'Yol' korsanları veri şifrelemesini saldırmak için sisteme sızdı

Veri şifreleme kötü amaçlı yazılımlarının "kabusunun" uzatılması

24 Mart sabahı Vietnam borsasının ilk 3 şirketi arasında yer alan VNDIRECT sistemine düzenlenen siber saldırının temel çözümü sağlandı. Veriler çözüldü ve Hesabım arama sistemi tekrar çalışır durumda.

VNDIRECT, 24 Mart'taki olayın profesyonel bir saldırı grubu tarafından gerçekleştirildiğini ve tüm şirket verilerinin şifrelendiğini bildirdi. Veri şifreleme kötü amaçlı yazılım saldırıları - fidye yazılımları - son yıllarda dünya çapındaki işletmeler ve kuruluşlar için, yol açabileceği ciddi sonuçlar nedeniyle her zaman bir kabus olmuştur. Uzmanlar ayrıca fidye yazılımlarını siber uzayda bir "kâbus" ve "hayalet" olarak nitelendiriyor.

VNDIRECT'in müşterilerine ve iş ortaklarına duyurduğu yol haritasına göre, operasyon birimi sistemleri, ürünleri ve diğer hizmetleri kademeli olarak yeniden açmaya devam edecek. Bu birim, 28 Mart'ta borsalardaki akışı kontrol etmeyi planlıyor.

Ancak bilgi güvenliği uzmanlarının analizlerine göre, VNDIRECT teknoloji ekibi ve güvenlik açıklarını tarayan ve sorunu kapsamlı bir şekilde çözen uzmanların zor günlerinin hâlâ uzun olduğu görülüyor. Fidye yazılımı yeni bir siber saldırı türü olmasa da oldukça karmaşıktır ve verileri temizlemek, sistemi tamamen geri yüklemek ve normal operasyonları geri yüklemek için çok zaman gerektirir.

NCS Teknik Direktörü Vu Ngoc Son, "Bir fidye yazılımı saldırısını tamamen ortadan kaldırmak için bazen işletim biriminin sistem mimarisini, özellikle de yedekleme sistemini değiştirmesi gerekir. Bu nedenle, VNDIRECT'in karşılaştığı olayda, sistemin tamamen iyileşmesinin daha uzun, hatta aylar süreceğini düşünüyoruz," dedi.

Fortinet Vietnam Teknik Direktörü Nguyen Minh Hai, fidye yazılımı saldırısından sonra sistemi kurtarmak için gereken sürenin, saldırının ciddiyetine, önceden hazırlık yapma olanağına ve müdahale planının etkinliğine bağlı olarak büyük ölçüde değişebileceğini, özellikle büyük miktarda verinin kurtarılması gereken durumlarda tam kurtarmanın birkaç saatten birkaç haftaya kadar sürebileceğini söyledi.

Nguyen Minh Hai, "Bu kurtarma sürecinin bir parçası olarak, veri şifreleme kötü amaçlı yazılımının ağdan tamamen kaldırıldığından ve saldırganların erişimi yeniden kazanmasına olanak sağlayabilecek hiçbir arka kapının bırakılmadığından emin olmak gerekiyor" dedi.

Uzmanlar, VNDIRECT'e yönelik siber saldırının, Vietnam'da önemli bilgi sistemlerini yöneten ve işleten birimler için bir "uyanış çağrısı" olmasının yanı sıra, fidye yazılımlarının tehlike seviyesini bir kez daha gösterdiğini belirtti.

WannaCry ve veri şifreleme kötü amaçlı yazılımının türevleri, 6 yıldan uzun bir süre önce, Vietnam da dahil olmak üzere dünya çapında yaklaşık 100 ülke ve bölgede 300.000'den fazla bilgisayara hızla yayıldığında birçok işletme ve kuruluşun "zorlanmasına" neden oldu.

Son yıllarda işletmeler fidye yazılımı saldırıları konusunda her zaman endişe duymuştur. Geçtiğimiz yıl, Vietnam siber aleminde ciddi sonuçları olan birçok fidye yazılımı saldırısı kaydedildi; bu saldırılarda, bilgisayar korsanlarının fidye talep etmek için verileri şifrelemekle kalmayıp, toplanan parayı en üst düzeye çıkarmak için verileri üçüncü taraflara sattığı durumlar da yaşandı. NCS istatistiklerine göre, 2023 yılında Vietnam'da 83.000'e kadar bilgisayar ve sunucunun fidye yazılımı saldırısına uğradığı kaydedildi.

Sisteme sızmanın yaygın 'yolları'

VNDIRECT'in teknoloji ekibi, sistem güvenliğini sağlarken sistemi tamamen eski haline getirmek için çözümler sunmak üzere bilgi güvenliği uzmanlarıyla birlikte çalışıyor. Olayın nedeni ve saldırganın sisteme sızmak için kullandığı "yol" hala araştırılıyor.

SCS Smart Network Security Şirketi CEO'su Ngo Tuan Anh'a göre, veri şifrelemesini engellemek için bilgisayar korsanları genellikle önemli veriler içeren sunucuya sızmayı ve verileri şifrelemeyi tercih ediyor. Bilgisayar korsanlarının genellikle birimlere sızmak için kullandığı iki yol var: sunucu sisteminin zayıf noktaları ve açıkları üzerinden doğrudan girmek; veya yöneticinin bilgisayarına "dolaşarak" sistemin kontrolünü ele geçirmek.

VSEC Şirketi Bilgi Güvenliği İzleme Departmanı Başkanı Bay Vu The Hai, VietNamNet'e yaptığı açıklamada, bilgisayar korsanlarının sisteme sızıp kötü amaçlı yazılım yükleme olasılıklarına da dikkat çekti: Sistemdeki mevcut güvenlik açıklarından yararlanarak kontrolü ele geçirmek, kötü amaçlı yazılım yüklemek; açık sistemde kullanıcıları kandırmak için kötü amaçlı yazılım içeren ekli dosyalar içeren e-postalar göndermek, kötü amaçlı yazılımı aktif hale getirmek; sızdırılan parolalardan veya sistem kullanıcılarının zayıf parolalarından sisteme giriş yapmak.

Uzman Vu Ngoc Son, fidye yazılımı saldırılarında bilgisayar korsanlarının genellikle parola sorgulama, sistem açıklarını istismar etme, özellikle de sıfırıncı gün güvenlik açıklarını (üreticinin henüz yama yapmadığı güvenlik açıkları - PV) kullanma gibi çeşitli yollarla sisteme girdiğini analiz etti.

Finans şirketleri genellikle düzenleyici standartlara uymak zorundadır, bu nedenle parola keşfi olasılığı neredeyse imkansızdır. En olası olasılık, sıfırıncı gün açığı üzerinden bir saldırıdır. Buna göre, bilgisayar korsanları, yazılımın işlendiğinde kontrolden çıkmasına neden olan hataya neden olan veri segmentlerini uzaktan gönderir.

Uzman Vu Ngoc Son, "Daha sonra, bilgisayar korsanı uzaktan kod çalıştırır ve servis sunucusunun kontrolünü ele geçirir. Bilgisayar korsanı bu sunucudan bilgi toplamaya devam eder, elde ettiği yönetici hesaplarını kullanarak ağdaki diğer sunuculara saldırır ve son olarak gasp için veri şifreleme araçları çalıştırır," diye analiz etti.

Ders 2 - Uzmanlar fidye yazılımı saldırılarına nasıl yanıt verileceğini gösteriyor

Menkul kıymet şirketlerinin, çevrimiçi menkul kıymet işlemlerinin yapıldığı sistem de dahil olmak üzere sistemlerdeki riskleri ve zayıflıkları gidermek için bilgi güvenliği inceleme ve değerlendirmesini tamamlamaları ve önlemleri uygulamaları için son tarih 15 Nisan.