Ransomware Grupları Saldırı Stratejisini Değiştirdi: Şimdi Ne Yapmalıyız?

Merhaba,

Yılın ilk çeyreğinde siber tehdit ortamını takip edenler için dikkat çekici bir tablo ortaya çıktı: Ransomware grupları saldırı stratejilerini köklü biçimde değiştiriyor. Bu değişimi ve kurumlar olarak nasıl yanıt vermemiz gerektiğini bu yazımda aktarmaya çalışacağım.

Hedef Kitlesi Değişti

2021-2022 döneminde ransomware grupları büyük, çok uluslu şirketlere odaklanıyordu. Fidye miktarları milyonlarca dolar seviyesindeydi. Ama bu strateji beraberinde yoğun hukuk uygulama baskısı getirdi. Pek çok büyük grup operasyonları sekteye uğradı.

2023'te gözlemlenen yeni tablo şu:

• Orta ölçekli şirketler (50-500 çalışan) artık birincil hedef. Güvenlik yatırımı az, sigorta var, fidye ödeme kapasitesi makul.
• Kritik altyapı: Hastaneler, belediyeler, eğitim kurumları — ödeme baskısı yüksek, güvenlik bütçesi düşük.
• Tedarik zinciri: Büyük şirkete doğrudan saldırmak yerine onun küçük tedarikçisini hedeflemek çok daha kolay.

Yeni Saldırı Vektörleri

Teknik açıdan da değişimler var. Geleneksel phishing'in yanına şunlar eklendi:

• VPN Açıkları: Yamalar yapılmamış Fortinet, Pulse, Cisco VPN cihazları hâlâ en popüler giriş noktaları. Geçtiğimiz aylarda binlerce kurumun etkilendiği vakalar yaşandı.
• MOVEit ve Benzeri Transfer Çözümleri: Kurumsal dosya transfer platformlarındaki sıfır gün açıkları giderek artan ilgi görüyor. Bu konuyu ilerleyen aylarda ayrı bir yazıyla ele alacağım.
• RDP Brute Force: İnternete açık RDP hâlâ sayısız kurumda var ve automated brute force saldırıları aralıksız devam ediyor.
• Trusted Relationship İstismarı: IT destek firmaları, muhasebe yazılımı sağlayıcıları gibi güvenilir üçüncü taraf erişimlerinin ele geçirilmesi.

Operasyonun Hızlandığını Görüyoruz

2023 verilerine bakıldığında saldırganların sisteme girdikten sonra çok daha hızlı hareket ettiği görülüyor. 2021'de ortalama "dwell time" (sisteme girişten fidye yazılımı çalıştırmaya kadar geçen süre) 15-20 gündü. Artık bu süre bazı vakalarda 24 saatin altına indi.

Bu ne anlama geliyor? Anomali tespiti için artık haftalarınız değil, saatleriniz var. Bu da güçlü bir SIEM ve EDR altyapısı olmadan erken tespiti neredeyse imkânsız kılıyor.

Pratik Savunma Adımları

Elimden geldiğince pratik tutayım:

• Yama Yönetimini Ciddiye Alın: Açıklanan VPN ve güvenlik duvarı açıklarını 72 saat içinde kapatmayı hedef koyun. Bu süreyi uzatan her gün risk artıyor.
• MFA Her Yerde: VPN, RDP, O365, kritik uygulamalar — istisnasız MFA. SMS tabanlı MFA zayıf, authenticator uygulaması veya FIDO2 key tercih edin.
• Privilege Segmentasyonu: Domain Admin hesapları minimumda tutulsun. Her hesabın gerçekten ihtiyacı olan yetkiden fazlası olmasın.
• Network Segmentasyonu: Tüm sistemler aynı düz ağda olmasın. Fidye yazılımı bir noktadan yayılsa bile tüm ağa sıçramasın.
• Offline Yedek: Air-gapped, saldırganın erişemeyeceği bir yedek olmadan gerçek anlamda korunma yok. Bulut yedekleri de fidye yazılımı tarafından silinebiliyor.

Olay Müdahale Planı Olmadan Olmaz

Bak bu kısım önemli arkadaşlar: Saldırı gerçekleştiğinde ne yapacağınızı önceden planlamazsanız her şeyi anlık kararlarla yönetmeye çalışırsınız. Bu da genellikle yanlış kararlar anlamına geliyor. En azından şu soruların cevabı hazır olsun:

• Saldırı anında kime haber verilecek?
• Hangi sistemler önce izole edilecek?
• Hukuki bildirim yükümlülükleri neler? (KVKK kapsamında 72 saat kuralı)
• Dışarıdan siber olaya müdahale (IR) firması anlaşmalı mı?

Umarım faydalı olmuştur. İyi Günler Dilerim,