Maze fidye yazılımı nedir? Tanım ve açıklama
Maze fidye yazılımı – anlamı ve tanımı
Maze fidye yazılımı, dünya çapında birçok sektörde kuruluşları hedef alan karmaşık bir Windows fidye yazılımı türüdür. Diğer fidye yazılımlarında olduğu gibi Maze de şifrelenmiş verilerin güvenli bir şekilde kurtarılması karşılığında kripto para cinsinden ödeme yapılmasını talep eder.
Suçlular, Maze fidye yazılımının kurbanları ödeme yapmayı reddettiğinde, gizli verilerini sızdırmakla tehdit eder. Bu davranış, REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop gibi daha yeni fidye yazılımı biçimlerinde giderek daha fazla görülmekte.
Maze fidye yazılımı nedir?
ChaCha fidye yazılımının bir çeşidi olarak geliştirilen Maze ilk olarak Mayıs 2019'da keşfedilmiştir. Maze, Aralık 2019'dan bu yana birçok sektörde kurbanları hedef almaya devam ediyor.
Maze fidye yazılımı nasıl çalışır?
Maze genellikle şu şekilde dağıtılır:
- Genellikle istenmeyen e-postalardaki kötü amaçlı bağlantılar veya ekler (çoğunlukla Word veya Excel dosyaları) kullanılarak
- RDP kaba kuvvet saldırıları
- Bir exploit kiti kullanarak
Bazı durumlarda saldırı, bir kuruluşun daha önce korsanların kurbanı durumuna düşmüş bir müşterisinden veya ortağından gelebilir. Maze bir ağa erişim sağladıktan sonra, operatörler dosya şifrelemesini tüm sürücülere dağıtabilmek için yükseltilmiş ayrıcalıklar elde etmeye çalışır. Maze, özellikle tehlikelidir çünkü bulduğu verileri çalar ve bir fidye ödenmediği takdirde verileri yaymakla tehdit eden kötü amaçlı bilgisayar korsanları tarafından kontrol edilen sunuculara aktarır.
Kuruluşlar, verilerini güvenli bir yedeklemeden geri yükleyebilir ve bu şekilde yeniden çalışır duruma gelebilirler (yedeklemenin kendisi ele geçirilmediği takdirde) ancak bu durum suçluların artık kuruluşun verilerinin bir kopyasına sahip olduğu gerçeğini değiştirmez. Temel olarak, Maze bir fidye yazılımı saldırısı ile veri ihlalinin birleşimidir.
Maze fidye yazılımı web sitesi
Maze'nin yaratıcıları, kurbanlarını listeleyen bir web sitesi işletiyor (ve onları "müşteri" olarak adlandırıyorlar). Bu web sitesinde sık sık bir ceza olarak çalıntı veri örneklerini yayınlıyorlar. Web sitesinde kurbanların Maze fidye yazılımı tarafından ne zaman saldırıya uğradığıyla ilgili bilgilerin yanı sıra, çalınan verilere ve belgelere dair "kanıt" niteliğinde indirme bağlantıları yer alıyor. Web sitesinde “Dünyayı güvende tutuyoruz” şeklinde ironik bir slogan yer alıyor ve hatta veri ihlallerinin ayrıntıları sosyal medya üzerinden paylaşılabilsin diye sosyal paylaşım düğmeleri bulunuyor.
Maze fidye yazılımı web sitesi, kurbanlarını fidye ödemedikleri takdirde şunları yapacakları konusunda uyarıyor:
- Güvenlik ihlalleri hakkında bilgi ifşa etme ve medyayı bilgilendirme
- Çalınan bilgileri karanlık web üzerinde maddi değer karşılığında satma
- Şirketin hisse senedi değerini düşürmek için korsanlık eylemi ve hassas bilgilerin kaybı hakkında ilgili borsaları bilgilendirme
- Çalınan bilgileri müşterilere ve ortaklara saldırmak için kullanma ve onları şirketin korsanlık kurbanı olduğu konusunda bilgilendirme
Maze’in, geliştiriciler tarafından elde edilen gelirlerin organizasyonel ağlarında Maze'i kullanan çeşitli gruplarla paylaşıldığı, bağlı bir ağ aracılığıyla faaliyetini sürdürdüğüne inanılıyor.
2020'de Maze'nin arkasındaki suçlular, iki diğer suç grubu LockBit ve RagnarLocker ile bir araya gelerek bir fidye yazılımı karteli oluşturmuşlardı. Suçlular mesailerini tek bir havuzda topladı ve çaldıkları verileri Maze web sitesinde yayınlandılar. Bu işbirliğinin ardından Maze, daha önce yalnızca RagnarLocker tarafından kullanılan yürütme tekniklerini kullanmaya başladı.
Maze fidye yazılımının sonu mu geldi?
2020'in sonunda, Maze fidye yazılımı grubu tutarsız bir beyanla kapandığını duyurdu. Artık web sitelerini güncelleyemeyeceklerini ve verilerinin kaldırılmasını isteyen kurbanların “destek sohbeti” üzerinden kendileriyle iletişime geçebileceğini belirttiler.
Grup, gerçekleştirilen saldırıların, siber güvenlik farkındalığını artırmak için başlatıldığını iddia etti. Aynı dönemde, böyle bir grubun sadece grup hakkında yazan gazetecilerin kafalarında var olduğunu iddia ederek kafaları iyice karıştırdılar.
Ayrıca, New York eyaleti hükümetinin ve daha çok sayıda internet servis sağlayıcısının (ISS) BT sistemlerine erişim sahibi olduklarını ancak bunlara saldırmamayı tercih ettiklerini iddia ettiler.
Grubun dağılmış olduğu iddialarına ihtiyatla yaklaşılması gerekiyor. Daha önce, GandCrab fidye yazılımı operatörleri, sadece REvil/Sodinokibi'yi yeniden hayata döndürmek için gruptan çıktığını duyurmuştu. Maze ile yeni ortaya çıkan Egregor ve Sekhmet adlı iki fidye yazılımı arasında benzerlikler gözlemlendi ve bu da grubun yeni bir siber saldırı dalgası tasarlandığına dair güçlü bir gösterge oldu.
Maze fidye yazılımı saldırıları - örnekler
Dikkat çeken Maze fidye yazılımı kurbanları:
Cognizant fidye yazılımı saldırısı
En dikkat çeken Maze fidye yazılımı saldırılarından birinde, dünyanın en büyük BT hizmeti sağlayıcılarından biri olan bir Fortune 500 şirketi hedef alındı.
Cognizant, Nisan 2020'de, Maze fidye yazılımı grubunun saldırısına uğradı ve müşterilerine sunduğu hizmetler kesintiye uğradı. Saldırı, bazı iç sistemlerini şifreleyip devre dışı bıraktı ve diğer sistemleri de çevrimdışı yapmaya mecbur bıraktı.
Saldırı, Covid-19 kısıtlamaları nedeniyle personelin uzaktan çalışmaya başladığı dönemde gerçekleşti. Sanal masaüstü altyapısını destekleyen bilgisayar sistemlerini bozarak, çalışanların çalışma becerisini de etkiledi. Dahili dizinler silindi, bu da personelin birbirleriyle, satış ekipleriyle, mevcut ve potansiyel müşterilerle iletişim kurmalarını zorlaştırdı. Bazı durumlarda e-posta erişimi kaybedildi.
Bazı Cognizant müşterileri, Cognizant’ın kendi ağlarına erişimini kapatarak ve projeleri etkin bir şekilde beklemeye alarak kendilerini kötü amaçlı yazılımdan korumayı tercih etti. Cognizant, önde gelen siber güvenlik uzmanlarına çağrı yaparak iç BT güvenlik ekiplerine yardımcı olmaya davet etti. Cognizant fidye yazılımı saldırısı kolluk kuvvetlerine de bildirildi ve Cognizant müşterilerine sürekli güncellemeler sunuldu.
Cognizant, veri ihlal bildirimlerinde sosyal güvenlik numaraları, vergi numaraları, finansal bilgiler, sürücü belgeleri ve pasaportlar gibi hassas kişisel bilgilerin çalınmış olabileceği konusunda uyarılarda bulundu. Şirket, kurumsal kredi kartı olan çalışanları, kart bilgilerinin saldırı sırasında açığa çıkmış olma olasılığının yüksek olduğu konusunda uyardı. Bu durumdan etkilenenler için bir yıllık ücretsiz kimlik hırsızlığı ve karanlık web izleme servisi sağlandı.
Cognizant'a yapılan Maze fidye yazılımı saldırısının şirkete 50 milyon ila 70 milyon dolar arasında maliyet çıkaracağı ve bunun üstüne bir de sonrasında bilgisayar sistemlerini tam olarak geri yüklemek için daha başka maliyetleri de beraberinde getireceği tahmin ediliyor.
Şirketin bilinen müşterileri arasında finansal hizmetler şirketleri ING ve Standard Life, otomotiv şirketi Mitsubishi Motors ve İK hizmetleri şirketi PeopleSoft bulunuyor. Şirket, saldırıdan hangi müşterilerin etkilendiğini açıklamadı.
Canon fidye yazılımı saldırısı
Ağustos 2020'de, Canon'un Maze fidye yazılımı saldırısına maruz kaldığı bildirildi. Çete, Canon’a ait yaklaşık 10 TB büyüklüğünde veri ele geçirdi ve bu olay yaklaşık 25 farklı Canon etki alanı ile birlikte e-posta ve işbirliği hizmetleri de dahil olmak üzere şirketin çeşitli iç uygulamalarını etkiledi.
Maze fidye yazılımı saldırısı, 10 GB ücretsiz depolama hizmetinin kullanıcılarını da etkiledi. Canon, 16 Haziran 2020'den önce kaydedilen tüm verilerin veya görüntülerin kaybolduğunu kabul etti ancak görüntü verilerinde herhangi bir sızıntı olmadığını açıkladı. Bu verilere erişilememesine rağmen, bunlara ait küçük resimler çevrimiçi olarak görüntülenebiliyor. Ancak herhangi bir anlık görüntüye tıklandığında web sitesinde bir hata çıkıyor.
Xerox fidye yazılımı saldırısı
Temmuz 2020'de, Maze fidye yazılımı operatörleri tarafından Xerox sistemlerine sızıldığı iddia edildi ve ödeme yapılmadığı takdirde çok miktarda veri sızdıracağı tehdidi gerçekleştirildi. Grup, sızdırmanın kanıtı olarak kendi web sitesinde 10 ekran görüntülük bir seri yayınladı. Bu ekran görüntüleri, çetenin müşteri destek operasyonlarıyla ilgili verileri çaldığını gösteriyordu.
Pensacola şehri Maze fidye yazılımı saldırısı
Florida'daki Pensacola şehri, 2019 yılı sonunda saldırıya uğradı. Maze fidye yazılımı grubu, 1 milyon dolarlık fidye ödenmediği takdirde veri sızdırma tehdidinde bulundu. Bildirildiğine göre, grup şehrin sistemlerinden 32 GB'tan fazla veri çaldı. Saldırının kanıtı olarak ise 2 GB sızdırdılar.
Maze fidye yazılımı saldırısı sonucunda Pensacola Energy ve Pensacola Şehri Sağlık Hizmetleri tarafından sağlanan çevrimiçi ödeme hizmetleri durduruldu. Neyse ki vatandaşlar için polis ve itfaiye gibi diğer hizmetler saldırılan etkilenmedi.
Maze fidye yazılımı saldırıları için fidye ödemeniz gerekir mi?
Bu önerilmez. Fidye ne kadar çok kişi tarafından ödenirse suçluların gelecekte de benzer saldırılar başlatma olasılığı da o kadar artar.
Bununla birlikte, bazı işletmeler ödeme yapmazlarsa şirketlerinin hayatta kalamayacağını düşünebilir. Burada herkes için geçerli olacak tek ve kolay bir yanıt yoktur ve sonuçta her kuruluşun koşullara göre karar vermesi gerekir. Verilen karar ne olursa olsun, saldırıların arkasında kimlerin olabileceğinin araştırılması için emniyet güçlerinin sürece dahil edilmesi ve onlarla yakın bir çalışılma sürdürülmesi önerilir.
Şirketlerin ödeme yapıp yapmadığından bağımsız olarak, saldırının yapılmasına olanak tanıyan güvenlik sorunlarını anlamak son derece önemlidir. Kuruluşlar, gelecekte siber saldırıları önlemek için neleri yanlış yaptıklarını ve bunların nasıl düzeltileceğini öğrenmelidir.
FBI, Maze kötü amaçlı yazılımına karşı proaktif bir önlem olarak, şirketlere kukla veri önbellekleri oluşturmayı düşünmelerini tavsiye eder. Bu kukla veri koleksiyonlarının amacı, saldırganların saldırı sırasında gerçekten önemli dosyaları başarıyla çalmasını zorlaştırmaktır.
Maze fidye yazılımına karşı nasıl koruma sağlanır?
Fidye yazılımları gelişmeye devam ediyor. Bunlara karşı en iyi savunma proaktif korumadır; çünkü veriler kötü amaçlı yazılım veya korsanlar tarafından şifrelendikten sonra, verileri kurtarmak için genellikle çok geçtir.
Kuruluşlar için fidye yazılımı saldırılarının önlenmesine yardımcı olacak ipuçları:
1. Yazılımlarınızı ve işletim sistemlerinizi güncel tutun
Yazılımlarınızı ve işletim sistemlerinizi güncel tutmak, kötü amaçlı yazılımlardan korunmanıza yardımcı olur. Microsoft Office, Java, Adobe Reader, Adobe Flash gibi yazılımlar ve tarayıcı eklentileri de dahil olmak üzere Internet Explorer, Chrome, Firefox, Opera gibi internet tarayıcıları için yamaları ve güncelleştirmeleri uygulayın. Bir güncelleme yaptığınızda en son güvenlik yamalarından faydalanmış olursunuz ve böylece siber suçluların yazılımınızdaki güvenlik açıklarından yararlanmasını zorlaştırırsınız.
2. Güvenlik yazılımı kullanın
Siber suçların yaygınlaştığı günümüzde fidye yazılımı koruması artık hiç olmadığı kadar önemli. Kaspersky Internet Security gibi kapsamlı bir internet güvenliği çözümüyle bilgisayarınızı fidye yazılımlarına karşı koruyun. Yazılımımız, virüs bulaşmış dosyaları indirdiğinizde veya çevrimiçi olarak yürüttüğünüzde onları engelleyerek fidye yazılımının bilgisayarınıza bulaşmasını önler ve siber suçluları uzak tutar.
3. Ağa erişmek için VPN kullanın
Uzak Masaüstü Protokolü'nü (RDP) internete açık bırakmak yerine ağa erişmek için bir VPN kullanın. Kaspersky Secure Connection çevrimiçi gizlilik ve küresel içeriğe erişim sağlar.
4. Verileri yedekleyin
Bir saldırı meydana geldiğinde çalınan verileri geri yükleyebilmek için verileri düzenli olarak güvenli, tesis dışı bir konuma yedekleyin. Bunu başarmanın kolay bir yolu, bir kullanıcının bunu düzenli olarak hatırlamasına güvenmek yerine otomatik yedeklemeleri etkinleştirmektir. Verilerin kaydedildiğinden emin olmak için yedeklemeler düzenli olarak test edilmelidir.
5. Personeli siber güvenlik riskleri konusunda eğitin ve bilgilendirin
Kuruluşlar, personelin, siber suçlular tarafından kuruluşlara elektronik olarak sızmak için kullanılan yöntemler hakkında bilgilendirilmesini sağlamalıdır. Tüm çalışanları, en iyi siber güvenlik uygulamaları konusunda eğitin; örneğin:
- Spam e-postalardaki veya bilinmeyen web sitelerindeki bağlantılara tıklamaktan kaçının. Kötü amaçlı bağlantılara tıklandığında başlayan indirmeler ile bilgisayarınıza kötü amaçlı yazılımlar bulaşması mümkündür.
- Bilinmeyen web sitelerinden yazılım veya ortam dosyaları indirmekten kaçının.
- Güvenmediğiniz göndericilerden gelen e-posta eklerini açmaktan kaçının. E-postanın kimden geldiğini kontrol edin ve e-posta adresinin doğru olduğunu onaylayın. Açmadan önce ekin sahte bir dosya olup olmadığını inceleyin. Emin değilseniz, e-postayı gönderdiğini düşündüğünüz kişi ile iletişime geçin ve tekrar kontrol edin.
- Kişisel bilgilerinizi isteyen güvenilir olmayan bir kaynaktan arama, metin veya e-posta alırsanız bilgilerinizi asla vermeyin.
- Şirketin yerel ağında uzak bağlantı için sadece güvenli teknolojileri kullanın.
- Kaspersky Endpoint Security for Business gibi davranış tespiti ve otomatik dosya geri alma işlevleri sunan uç nokta güvenliğini kullanın.
- Hassas verileri ve hesapları korumanın yanı sıra çok faktörlü kimlik doğrulamasına olanak sağlamak için kırılması zor, benzersiz parolalar kullanın.
- Mümkün olan her yerde hassas verileri şifreleyin.
Maze fidye yazılımı grubunun dağılmasından veya başka bir suç grubuna dönüşmesinden bağımsız olarak, fidye yazılımı tehdidi devam edecektir. Sürekli gelişen siber tehditlerin bir adım önünde olmak için her zaman olduğu gibi tetikte olmak şarttır.
İlgili Makaleler:
Maze fidye yazılımı nedir? Tanım ve açıklama
Kaspersky
