Ransomware Saldırısı


Merhaba

12 Mayıs 2017 tarihinde, içinde Türkiye’nin de bulunduğu özellikle Avrupa bölgesini hedef alan, Ransomware nitelikli büyük çaplı bir siber saldırı gerçekleşmiştir. WannaCry, WanaCryptor 2.0, WCry veya WCrypt isimleriyle adlandırılan Ransomware diğer Ransomware’lerden farklı olarak Microsft tarafından yakın zaman önce yaması yayınlanmış “CVE-2017-0143 to 0148 kodlu Windows SMB Remote Code Execution Vulnerability” açıklığını kullanarak yatayda kendi kendine yayılabilme özelliğine sahip olması nedeniyle Çok Yüksek Riskli Tehdit kategorisinde yer almaktadır.

WannaCry zararlısı, mevcut tüm Windows işletim sistemlerini hedef aldığı için, Windows işletim sistemi kullanan Sunucu, Bilgisayar, ATM cihazı, POS cihazı, Kiosk benzeri sistemler tehdit altındadır.

Tehdit çok yüksek riskli olmasına rağmen, enterprise müşterilerimizden başarılı bir atak henüz raporlanmamıştır. Zararlının yatay yayılım için kullandığı açıklık Microsoft tarafından 14 Mart 2017’de yayımlanan MS-17-010 yaması ile kapatılabilmektedir.

Genel müdürümüz Sayın Gökhan Say’ın yorumlarının yer aldığı yerel basın haberleri aşağıdaki linklerde paylaşılmıştır.

Hurriyet Haberi

Milliyet Haberi

ALINMASI GEREKEN GÜVENLİK TEDBİRLERİ :

Zararlıya karşı 5 temel güvenlik kontrolü kapsamında aşağıdaki tedbirlerin uygulanmasını tavsiye ediyoruz.

Güvenlik Yamalarının Uygulanması :

  • Microsoft tarafından yayımlanan MS-17-010 yamasının çok acil tüm sunucu ve bilgisayarlarda uygulanması ve uygulandığının doğrulanması.

Antimalware Çözümlerinin Kullanılması :

  • Endpoint ve Gateway seviyesinde çalışan tüm Antimalware çözümlerinin etkin kullanılması ve en güncel Virüs imza seti ile kullanıldığının doğrulanması.
  • Symantec Enpoint Protection (SEP)’ın v14 sürümü, tüm modülleri ile birlikte ve güncel kullanıldığında en etkin tedbiri sunmaktadır.

Erişim Denetimi :

  • Windows bilgisayar ve sunucuların, dosya paylaşım (SMB) servisine erişimlerin, Network Firewall, IPS, Hostbased IPS gibi çözümlerle kontrol altına alınması ve erişimlerin sınırlandırılması.
  • Network seviyesinde Palo Alto NGFW ile yapılacak network segmentasyonu ve IPS koruması, Web gateway seviyesinde Blue Coat çözümlerinin 0-day zararlı filtreleme yetenekleri, Endpoint seviyesinde SEP 14’ün IPS ve FW özellikleri ile Symantec Data Center Security (SDCS) çözümlerinin erişim denetim yetenekleri etkin çözüm sunmaktadır.

Sürekli Zafiyet Taraması ve Yönetimi :

  • Sözkonusu açıklığın mevcut olduğu sunucu ve bilgisayarların ağ taraması ile tespit edilerek yukarıdaki güvenlik tedbirlerinin uygulanması.
  • Tenable Security Center çözümünün sürekli zafiyet analizi ve raporlama yetenekleri bu kapsamda etkin çözüm sunmaktadır.

Yedekleme :

  • Hassas veri barındıran sunucu ve bilgisayarlardaki verilerin yedeklenerek olası başarılı bir saldırıya karşı geri dönüş alternatifinin hazır tutulması.
  • Veritas backup çözümleri ile bu kontrol en etkin şekilde uygulanabilmektedir.

Smantec’in söz konusu zararlı hakkındaki durumu :

  • SEP’in v14 sürümü, zararlıyı ilk yayılmaya başladığı andan itibaren “Advanced Machine Learning teknolojisi” tespit edebilmektedir. SEP 14 kullanan bilgisayarlarda ilave tedbir almaya gerek duyulmamaktadır.
  • SEP dahil tüm Symantec malware protection ürünleri, 13 Mayıs 2017 tarihi itibariyle zararlıyı imzası ile tanımakta, Symantec tarafından Ransomware.WannaCry olarak tespit edilerek temizlenmektedir.
  • SEP 14 sürümü, zararlıyı Advanced Machine Learning teknolojisi ile ilk yayılmaya başladığı andan itibaren tespit edebilmektedir.
  • SEP’te, söz konusu MS açıklığına yapılabilecek benzer saldırılara karşı IPS imzaları mevcuttur. Farklı bir formda aynı açıklığı hedef alan saldırılar da SEP’in IPS modülü ile önlenebilmektedir.
  • Symantec’in konuya ilişkin açıklaması linkte yer almaktadır.

Smantec’in söz konusu zararlı hakkındaki dökümanı :

  • Veeam’in konuya ilişkin açıklaması linkte yer almaktadır.