Fidye Yazılımları Yedeklere Rağmen Neden Başarılı Oluyor? – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Fidye Yazılımları Yedeklere Rağmen Neden Başarılı Oluyor

Birçok şirket yedeklemelerinin kendilerini fidye yazılımı saldırılarından koruyacağına inanır, ancak bu büyük bir yanılgıdır. Siber güvenlik firması Acronis'in raporuna göre, saldırganlar artık verileri şifrelemeden önce doğrudan yedekleme sistemlerini hedef alıp yok ediyor ve kurtarma seçeneğini ortadan kaldırıyor.

Fidye Yazılımları Yedeklere Rağmen Neden Başarılı Oluyor

Olayın Arka Planı ve Önemi

Siber güvenlik dünyasında, fidye yazılımı saldırılarına karşı en temel savunma mekanizmalarından biri her zaman düzenli ve güvenilir veri yedeklemeleri olarak kabul edilmiştir. Mantık basittir: Eğer bir saldırgan sistemlerinizi şifrelerse, fidyeyi ödemek yerine en son temiz yedeğinizden geri dönerek operasyonlarınıza devam edebilirsiniz. Ancak, BleepingComputer tarafından yayınlanan ve siber güvenlik firması Acronis'in analizlerine dayanan yeni bir rapor, bu geleneksel düşünce yapısının artık yeterli olmadığını gözler önüne seriyor. Rapora göre, modern fidye yazılımı grupları bu savunma hattının farkında ve saldırı stratejilerini buna göre evrimleştirmiş durumdalar. Artık saldırıların ilk adımı, verileri şifrelemek değil, şirketin can simidi olan yedekleme sistemlerini bulup tamamen yok etmektir.

Saldırının Teknik Boyutu ve Aşamaları

Saldırganların yedekleme sistemlerini hedef alması, çok aşamalı ve dikkatlice planlanmış bir operasyonun parçasıdır. Bu süreç, fidye yazılımının kendisinin ağda etkinleştirilmesinden çok daha önce başlar. İşte bu saldırıların tipik anatomisi:

  • Ağa Sızma ve Keşif: Saldırganlar, genellikle oltalama (phishing) e-postaları, zafiyetli uzak masaüstü protokolleri (RDP) veya çalınmış kimlik bilgileri gibi yöntemlerle hedef ağa ilk erişimi sağlarlar. İçeri girdikten sonra, hemen şifreleme işlemine başlamazlar. Bunun yerine, haftalarca, hatta aylarca sürebilen bir "keşif" aşamasına geçerler. Bu süreçte ağın haritasını çıkarır, kritik sunucuları, veri tabanlarını ve en önemlisi yedekleme altyapısını tespit ederler.
  • Yedekleme Altyapısının Tespiti: Saldırganlar, Veeam, Commvault, Acronis veya Windows Server Backup gibi popüler yedekleme yazılımlarının yönetim konsollarını ararlar. Ağdaki yedekleme sunucularını, depolama ünitelerini (NAS/SAN) ve bulut yedekleme hesaplarını belirlerler. Bu sistemlere erişmek için gerekli olan yönetici (admin) kimlik bilgilerini ele geçirmeye odaklanırlar.
  • Yedeklerin İmha Edilmesi: Gerekli erişimi elde ettikten sonra, saldırganlar sistematik olarak tüm kurtarma noktalarını ortadan kaldırır. Bu, birkaç farklı yöntemle gerçekleştirilebilir:
    • Yerel Yedeklerin Silinmesi: Yedekleme sunucusuna bağlanarak mevcut tüm yedekleme setlerini ve kataloglarını silerler.
    • Anlık Görüntülerin (Snapshots) Yok Edilmesi: Windows'un Volume Shadow Copy Service (VSS) gibi işletim sistemi düzeyindeki anlık yedekleme mekanizmalarını devre dışı bırakır ve mevcut tüm gölge kopyaları silerler. Bu, sistemin kendi kendini kurtarma yeteneğini engeller.
    • Bulut Yedeklerinin Hedef Alınması: Eğer şirket bulut tabanlı yedekleme kullanıyorsa, saldırganlar ele geçirdikleri kimlik bilgileriyle bulut hesabına giriş yapar ve orada depolanan tüm yedek verilerini kalıcı olarak silerler.
  • Fidye Yazılımının Dağıtımı: Tüm yedekler ve kurtarma seçenekleri ortadan kaldırıldıktan sonra, saldırganlar son adımı atar ve ağdaki tüm kritik sistemlere fidye yazılımını dağıtarak verileri şifreler. Bu noktada, kurban şirketin eli kolu bağlanmış olur. Geri dönebilecekleri bir yedek kalmamıştır ve fidyeyi ödemekten başka bir seçenekleri olmadığını düşünmeye başlarlar.

Yedekleme Sistemleri Neden Bu Kadar Savunmasız?

Acronis'in raporu, birçok şirketin yedekleme altyapısını koruma konusunda ciddi eksiklikleri olduğunu vurguluyor. Yedekleme sistemlerinin genellikle ana üretim ortamıyla aynı ağ üzerinde ve aynı yönetim kimlik bilgileriyle yönetilmesi, saldırganların işini kolaylaştırıyor. Bir kez ağa sızan bir saldırgan, yönetici haklarını ele geçirdiğinde, hem canlı sistemlere hem de yedeklere rahatlıkla erişebilmektedir. Ayrıca, yedeklerin düzenli olarak test edilmemesi, bir felaket anında geri dönülemez olduğunun çok geç fark edilmesine neden olabilir. Bu gibi durumlarda, bir Veri Sızıntısı Sorgulama hizmeti kullanarak, fidye yazılımı saldırısı öncesinde veya sırasında hangi kişisel verilerin sızdırılmış olabileceğini kontrol etmek, hasar tespiti için önemli bir adım olabilir.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Kurumlar ve Bireyler İçin Savunma Stratejileri

Bu yeni nesil tehditlere karşı korunmak için geleneksel yedekleme anlayışının ötesine geçmek gerekiyor. İşte kurumların ve teknik personelin alması gereken kritik önlemler:

  • 3-2-1 Kuralını Uygulayın: Verilerinizin her zaman üç kopyasını, iki farklı medya türünde saklayın ve kopyalardan birini tesis dışında (off-site) tutun. Bu, tek bir noktadaki hatanın tüm verilerinizi yok etmesini engeller.
  • Değiştirilemez (Immutable) Yedekler: Belirli bir süre boyunca silinemeyen veya değiştirilemeyen yedekleme çözümleri kullanın. Saldırgan yönetici hesabını ele geçirse bile, bu yedekleri imha edemez.
  • Hava Boşluklu (Air-Gapped) Yedekler: Yedeklerinizin bir kopyasını fiziksel olarak ağa bağlı olmayan bir ortamda (örneğin, harici diskler, teyp kartuşları) saklayın. Bu, ağ üzerinden erişimi tamamen imkansız hale getirir.
  • Ayrıcalıklı Erişim Yönetimi (PAM): Yedekleme sistemlerini yöneten hesapların, ana ağdaki yönetici hesaplarından farklı ve çok daha kısıtlı olmasını sağlayın. Bu hesaplar için çok faktörlü kimlik doğrulama (MFA) zorunlu kılınmalıdır.
  • Sıfır Güven (Zero Trust) Mimarisi: Ağınızdaki hiçbir kullanıcıya veya cihaza varsayılan olarak güvenmeyin. Her erişim talebini, kim olduğunu ve neye erişmeye çalıştığını doğrulamadan onaylamayın. Bu, saldırganların ağ içinde yanal hareket etmesini zorlaştırır.
  • Düzenli Test ve Tatbikatlar: Yedeklerinizi düzenli olarak test ederek geri yüklenebilir olduklarından emin olun. Felaket kurtarma senaryolarını tatbik ederek ekibinizin bir kriz anında ne yapacağını bildiğinden emin olun.

Sonuç olarak, yedeklemeler hala siber dayanıklılığın temel taşıdır, ancak artık tek başlarına yeterli değillerdir. Yedekleme altyapısının kendisi, şirketin en değerli varlıklarından biri olarak görülmeli ve en az üretim sistemleri kadar sıkı bir şekilde korunmalıdır. Saldırganların taktikleri geliştikçe, savunma stratejilerimiz de gelişmek zorundadır. Yedekleri sadece bir sigorta poliçesi olarak görmek yerine, onları aktif olarak savunulması gereken bir kale olarak düşünmek, günümüzün tehdit ortamında hayati önem taşımaktadır.

Kaynak

https://www.bleepingcomputer.com/news/security/why-ransomware-attacks-succeed-even-when-backups-exist/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı MuddyWater Microsoft Teams ile Kimlik Bilgilerini Çalıyor Sonraki Yazı → İranlı APT Grubu Chaos Fidye Saldırısı Kılıfı Kullanıyor

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.