasında kurum ve organizasyonların %67’sinin bu tip bir zararlı yazılım saldırısı ile karşı karşıya kaldıktan sonra tekrar benzer bir girişim ile karşılaştıkları tespit edilmiştir.

Cyberforce, sunmakta olduğu operasyon merkezi hizmetlerinin yanı sıra hem ofansif hem de defansif yetkinliğe sahip deneyimli danışmanlar, analistler ve uzmanlar ile olası bir Ransomware saldırısından önce ya da maruz kaldıktan sonra gerekli çalışmaların yapılması konusunda 7/24 destek vermektedir.