İranlı 'SamSam' Bilgisayar Korsanlarının Ağınızı Fidye İçin Almasını Nasıl Önlersiniz?
Aralık 2nd, 2018 Yaron Kassner
By Yaron Kassner, CTO ve Kurucu Ortak, Silverfort
SamSam – kulağa hoş geliyor, değil mi? Aslında değil. SamSam yıkıcıdır fidye 200 yılında hastaneler, şehir yönetimleri ve diğer kuruluşlar da dahil olmak üzere ABD genelinde 2018'den fazla kurban etkilendi. 28 Kasım'da ABD Adalet Bakanlığı iki İran vatandaşını küresel SamSam fidye yazılımı salgınıyla bağlantılı olarak bilgisayar korsanlığı suçlarıyla suçladı. İddia edilen suçlular şu anda İran'da, ABD kolluk kuvvetlerinin ulaşamayacağı bir yerde bulunuyor ve iki şüphelinin sorgulanmak üzere ABD'ye gideceğinden şüpheliyim. Bu saldırıların duracağından da şüpheliyim. Dolayısıyla bu saldırının nasıl çalıştığını anlamak ve bazı koruyucu önlemleri uygulamak önemlidir.
Içindekiler
İlk Son Noktadan Ödün Verme
SamSam, internetten uzak masaüstlerine açık olan bilgisayarları hedefler. Bu tür uç noktaları bulmak çok kolay: gibi ücretsiz araçlar Shodan bu tür makinelerin bir listesini sağlayabilir. Bugün itibariyle, Shodan'da internete açık 2,475,311 uzak masaüstü kaydı bulunmaktadır. Bu masaüstlerinin parolaları, kaba kuvvet saldırılarıyla kırılabilir veya yalnızca karanlık ağdan satın alınabilir. Bulut ortamlarının artan kullanımı kuruluşları risk altına sokar çünkü pervasız bir yönetici, internetten erişimi korumadan buluttaki bir makineyi kolayca ifşa edebilir.
Ağın Daha Derinlerine Girmek
SamSam yalnızca tek bir virüslü uç noktanın dosyalarını şifrelemez. Uç nokta ele geçirildiğinde, SamSam çalınan kimlik bilgilerini kullanır ve aşağıdaki gibi güvenlik açıklarından yararlanır: EternalBlue ağ boyunca yanal olarak hareket etmek için. “Yeryüzü besleme teknikleri”ni, yani mevcut yönetim araçlarını kullanır. Bu, fidye yazılımının daha değerli verileri tutan daha değerli sunuculara ulaşmasını sağlar. Bir bilgisayarı rehin almak yerine tüm ağı ele geçirir.
Yedeklemeler genellikle bir savunma mekanizması olarak düşünülür. fidye yazılımı önleme. Ancak ağ içinde yanal olarak hareket edebilme özelliği, SamSam'in bu yedeklere ulaşmasını ve onları işe yaramaz hale getirmesini de sağlar. Yedekleri şifrelenmiş bir kurban fidyeyi ödemek zorunda kalacak veya verileri kaybedecekti.
SamSam Azaltma Maliyetleri Fidye Ödemesini Aşar
Bilgisayar korsanları şu ana kadar 6 milyon dolardan fazla fidye kazandı. Bununla birlikte, etkilenen kuruluşların maliyeti çok daha yüksek çünkü fidyeyi ödedikten ve dosyalarının kilidini açtıktan sonra, tehdidin ağlarından tamamen kaldırıldığından da emin olmaları gerekiyor. Atlanta şehri enfekte olduğunda, talep edilen fidye bundan çok daha düşük olmasına rağmen, olayı çözmek için toplam 17 milyon dolar harcadılar.
Fidye maliyetlerine ek olarak, tehdit ortadan kalkana kadar ortaya çıkan kesintinin bariz maliyeti vardır. Belki de kötü amaçlı yazılımın bu kadar çok sağlık hizmeti sağlayıcısına saldırmasının nedenlerinden biri de budur - çökmeyi göze alamazlar.
Kuruluşlarınızı SamSam Ransomware'den nasıl korursunuz?
-
- Verilerinizi çevrimdışı yedekleyin: Sizi fidye yazılımlarından kurtarmak için yedeklemelerinize güveniyorsanız, saldırganın da yedeklerinize ulaşmayacağından emin olmanız gerekir. Yedeklerinizi ağda kaydetmenin, ağdaki diğer veriler kadar fidye yazılımlarına maruz kaldıkları anlamına geldiğini unutmayın.
- İnternet üzerinden açığa çıkan uzak masaüstü sunucularını tanımlayın: İnternet üzerinden açığa çıkan uzak masaüstlerini keşfetmenin bir yolunu bulun. Açığa çıkan bir uzak masaüstü, internet üzerinden açığa çıktıktan sonraki saatler içinde bir kaba kuvvet saldırısına maruz kalacaktır. Bu nedenle, internete maruz kalan uzak masaüstlerini belirlemenin iyi bir yolu kaba kuvvet saldırılarına bakmaktır. Silverfort bunu yapmanıza yardımcı olabilir.
- Zorlayarak RDP Erişimini Koruyun Çok Faktörlü Kimlik Doğrulama – uzak bir masaüstünü internete açmanız gerekiyorsa, bir VPN veya bir savunma ana bilgisayarı kullanın. Bunlar makineye doğrudan ağ erişimini engeller. Ancak şifre tabanlı kimlik doğrulama yeterli değil. Kimlik bilgilerinin gerçekten meşru bir kullanıcı tarafından kullanıldığını doğrulamak için MFA'yı da eklemelisiniz. Silverfort herhangi bir aracı olmadan bu sistemlere MFA eklemenizi sağlar.
- Yanal hareketi engelle - MFA'yı PSExec gibi yönetim araçlarının kullanımına zorlamak, bu tür saldırıları etkili bir şekilde engelleyebilir. Ancak, bu tür araçlar için geleneksel MFA çözümleri uygulanamaz. Silverfort'S aracısız MFA platformlar bu araçlara da kolayca genişletilebilir.
- Hassas verilerinize erişimi koruyun – Veritabanları ve dosya paylaşımları dahil olmak üzere hassas kaynaklara her türlü erişim için MFA'yı zorunlu kılın.
Yaron Kassner, CTO ve Kurucu Ortak, Silverfort
SilverfortCTO'su ve Kurucu Ortağı Yaron Kassner siber güvenlik ve büyük veri teknolojisi uzmanıdır. Kurucu ortak olmadan önce Silverfort, Yaron, Cisco için büyük veri uzmanı danışmanı olarak görev yaptı. Ayrıca Microsoft'ta büyük veri analitiği ve makine öğrenimi algoritmalarını içeren yeni yetenekler geliştirdi. Bundan önce Yaron, İsrail Savunma Kuvvetleri'nin 8200 elit siber birliğinde saygın bir Ar-Ge ekibine liderlik etti, Yüzbaşı rütbesine yükseltildi ve prestijli bir mükemmellik ödülü aldı. Yaron lisans derecesine sahiptir. Matematik, Summa Cum Laude, M.Sc. ve Doktora Technion'dan Bilgisayar Bilimi Doktorası - İsrail Teknoloji Enstitüsü.
Nasıl olduğunu öğrenmek için Silverfort kuruluşunuzu SamSam ve diğer tehditlere karşı koruyabilir, bugün bize ulaşın.
