Günümüzün en ciddi fidye saldırıları arasında yer alan SamSam üzerinde yapılan araştırmalar, durumun düşünülenden çok daha ciddi olduğunu ortaya koydu.
Bugüne kadar çoğu fidye yazılımı üreticisi, tehdidi yaygınlaşmak için gelişigüzel spam kampanyalarıyla yüz binlerce kullanıcıya aynı anda ulaşma ve birilerinin tuzağa düşmesini bekleme yolunu tercih ediyordu. Böylece tuzağa düşen kullanıcılardan birkaç yüz dolar gibi küçük ödemeler alarak, büyük gelirlere ulaşmayı umuyorlardı.
Kısa sürede günümüzün en korkulan siber tehditleri arasına giren SamSam ise farklı bir yol izliyor. SamSam’ı diğerlerinden ayıran, sistemlere sızma konusunda yetenekli bir kişi veya grubun hedeflenen kurum veya şirketin ağına sızarak ağdaki zayıflıkları tespit etmesi ve zararlı yazılımı elle çalıştırması. Böylece saldırı, söz konusu kurumun bilgi sistemleri altyapısına en kısa sürede en fazla zararı verecek biçimde kurgulanabiliyor. Böyle ince planlanmış bir saldırı karşılığında istenen fidye on binlerce doları buluyor.
Basit bir gasp soyguncusu yerine adeta profesyonel elmas hırsızı gibi davranan SamSam, fidye talebi öncesinde ağın kritik noktaları ele geçirildiği için kurumun alabileceği önlemlere ve güvenlik yazılımlarına karşı gerçek zamanlı olarak engelleyici stratejiler geliştirilmesine olanak sağlıyor. Şifreleme süreci bir nedenle kesintiye uğrarsa, bu kez yazılım kendini tamamen imha ederek saldırıyı kimin yaptığına dair geride hiçbir iz bırakmıyor.
Özenle tasarlanmış bir şifreleme aracı olan SamSam bulaştığı sistemlerde sadece kullanıcı dosyalarını değil, Windows işletim sisteminin ve uygulamaların çalışmak için rutin olarak ihtiyaç duymadığı, çoğu zaman yedeği alınmayan dosyaları da şifreliyor. Bu nedenle sistemleri düzeltmek sadece yedeğin yerine koyulmasını değil, işletim sistemi ve uygulamaların da yeniden kurulmasını gerektiriyor.
Sophos’un SamSam üzerinde yaptığı analizler, saldırganların arkalarında iz bırakmama konusunda son derece paranoyak olduğuna ve bunun için her saldırıda kullandıkları araçlara ve web sitelerine yönelik yeni önlemler aldıklarına işaret ediyor.
SamSam’a Dair Detaylı Analiz Sonuçları:
Temel Bulgular:
- SamSam ilk kez Aralık 2015’te ortaya çıktı. Kurbanlar, yeni bir fidye saldırısının özellikle hastane, okul ve akıllı şehir altyapıları gibi büyük organizasyonları hedef aldığını raporladılar.
- Saldırganların saldırıyı gizleme ve arkalarında iz bırakmama konusunda kullandığı yöntemler nedeniyle saldırıya dair detaylara ulaşmak uzun zaman aldı.
- Çoğu kurban, durumu düzeltmek adına kendi başlarına ortaya koyacakları çabanın iş sürekliliğini sağlamak adına yeterince hızlı olmayacağını anlayınca fidye ödeme yoluna gitti.
İstatistikler:
- Neutrino adlı şirketin yardımıyla fidye notlarında yer alan Bitcoin adreslerine yapılan transferler ve örnek dosyalar incelendiğinde, Sophos SamSam’ın yaratıcılarına 2015 yılsonundan beri 5,9 milyon Amerikan Doları kazandırdığını hesapladı.
- Bilinen kurbanların yüzde 74’ü Amerika Birleşik Devletleri’nde yer alıyor. Diğer etkilenen bölgeler arasında Kanada, İngiltere ve Orta Doğu ülkeleri mevcut.
- Bitcoin cüzdanlarına yapılan transferlere göre SamSam kurumlardan tek seferde 64 bin dolara kadar fidye koparmayı başarmış.
- Diğer çoğu fidye yazılımından farklı olarak, SamSam sadece doküman, görsel ve diğer kişisel dosyaları değil, Microsoft Office gibi uygulamaların çalışması için ihtiyaç duyulan yapılandırma dosyalarını da şifreliyor. Yedekleme stratejisini sadece kullanıcı dosyalarının şifrelenmesi üzerine kuran kurbanlar, cihazın imaj dosyasını tekrar yerine koymadan çalışır hale dönemiyor.
- Her yeni SamSam saldırısı, daha karmaşık saldırı yöntemleriyle ve geride iz bırakmamak için operasyonel güvenlik önlemlerinden korunmak üzere daha becerikli önlemlerle geliyor.
- Kurbanlardan talep edilen fidye miktarı gittikçe artarken, saldırı yoğunluğunda herhangi bir yavaşlama gözlenmiyor.
Mevcut Durum Değerlendirmesi:
- Sophos’un tahminlerine göre SamSam saldırganları 2018 yılında her ay 300 bin doların çok az altında bir gelir elde etti.
- Saldırganların bilinen Bitcoin cüzdanlarına gelen transferler incelendiğinde, Sophos bugüne kadar SamSam’ın arkasındaki isimlerin 5,9 milyon dolar fidye topladığını ettiğini tespit etti (not: Bitcoin’in gönderildiği gün mevcut kurla dolara çevrildiği varsayımıyla bu rakama ulaşılmıştır.)
- Bugüne dek SamSam için bir defada ödenen en yüksek fidye bedeli 64 bin 478 dolar.
- Ödemeler karanlık web üzerinde her kişi veya kurum için ayrı bir adresle açılan özel bir ödeme sitesi üzerinden, Bitcoin ile yapılıyor.
- Ödeme için açılan site, saldırganların kurbanla mesaj tahtası benzeri bir arayüz üzerinden doğrudan iletişim kurmasını sağlıyor.
- Ödenen fidye miktarı organizasyona göre değişiyor ve giderek artma eğiliminde.
- Ödemenin tamamı alındıktan sonra, SamSam’ın arkasındaki kişiler parayı çeşitli yöntemlerle çok sayıda karıştırıcı servisten geçirerek mikro transferlere aktarıyor. Yani bir anlamda “aklıyor”.
SamSam’dan Korunmak İçin Ne Yapmalı?
- Tek bir ürün veya yaklaşımla tüm güvenlik ihtiyaçlarınızı çözemezsiniz. Bu nedenle aktif ve çok katmanlı bir güvenlik modeli oluşturun.
- Saldırı metodolojisini dikkatle incelediğinizde bazı basit güvenlik önlemlerinin bile saldırıyı durdurmak için oldukça etkili olduğunu görebilirsiniz. Sophos SamSam’dan korunmak için aşağıdaki dört güvenlik önerisini hızla hayata geçirmenizi öneriyor:
- 3389 (RDP) portunu kapatın ve sadece VPN ile bağlanan personelin uzak sistemlerine erişimine izin verin. VPN erişiminde çoklu kimlik doğrulamayı devreye alın.
- Ağınız genelinde düzenli olarak penetrasyon testi çalıştırın. Raporların gereğini yapın.
- Sadece LAN ve VPN üzerinden dahili sistemlerinize bağlanan çalışanlarınız için bile çok katmanlı kimlik denetimini aktif hale getirin.
- Site içi ve site dışı yedek alın. Tüm sistemlerinizi etkileyecek durumlarda geri dönüş için bir felaket kurtarma senaryosu hazırlayın.
Ayrıca aşağıdaki ek güvenlik önlemleri de güvende kalmanıza yardımcı olacaktır:
- Tüm ağ bağlantı noktalarının yanı sıra içeri giren bir saldırganın rahatça hareket etmesini önleyecek çok katmanlı güvenlik modeli oluşturun.
- Tüm yamaları takip edin ve hızla uygulayın.
- Özellikle yaması yapılmamış sistemler için kilitleme ve saldırı önleme yeteneğine sahip sunucuya özgü güvenlik sistemleri kurgulayın.
- Aktif tehdit ve engellemeler hakkında bilgi toplayan ve paylaşan senkronize güvenlik çözümlerini tercih edin.
- Kimlik hırsızlığına karşı etkili uç nokta ve sunucu güvenlik araçları kullanın.
- Zor tahmin edilen yönetici şifreleri belirleyin ve çok katmanlı kimlik doğrulama kullanın.
- Kullanıcılarınızı güvenli şifreler belirlemeye ve güvenilir şifre yöneticileri kullanmaya yönlendirin.
- Censys veya Shodan gibi üçüncü parti yazılımlarla dışarıya açık hizmet ve portlarınıza yönelik periyodik değerlendirmeler yapın. Açık bulursanız önlemini alın.
- Hesap yönetimi kontrolünüzü geliştirin. Kullanılmayan hesapları kapatın, hatalı şifre denemesi olan hesapları kilitleyin ve sistem yöneticisine bildirin.
- Oltalama (phishing) konusunda personelinizi eğitin ve düzenli olarak testler gerçekleştirin.