Colonial Pipeline, düzenlenen fidye yazılımı saldırısını nasıl yönetti?

Fidye yazılımı konusunda yetkililere başvurmanız gerekiyor mu?

ABD’de doğu yakasının büyük bir bölümüne yakıt sağlayan petrol boru hattını kontrol eden şirket, Colonial Pipeline’a düzenlenen son fidye yazılımı saldırısı, hafızalarda tazeliğini koruyan en sansasyonel saldırılardan biridir. Anlaşılır bir şekilde, saldırının ayrıntıları kamuoyu ile paylaşılmadı ancak bazı bilgiler medyada kendine yer buldu ve bu bilgilerden yola çıkarak konuya ilişkin en azından şu dersi çıkarabiliriz: Kolluk kuvvetlerini derhal bilgilendirmek hasarı azaltabilir. Elbette bu bildirimi yapmak herkesin inisiyatifinde olan bir konu değildir — bazı eyaletlerde kurbanlar, düzenleyici otoriteleri bilgilendirmekle yükümlüdür. Buna rağmen, bildirimin zorunlu olmadığı durumlarda bile böyle bir şey yapmanın faydası olabilir.

Saldırı

7 Mayıs’ta, ABD’nin doğu yakasının en büyük petrol boru hattını işleten Colonial Pipeline’a fidye yazılımı saldırısı gerçekleştirildi. Çalışanlar, kısmen bazı bilgisayarların şifrelenmiş olması, kısmen de bulaşmanın yayılmasını önlemek için bazı bilgi sistemlerini çevrimdışı hale getirmek zorunda kaldı. Bu durum doğu yakası boyunca akaryakıt tedarikinde gecikmelere neden olarak petrol vadeli işlemlerinde% 4’lük bir artışa yol açtı. Hasarın azaltılması adına şirket, akaryakıt dağıtımlarını artırmayı planlıyor.

Her ne kadar şirket sistemlerini yeniden çalışır hale getiriyor olsa da Zero Day blog’daki kaynaklara göre yaşanan sorun, şirketin hizmet ağlarından çok fatura sisteminden kaynaklanıyor.

Federal tecrit

Modern fidye yazılımı operatörleri, yalnızca verileri şifreleyip, bu verilerin şifresini kaldırmak için fidye talep etmekle yetinmiyor, aynı zamanda para sızdırmak amacıyla bilgileri de çalıyorlar. Colonial Pipeline olayında da saldırganlar, kurumsal ağdan yaklaşık 100 GB boyundaki veriyi çektiler.

Ancak Washington Post’un aktardığına göre harici olay müfettişleri, yaşananları, çalınan verilerin yerini hemen öğrendi ve daha sonra FBI temasa geçtiler. Bu sayede federaller, yüklenen bilgilerin tutulduğu sunucunun sahibi olan internet servis sağlayıcıya (ISS) ulaştı ve sunucuyu izole ettirdi. Sonuç olarak siber suçlular Colonial Pipeline’dan çaldıkları bilgilere erişimlerini kaybetmiş olabilirler. Bu şekilde hızlı aksiyon alınması hasarı en azından kısmen de olsa hafifletti.

Bunun olduğunu bilmek, şirketin ana boru hatlarını tekrar çalışır duruma getirmez, ancak yaşanan hasar önemli olsa da, çok daha kötüsü olabilirdi.

İlişkilendirme

Görünüşe göre şirket, hem Windows hem de Linux işletim sistemleri üzerinde çalışabilen DarkSide fidye yazılımı tarafından saldırıya uğradı. Kaspersky ürünleri, bu kötü amaçlı yazılımı Trojan-Ransom.Win32.Darkside ve Trojan-Ransom.Linux.Darkside olarak algılar. DarkSide, güçlü şifreleme algoritmaları kullanıyor ve doğru anahtar olmadan verilerin geri yüklenmesini imkansız hale getiriyor.

Bakıldığında DarkSide grubu, yardım masası, Halkla İlişkiler departmanı ve basın merkeziyle tam bir online servis sağlayıcı gibi görünüyor. Suçluların internet sitesinde yer alan bir notta, saldırının siyasi nedenlerle değil ekonomik nedenlerle gerçekleştirildiği belirtiliyor.

DarkSide grubu, saldırıları gerçekleştiren ortaklarına yazılım ve ilgili altyapı sağlayan, hizmet olarak fidye yazılımı modelini kullanıyor. Bu ortaklardan biri, Colonial Pipeline’ı hedef alan saldırının sorumlusuydu. DarkSide’a göre, grup bu kadar ciddi sosyal sonuçlara neden olma niyetinde değildi ve bundan sonra “aracılarının” seçtiği kurbanları daha yakından takip edecek. Ancak PR numaralarıyla dolu bir bildiride yer alan bir ifadeyi ciddiye almak oldukça zor.

Güvenliğinizi nasıl sağlayabilirsiniz?

Uzmanlarımız, şirketinizi fidye yazılımlarından koruma konusunda şunları öneriyorlar:

  • Halka açık ağlardan, uzak masaüstü hizmetlerine (RDP gibi) yapılan gereksiz bağlantıları yasaklayın ve bu tür hizmetler için her zaman güçlü parolalar kullanın;
  • Uzaktan çalışanları şirket ağına bağlamak için kullandığınız VPN çözümleri için tüm mevcut yamaları yükleyin;
  • Güvenlik açıklarından faydanılmasını önlemek için tüm bağlı cihazlardaki yazılımları güncelleyin;
  • Tüm giden trafiğe özellikle dikkat ederek, yanal hareketi ve veri hırsızlığını tespit eden savunma stratejisine odaklanın;
  • Verileri düzenli olarak yedekleyin ve acil durumlarda yedeklerinize kolayca erişebildiğinizden emin olun;
  • Saldırı taktikleri, teknikleri ve prosedürleri konusunda kendinizi güncel tutmak için tehdit istihbaratı verilerinden yararlanın;
  • Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response gibi saldırıları başlangıç aşamasında durdurmaya yardımcı olan güvenlik çözümleri kullanın;
  • Çalışanlarınıza kurumsal ortamın güvenliğine dikkat etmeleri konusunda eğitim verin;
  • Güvenlik açıklarından yararlanan yazılımlara karşı koyan, anormal davranışları tespit eden ve kötü amaçlı değişiklikleri geri alıp sistemi geri yükleyebilen uç nokta koruması için güvenilir bir çözüm kullanın.

Colonial Pipeline olayı, hızlı bir şekilde yasal makamlarla iletişime geçmenin sağladığı avantajı gösteriyor. Yardım edebileceklerinin garantisi yoktur elbette ancak bu, olası hasarı en aza indirebilir.

 

İpuçları